Sécurité informatique : « New_invoice.zip »

Merci d'avoir cliqué sur cet article. Mais je me demande, qu'en attendez-vous ? Qu'est-ce qui a attiré votre attention ? Le titre « New_invoice.zip » ? Vous sentez-vous concerné ? Vous avez peut-être l'habitude de lire nos articles, et c'est plutôt l’aspect « sécurité informatique » qui vous a attiré ici ? Mais tout de même… rien d'autre ? Vous devriez peut-être arrêter votre lecture maintenant… sauf si vous pensez que ce texte vous concerne. Ou parce que vous êtes curieux. Ou parce que vous pensez y apprendre quelque-chose de nouveau. En fait, c’est ça. « New_invoice.zip » a permis à 40 personnes du CERN d’apprendre quelque-chose. Brutalement, malheureusement.

 

« New_invoice.zip » est le nom de la pièce jointe d'un courriel assez « grossier » envoyé directement à un certain nombre (beaucoup !) de nos collègues. D'autres l’ont reçu via une liste de diffusion comme « it-dep ». Le sujet de ce courriel était « invoice » (« facture »), et le contenu du message « Check the document » (« Vérifiez le document ») (voir image 1). La liste des destinataires était longue et contenait des noms pas nécessairement liés les uns aux autres. En cliquant sur la pièce jointe « New_invoice.zip », un autre fichier nommé « invoice_id25769.exe » apparaissait (voir image 2), un fichier qui, une fois ouvert, allait infecter votre ordinateur Windows.


Image 1.

Image 2.

Insolite ? Malheureusement non. L’envoi et la réception de factures font partie des tâches quotidiennes effectuées au sein des secrétariats, du département Finances, de l’hôtel ou des restaurants du CERN... Mais souvenez-vous de nos avertissements répétés concernant les courriels d’hameçonnage (« phishing ») ou ceux avec un contenu malveillant. Ce courriel-ci en aurait été un exemple idéal ! Pourtant, plus de 40 personnes du CERN ont cliqué trois fois avant d'accéder au contenu viral : un premier clic pour ouvrir le courriel, un second pour regarder la pièce jointe, et un clic final pour ouvrir (en fait « exécuter » !) « invoice_id25769.exe ». Fin de la partie : le PC Windows a été infecté et le mot de passe utilisateur perdu.

Qu’est-ce qui aurait pu les empêcher de cliquer ? Avant toute chose, beaucoup ont ouvert la pièce jointe par simple curiosité : « Cela venait d'un collègue et je voulais juste savoir... », même si cela n’avait rien à voir avec leur activité habituelle. Ni la brièveté du message, ni l'objet « invoice » (plutôt commun), et ni le fait que cette facture ait été adressée à des dizaines de personnes n’ont constitué d’obstacles pour aller plus loin. 

Enfin, un fichier « .zip » contenant un fichier « .exe ». Savez-vous ce qu’est un « .exe » ? Non ? Dans ce cas, pourquoi l'ouvrir ? Faites-le pour des « .pdf », des « .doc », des « .xls », des « .ppt » ou des « .txt », mais jamais pour un « .exe » ! Un « .exe » dans un courriel est synonyme d’« infection de mon ordinateur ». Voilà, cette « facture » constitue une bonne occasion d’apprendre : plus de 40 comptes et 40 PC Windows ont été bloqués après que leurs clients de messagerie ont commencé à spammer le monde avec des courriels similaires. Au final, plus de 40 PC Windows ont dû être réinstallés et plus de 40 mots de passe changés. Plus de 40 personnes ont été embêtées et ont perdu un temps précieux. Simplement parce que leur curiosité a pris le dessus sur leur vigilance...

Soyez prudent, soyez conscient :

  • Si vous n’attendez pas un tel courriel, si cela n’a rien à voir avec votre activité, ignorez-le.
  • Est-ce que le contenu du message est raisonnable ? Est-il axé et ciblé ? Est-ce qu'il vous dit quelque-chose ? Est-ce qu'il vous concerne ? Est-il dans votre langue maternelle ou dans une langue dans laquelle vous communiquez habituellement ? Au contraire, y a-t-il beaucoup de fautes de frappe ou d'erreurs (par exemple, « Rolf Heuer, Président du CERN ») ?
  • Vérifiez la liste des destinataires. Était-ce un courrier pour vous ou un mélange de destinataires bizarre ? Pourquoi ont-ils tous reçu le même courriel ?
  • Examinez les pièces jointes. Les fichiers « .zip » ou « .exe » sont hautement suspects car leur objectif est de dissimuler leur nature malveillante. Et NON ! Votre antivirus ne vous protège pas tout le temps.
  • Si vous avez un doute, il est préférable de contacter l’expéditeur et de vérifier l’authenticité du message avec lui avant d’ouvrir le fichier joint - ou de la vérifier avec nous (Computer.Security@cern.ch).
  • Soyez prêt. Tôt ou tard un courriel malicieux sera susceptible d’infecter votre ordinateur. Assurez-vous d’avoir des sauvegardes de vos fichiers, de sorte que vous puissiez facilement réinstaller votre ordinateur à partir de zéro à tout moment. 
 

N'hésitez pas à contacter l'équipe de sécurité informatique ou à consulter notre site web.

Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).


Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.

par Stefan Lueders, Computer Security Team