Les terrasses du port accueillent enfin l'Apple Store de Marseille
Paramètres pour modem routeur qui remplace une box Alice

Quand les institutions nous éduquent à l'envers

Mes élèves du cours "Culture Informatique et Internet" se souviennent tous de mon premier cours, sur le phishing : l'introduction faite pour marquer les esprits, commence par parler du Père Noël ; après un moment de flottement dans l'assistance, voire de panique devant un prof dont la première minute de cours semble indiquer des troubles neurologiques, je lève le suspense en rappelant qu'il n'existe pas, ce qui fait toujours son petit effet.

Et je poursuis en expliquant à mes élèves sur des cas concrets de mail que j'ai imprimés, tous les détails qui permettent de suspecter une tentative d'escroquerie, de phishing, bref, de repérer un faux. J'invite à la plus grande prudence (qui se traduit généralement par une mise à la poubelle) face à tous les mails qui comportent des liens à cliquer (a fortiori si on n'attend rien de précis de l'expéditeur) et même pour ceux avec une pièce jointe, sauf à être sûr et certain de l'authenticité (en tous cas avec une certitude raisonnable) du message, qui passe par l'examen scrupuleux desdits détails.

Fort heureusement, les institutions diverses, et parfois sensibles, comme les banques et autres organismes avec qui nous avons des relations d'argent (sécu, fournisseurs télécom, mutuelles, assurances, etc.) rappellent en choeur avec les médias, des consignes de sécurité du même genre : nous ne vous demanderons jamais par mail de vous connecter à votre compte pour nous redonner vos coordonnées bancaires, etc. Hélas je relève parfois quelques dérogations à ces règles, et les besoins marketing et publicitaires aidant, vous recevez parfois d'authentiques offres promotionnelles émanant d'une adresse qui n'a par exemple rien à voir avec l'adresse officielle et connue de l'entreprise expéditrice : comment savoir si c'est du lard ou du cochon ?

Alors j'enrage quand des institutions comme la vénérable Sécurité Sociale procèdent à des envois qui ne respectent pas les consignes de sécurité connues et qui devraient être standards, obligeant mes élèves (et tous les autres) à prendre des risques et de mauvaises habitudes en baissant la garde.

Voilà un mail de fin de dossier d'accident du travail envoyé par la Caisse Nationale Assurance Maladie des Travailleurs Salariés (c'est elle que je fusille ici pour l'exemple, mais les cas sont nombreux, et parfois pires) :

 

De : votre-assurance-maladie@cnamts.fr
Date : 12 juin 2016 14:10:14 UTC+2
Pour : adresse.correcte@wanadoo.fr
Objet : L'Assurance Maladie vous écrit
Répondre à : nepasrepondre@cnamts.fr

Si vous ne parvenez pas à visualiser ce message, rendez-vous sur cette page.
Pour vous assurer de recevoir nos emails, nous vous recommandons d'ajouter l'adresse
votre-assurance-maladie@cnamts.fr à votre carnet d'adresses.
 
Bonjour,

Vous trouverez, en pièce jointe, un document de la part de l'Assurance Maladie.
Ce document vous concerne personnellement, ne tardez pas à le consulter.

Avec toute mon attention,

votre correspondant de l'Assurance Maladie

Merci de ne pas répondre à cet email. Pour votre sécurité, l'Assurance Maladie vous invite à ne jamais communiquer votre code confidentiel permettant l'accès à votre compte ameli. Conformément à l'article 34 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, vous pouvez disposer d'un droit d'accès et de modification de vos données personnelles en contactant votre caisse d'assurance maladie.

Ce message et ses éventuelles pièces jointes peuvent contenir des informations confidentielles ou privilégiées et elles ne doivent pas être diffusées, exploitées ou copiées sans autorisation. Si vous n'êtes pas destinataire du message, merci de le détruire ainsi que toutes ses éventuelles pièces jointes.

Les messages électroniques étant susceptibles d'altération, l'Assurance Maladie décline toute responsabilité si ce message a été altéré, déformé ou falsifié.


Pour ne plus recevoir d'emails de l'Assurance Maladie, connectez-vous à votre compte ameli et cliquez sur "Modifier" dans la rubrique "mon profil / modifier mon email".

