Et bien non, et nombre d’entre nous sommes tombés dans le piège ! Nous parlons ici de la dernière campagne annuelle de sensibilisation à l’hameçonnage menée par l’équipe chargée de la sécurité informatique du CERN. Tout comme l’année dernière, tous les membres du personnel et les utilisateurs du CERN ont reçu un faux courriel simulant une tentative malveillante ayant pour but de les inciter à cliquer sur le lien contenu dans le message, et environ 22 % des destinataires ont cliqué ; or cela mettait en danger les appareils concernés (et le CERN) et les fausses pages de connexion qui s’affichaient par la suite s’occupaient du reste – plus de 7 % des destinataires ont essayé de saisir leur mot de passe (heureusement, pour des raisons de confidentialité, cette fausse page de connexion n’acceptait pas les mots de passe). Si l’attaque avait été réelle, le résultat aurait pu être désastreux pour les appareils, la sécurité des mots de passe mais aussi pour le CERN – voir nos articles du Bulletin sur les « rançongiciels » et les risques pour le CERN : « Qu’ont les accélérateurs en commun avec les oléoducs ? », « Retour au papier et au stylo ? », et « Rançonnage des universités, retour au papier et au stylo ? ».
Heureusement, plusieurs centaines de collègues ne sont pas tombés dans piège et ont signalé le faux courriel d’hameçonnage à l’équipe de sécurité informatique. Beaucoup ont tout simplement ignoré le courriel, car ils n’étaient pas concernés pas son contenu (« avenant au contrat », « rapport interne COVID-19 », « solde du fonds – confidentiel », « X a partagé un fichier avec vous », « télétravail - rappel », « mise à jour du calendrier des vaccins » ou « votre voyage »). Certaines personnes ont vérifié le nom de l’expéditeur dans l’annuaire du CERN où, effectivement, Sean Luggers, Sebastien Lodevinski, Luigi Valnese, Ramon Warze, Anne Longshire, Nikolae Fridilidis, Adriana Do Montes et Danielle Pecheur n’apparaissent pas, ce qui veut dire qu’ils ne travaillent pas au CERN (même si certains homonymes travaillent pour l’équipe de sécurité informatique). D’autres se sont interrogées sur le lien contenu dans le message qui, bien que nommé « documentstore.cern.ch », « hr.cern.ch », « pf.cern.ch » ou « covid-cern.ch », renvoyait en réalité soit au domaine cern.cg en République du Congo, soit à l’adresse IP 192.91.245.24. Et voilà, l’URL mentait !
C’est déjà une bonne idée de se méfier d’un courriel présentant des fautes de frappe, ou toute autre anomalie, et de vérifier que les noms figurent dans le répertoire (consultez nos recommandations), mais cela ne suffit pas. Dans leurs courriels malveillants, les pirates mettent tout en œuvre pour perfectionner l’usurpation d’identité. Dans la mesure où de nombreuses informations sur les projets et l’actualité du CERN sont publiques, il n’est pas très compliqué de composer des courriels, de plus en plus ciblés et bien faits, et ces messages peuvent tromper toute personne ne se montrant pas assez vigilante*. De plus, étant donné que beaucoup de nos noms se trouvent sur le web, envoyer des courriels malveillants en utilisant les noms de vrais employés du CERN n’aurait pas posé problème aux pirates. Le protocole de courriers électroniques ne l’empêche en rien : en effet, tout comme on peut écrire n’importe quel nom d’expéditeur sur une enveloppe en papier, il est possible de façonner n’importe quelle adresse d’expéditeur de courriel. C’est un jeu d’enfant.
Ainsi, la meilleure façon de reconnaître les courriels malveillants est de vérifier l’adresse web vers laquelle les liens vous dirigent. L’URL, localisateur de ressources uniforme, renvoie vers le véritable contenu internet. Le texte affiché peut être composé de mots creux, qui ont été inventés : « documentstore.cern.ch », « hr.cern.ch », « pf.cern.ch » ou « covid-cern.ch ». La véritable destination se trouve en fait derrière l’URL. RÉFLÉCHISSEZ AVANT DE CLIQUER ! Passez le pointeur de votre souris sur ces mots creux et ces liens trompeurs, l’infobulle affichera alors leurs véritables nature et destination.
Cette règle s’applique également aux liens figurant dans les messages WhatsApp, Facebook, Instagram et dans les tweets. RÉFLÉCHISSEZ AVANT DE CLIQUER ! C’est contraignant, mais cela vaut mieux que de voir son appareil infecté et compromis. Ici, nous n’utilisons que cern.ch (pour la Suisse) et home.cern. Si l’infobulle vous semble douteuse ou étrange, ou si son contenu diffère du texte qui apparaît, ne cliquez pas. Méfiance ! N’hésitez pas à nous contacter à l’adresse suivante Computer.Security@cern.ch, pour la sécurité de votre appareil, et celle de l’Organisation !
Enfin, et plus particulièrement, vérifiez la page de connexion CERN avant de taper votre mot de passe. Les deux pages web d’authentification unique (SSO) du CERN sont « login.cern.ch » (ancienne page) et « auth.cern.ch » (nouvelle page). Toutes les autres URL sont fausses et malveillantes, et doivent être signalées ! Vous pouvez également utiliser un gestionnaire de mots de passe, qui vous invitera à saisir votre mot de passe UNIQUEMENT sur le domaine du CERN. Par conséquent, si le gestionnaire de mots de passe refuse soudainement de renseigner votre mot de passe, il est possible qu’il y ait un problème majeur.
*Nous aurions d'ailleurs pu faire une campagne plus percutante, mais cela ne va pas sans risques – comme certaines entreprises l'ont découvert lors de leurs tests (voir ici et là, en anglais).
_______
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, consultez notre rapport mensuel (en anglais seulement). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.