Sécurité informatique : un clic et patatras…

Naviguer sur internet n’est pas aussi simple qu’il y paraît… Un clic malencontreux et tous vos mots de passe (CERN, Facebook, Paypal, Amazon, etc.) peuvent être dérobés, toutes vos activités (mouvements et clics de souris, mots tapés, captures d’écran, enregistrements du microphone et de la webcam) peuvent être clandestinement surveillées, tous vos documents confidentiels peuvent être récupérés, et un accès au CERN pour de futures attaques être ouvert (ce que l’on appelle aussi « backdoor »). 

 

Et vous voilà dans l’obligation de réinstaller votre ordinateur et de changer tous vos mots de passe ! L’un de nos collègues l’a appris à ses dépends. L’été dernier, un clic malheureux a en effet permis à des pirates d’infiltrer le CERN. Heureusement, aucun dégât réel n’a été à déplorer. Toutefois, les coûts liés à l’enquête sur cet incident se chiffrent tout de même à plusieurs dizaines de milliers de francs suisses ; sans compter le temps perdu à essayer de comprendre les intentions de ces pirates et l’étendue de leur infiltration…

Pour vous sensibiliser au risque encouru lorsque vous cliquez sur un lien contenu dans un courriel non sollicité, l’équipe de la sécurité informatique a mené en début d’année une campagne de « chasse aux clics », en vous envoyant des courriels destinés à vous leurrer et à vous faire cliquer sur un lien malicieux. Ceux et celles qui, par imprudence, ont eu le malheur de cliquer sur l’un de ces liens ont alors été redirigés vers une page d’information expliquant « comment repérer les courriels malicieux ». Le taux de clics est bien entendu proportionnel à la sophistication et au ciblage du courriel : plus l’apparence et le contenu du courriel sont sophistiqués et ciblés (jusqu’au point même où seuls des experts peuvent faire la différence), plus la probabilité qu’une victime clique est élevée. C’est pourquoi, pour être les plus neutres possibles (nous aurions en effet pu écrire des courriels sur lesquels vous auriez cliqué sans hésiter), nous avons demandé à des étudiants de l’Université de Rotterdam d’écrire une série de faux courriels avec pour consigne de n’utiliser que des informations publiquement disponibles sur les sites web du CERN ou leur imagination.

Malgré ces restrictions, certains courriels étaient si bien construits qu’ils auraient pu tromper n’importe qui au CERN. Un résultat qui fait froid dans le dos. Les experts appellent cela « une attaque sophistiquée et ciblée » (Advanced Persistent Threat - APT). Nous avons finalement sélectionné cinq faux courriels qui nous semblaient simples et facilement identifiables comme malicieux par leurs destinataires…

Et pourtant ! Le taux de clics, de plus de 25 %, nous a prouvé le contraire. Si ces courriels avaient réellement été malicieux, cliquer aurait pu entraîner tout ce qui est décrit au début de cet article. Un simple clic aurait également pu avoir de lourdes conséquences opérationnelles et financières pour le CERN…

Si vous avez été pris par surprise par cette arnaque (toutes nos excuses !), laissez-nous vous expliquer comment mieux identifier de tels courriels :


Pour terminer sur une note plus positive, vous êtes quand même nombreux à avoir correctement identifié ces faux courriels comme malicieux. Nous avons reçu des centaines de tickets via ServiceNow nous informant que de tels courriels étaient en circulation. Bravo ! Dans tous les cas, restez vigilants. Cliquez seulement si vous êtes sûrs de vous. En cas de doute, contactez-nous.

Et il se peut que nous menions une nouvelle campagne au cours de l’année, avec des courriels encore plus sophistiqués… Alors ouvrez l’œil !


N'hésitez pas à contacter l'équipe de la Sécurité informatique ou à consulter notre site web.

Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).


Accédez à la collection complète d'articles de l'équipe de la Sécurité informatique ici.

par Stefan Lueders, Computer Security Team