Mes remarques :

  • passons rapidement que le salarié moyen a plus en tête le sigle CPAM que CNAMTS pour identifier la provenance du mail (la Sécu). Ca n'aide pas à se dire que oui décidément oui, c'est probablement la sécu qui est derrière l'adresse expéditeur (votre-assurance-maladie@cnamts.fr). Je ne peux pas être certain (un email expéditeur est simplissime à falsifier), mais au lieu de me rassurer, le choix du sigle peut déjà insinuer un doute. Ceux qui auront appris par coeur le signe CNAMTS eux pourront éviter ce doute, et se dire que cette entrée en matière, si elle est falsifiée, n'a au moins pas été bâclée par le(s) spammeur(s). Personnellement j'inviterai la CNAMTS à expédier ce type de message depuis une adresse qui remettrait tout de suite l'usager dans le bain de son dossier, par exemple : accident.travail@cpam.fr
  • le SEUL élément d'identification personnelle disponible pour être sûr que le mail vous est bien adressé, c'est votre adresse email correcte et visible et seule destinataire (que j'ai remplacée pour des raisons de confidentialité). Cette adresse a pu être récupérée n'importe où (comme le font tous les spammeurs). Comme je le dis à mes élèves, une institution qui vous connaît ne doit pas vous appeler cher(e) client(e) ou cher usager ou se contenter d'un simple bonjour. Si c'est un message qui vous est destiné, il peut et doit être personnalisé : dans mon cas, ça donnerait "Cher VAR21". Si ce n'est pas personnalisé, c'est que c'est probablement un message envoyé à tout leur fichier, et on sait à peu près ce que valent ces messages : la poubelle sans autre forme de procès.
  • Le titre n'est pas plus informatif : la zone objet n'est pas là pour vous dire "votre assurance maladie vous écrit", mais pour vous aider à identifier si le message est légitime ou non. En l’occurrence, le traitement informatique de ce dossier devrait permettre de comprendre qu'il s'agit bien d'un dossier personnel en cours, et l'objet du message devrait mentionner "Fin/Suivi de votre dossier d'accident du travail du 4 avril 2016". Là pas de doute (si les références sont correctes, date réelle de monaccident) je suis au courant, et je peux ouvrir le lien ou la pièce jointe.
  • Enfin le texte n'est pas plus efficace pour diagnostiquer le message, authentique ou imitation : strictement rien de personnel, et un rappel de consignes de sécurité comme ne pas donner vos codes confidentiels. Super, mais en général les spammeurs sont les premiers à marquer dans leurs messages "ceci est un vrai message, méfiez-vous des imitations et respecter les mesures de précaution habituelles". Ca serait beaucoup mieux si la CPAM/CNAMTS nous aidait vraiment à identifier leur message comme personnel et légitime. Pas en m'écrivant "Ce document vous concerne personnellement, ne tardez pas à le consulter. Avec toute mon attention, votre correspondant de l'Assurance Maladie", car ça ça m'inquiète plus que ça ne me rassure sur l'identité de "mon correspondant (de l'assurance maladie)".

Bref, ce message presque totalement dépersonnalisé vous invite à ouvrir une pièce jointe, ce qui fait partie des pratiques dangereuses. Et même à cliquer sur un lien pour le lire en ligne si vous avez des difficultés à le visualiser dans votre logiciel de courrier (2 fois pire, c'est la porte ouverte à toutes les imitations de sites officiels - et à d'éventuelles infections par des sites malveilants).
Si vous avez la chance de recevoir votre mail sur un logiciel de courrier moderne qui pré-affiche certaines pièces jointes comme les PDF par exemple (c'était le cas ici), pas de problème, le contenu du courrier joint au format PDF est parfaitement individualisé et porte toutes les références de votre dossier. Mais si vous le recevez sur un téléphone ou une tablette par exemple qui ne préaffiche pas le format en question, vous faîtes quoi pour savoir si vous devez vraiment l'ouvrir ou pas cette satanée pièce jointe ? Pile ou face ? Ce n'est pas la méthode que j'enseigne à mes élèves, et vous la déconseille.

P.S.: la personne destinataire a résolu le problèmes en me transférant le mail que j'ai pu voir sur un logiciel qui préaffichait le PDF (ce qui m'a permis de juger le contenu et conclure à l'authenticité du message). Mais je ne peux pas devenir centre de traitement de tous les mails de tous mes clients et de mon entourage...

Commentaires

Flux Vous pouvez suivre cette conversation en vous abonnant au flux des commentaires de cette note.

Vérifiez votre commentaire

Aperçu de votre commentaire

Ceci est un essai. Votre commentaire n'a pas encore été déposé.

En cours...
Votre commentaire n'a pas été déposé. Type d'erreur:
Votre commentaire a été enregistré. Les commentaires sont modérés et ils n'apparaîtront pas tant que l'auteur ne les aura pas approuvés. Poster un autre commentaire

Le code de confirmation que vous avez saisi ne correspond pas. Merci de recommencer.

Pour poster votre commentaire l'étape finale consiste à saisir exactement les lettres et chiffres que vous voyez sur l'image ci-dessous. Ceci permet de lutter contre les spams automatisés.

Difficile à lire? Voir un autre code.

En cours...

Poster un commentaire

Les commentaires sont modérés. Ils n'apparaitront pas tant que l'auteur ne les aura pas approuvés.

Vos informations

(Le nom et l'adresse email sont obligatoires. L'adresse email ne sera pas affichée avec le commentaire.)