Les employé·es de l'entreprise américaine GoDaddy, mastodonte des noms de domaine sur le web, ont eu une bonne surprise en ouvrant leur boîte mail ce lundi 14 décembre.
Intitulé «GoDaddy Holiday Party», le message expliquait que l'entreprise avait battu des records cette année et que, parce qu'il était impossible de fêter dignement ces bons résultats du fait de la pandémie de Covid-19, chaque employé·e allait recevoir une prime exceptionnelle.
GoDaddy a en effet réalisé une bonne année, puisqu'elle a dépassé pour la première fois les 20 millions de client·es. L'entreprise n'a néanmoins pas été épargnée par le Covid et a licencié des centaines d'employé·es cet été.
Au moins 500 personnes ont donc répondu à ce mail, envoyé par une adresse finissant par «@godaddy.com», sans se poser plus de questions. Le message précisait que pour recevoir sa prime, il était nécessaire de remplir un formulaire avant le 18 décembre.
Pourquoi devoir remplir un tel document pour recevoir une prime? Parce que cet e-mail n'était pas la bonne nouvelle qu'il semblait être: il était en réalité un exercice de phishing, destiné à vérifier si les employé·es respectaient bien les directives de cybersécurité de l'entreprise.
Formation en prime
À la place des 650 dollars promis, les 500 personnes ayant cliqué sur le lien présent dans le message ont reçu un mail du directeur de la sécurité de GoDaddy. Celui-ci leur notifiait qu'elles allaient devoir repasser la formation en cybersécurité de la firme.
Ce genre de test de sécurité n'est pas anormal, surtout pour une entreprise comme GoDaddy qui gère des dizaines de millions de noms de domaine. En 2019, l'entreprise avait été victime d'une attaque informatique qui était parvenue à pénétrer son protocole de communications sécurisées.
La méthode est en revanche plus exotique. Des employé·es ont fait part de l'affaire au Copper Courier, un journal local en Arizona, où est basée l'entreprise, estimant que faire miroiter une prime afin de conduire ses tests de sécurité était inutilement cruel, en particulier dans un contexte économique et social aussi tendu.
GoDaddy s'est finalement excusée de la méthode employée. Elle a cependant rappelé que ce test «imitait de vraies tactiques actuellement utilisées», mais estime devoir «faire mieux et être plus délicate envers [ses] employé·es». Indeed.
