Sécurité informatique : attaque de point d'eau
Comme un lion en embuscade près d’un point d’eau, à l’affût de sa prochaine victime, un logiciel malveillant peut vous prendre par surprise.
Comme certains d’entre vous ont pu le remarquer, l’équipe de la Sécurité informatique du CERN a dû, il y a quelques semaines, bloquer le site d’information 20min.ch car celui-ci distribuait des logiciels malveillants. Ce blocage faisait suite à des mesures similaires prises par d’autres organisations suisses. Il s’agissait d’une mesure protectrice, visant à éviter que nos ordinateurs portables ou fixes, nos tablettes et nos smartphones soient compromis.
Malheureusement, ce n’est pas la première fois que nous voyons de telles attaques de type drive-by et waterhole (en français, « point d’eau ») : lorsque vous visitez un tel site compromis, du code malicieux, caché sur ce dernier, le plus souvent par le biais d’un site tiers, est téléchargé et exécuté sur votre ordinateur afin de l’infecter (infection qui fonctionnera le plus souvent sous Windows ou Android, plus rarement sous Mac), d’où le nom drive-by (expression anglaise signifiant « en conduisant », ici « en passant », aussi utilisée pour les fusillades au volant). Qui plus est, comme 20min.ch est un site web très fréquenté, en particulier par les membres et utilisateurs du CERN, cela en fait une position d’attaque parfaite contre le CERN (ou d’autres organisations basées à Genève) : au lieu de s’attaquer directement à ces organisations, ce qui pourrait être difficile étant donné l’attention qu’elles portent à la sécurité informatique, pourquoi ne pas s’attaquer à un site externe, ayant un intérêt moindre pour la sécurité informatique, mais très visible et utilisé par votre cible finale ? Cette idée est vieille comme le monde : elle reprend l’image d’un lion en embuscade près d’un point d’eau, à l’affût de sa prochaine victime, d’où le nom waterhole. Il est déjà arrivé que des sites web importants dans le bassin genevois aient été utilisés pour de telles attaques. En particulier, 20min.ch a atterri sur nos bureaux à plusieurs reprises dans le passé...
La protection contre de telles attaques est difficile : le code malicieux exploite le plus souvent des zero-day programmes, c'est-à-dire des logiciels malveillants exploitant des vulnérabilités qui ne sont pas encore publiquement connues lors de leur utilisation. Nous vous recommandons de maintenir vos systèmes à jour (Windows Update, Mac Software Update, « Yum » auto-update ou tout autre mécanisme de mise à jour automatique et permanent) et d’utiliser un antivirus (jetez un œil aux solutions proposées gratuitement). Cependant, cela ne vous protégera guère contre les zero-day, puisque, par définition, ni les fournisseurs de logiciels ou systèmes d’exploitation, ni votre antivirus, ne connaîtront la vulnérabilité utilisée. Quoi qu’il en soit, soyez vigilants ! Si vous voulez faire preuve de plus de vigilance, surfez sur le net à partir d’un ordinateur fonctionnant sous Linux, qui est pour le moment statistiquement moins exposé à ce type d’attaque. Ou alors évitez simplement ces sites. Souvenez-vous : arrêtez-vous, réfléchissez, ne cliquez pas ! Si vous doutez d’un lien sur lequel vous allez cliquer, abstenez-vous.
N'hésitez pas à contacter l'équipe de la Sécurité informatique ou à consulter notre site web.
Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).
Accédez à la collection complète d'articles de l'équipe de la Sécurité informatique ici.
par Stefan Lueders, Computer Security Team
