À la fin du mois de juin, une nouvelle campagne de sensibilisation au hameçonnage a ciblé les titulaires et les utilisateurs du CERN. Environ 21 000 détenteurs d'une boîte aux lettres électronique du CERN ont reçu des courriels de « Sonia Abelona », « Michel Dutoit », « Ralf Brant », « Federico Campesi », « Anne Darenport-Smid », ou encore « Andreu Tomanga », concernant « un avenant au contrat », « la situation relative à l'équilibre financier de la Caisse de pensions », « un rapport confidentiel sur le COVID-19 » ou « les nouvelles règles de télétravail ». Tous les courriels avaient pour nom de domaine « CERN.COM », « CEM.CH » ou « CERM.CH », et contenaient un lien, soit dans le corps du message, soit dans un document PDF ou Word en pièce jointe, qui menait vers une fausse page de connexion CERN hébergée hors du domaine CERN.CH (voir l'adresse IP « 192.91.245.24 » en haut de la page dans l’image ci-après).

Si cette fausse page de connexion avait été créée par des personnes mal intentionnées, le fait de saisir votre identifiant et votre mot de passe CERN leur aurait permis d’obtenir vos données de connexion, ce qui aurait mis l'Organisation et votre vie privée en danger (voir nos articles du Bulletin : « Rançonnage des universités, retour au papier et au stylo ? » et « Quel est le point commun entre votre appartement et votre ordinateur ? »).

C’est précisément l’objectif de certains groupes de cybercriminels, tels que Silent Librarian : cibler les universités, les entreprises et les organisations avec des courriels malveillants soigneusement rédigés afin d'infiltrer leur réseau, accéder à leurs ressources informatiques et obtenir des informations confidentielles. Avec suffisamment de préparation et d'actions de reconnaissance, et misant sur la curiosité – trait de la nature humaine – ces personnes malveillantes arrivent, malheureusement, facilement à leurs fins. Heureusement, ces courriels avaient été envoyés dans le cadre de la campagne annuelle de sensibilisation au hameçonnage de l'équipe de sécurité informatique du CERN. Les pièces jointes étaient inoffensives et la fausse page de connexion refusait les mots de passe. Aucun mot de passe du CERN n'a donc été collecté ni compromis pendant cette campagne. Si personne n'a subi de préjudice, plusieurs enseignements troublants ont pu être tirés.

Leçon n° 1 : 10 %* des personnes qui ont reçu le courriel de hameçonnage n'ont pas réalisé que la page de connexion et l'adresse web (URL) en haut de la page étaient fausses, ce qui signifie que 10 % des comptes du CERN auraient pu être compromis. Selon nos estimations, 90 % de ces comptes appartiennent à des personnes en télétravail. Ainsi, dans neuf cas sur dix, notre service de sécurité informatique n'aurait eu aucun moyen d'intervention parce que tout s'est déroulé à l'extérieur du CERN. La solution pour nous protéger contre ce danger consiste à mettre en place un système d’authentification multifacteur, ce qui sera fait dans les prochains mois (voir nos articles du Bulletin : « Un deuxième facteur à la rescousse », et « Protéger l'accélérateur des attaques à distance »).

Leçon n° 2 : le simple fait d'ouvrir la pièce jointe (18 % !) a fait courir un risque à l'ordinateur utilisé pour le faire, qui aurait facilement pu être infecté si le document avait été malveillant. Fin de partie ! Particulièrement en cette période de télétravail, les mesures de sécurité mises en place au CERN n'auraient pas été utiles. Il est donc essentiel que, chez vous, vos PC et ordinateurs portables se mettent toujours automatiquement à jour et fonctionnent avec un logiciel antivirus à jour. À l'avenir, le département IT du CERN pourrait renforcer ces mesures en adoptant une solution EDR (Endpoint Detection and Response) complexe pour lutter contre les logiciels malveillants.

S'il s'était agi d'une véritable attaque, l'accélérateur et les expériences du CERN, les données sur les finances et les ressources humaines, ainsi que les services du Centre de calcul, auraient aussitôt été mis en danger.

Fait encourageant n° 1 : l'équipe en charge de la sécurité informatique a été alertée cinq minutes à peine après le lancement de la campagne de sensibilisation. Ces alertes rapides sont essentielles pour renforcer nos défenses et protéger, tout au moins, les appareils et les comptes au sein du CERN. Nous aurions aussi pu supprimer les courriels malveillants des boîtes de réception de chaque personne, ce que nous évitons généralement de faire, par respect pour la vie privée.

Fait encourageant n° 2 : nous avons reçu au total plus de 800 tickets SNOW au sujet de cette campagne, ce qui signifie que notre travail de sensibilisation a touché un grand nombre d’entre vous : 80 % des personnes qui ont reçu un faux courriel n'ont pas ouvert la pièce jointe ou cliqué sur le lien, et 90 % d'entre elles n'ont pas saisi leur identifiant. Bien joué !

Alors, comment pouvez-vous contribuer à protéger à la fois votre vie privée et le CERN en tant qu'organisation ? Tout d'abord, faites preuve de vigilance, de prudence et de méfiance. Et rappelez-vous : S'ARRÊTER – RÉFLÉCHIR – NE PAS CLIQUER !

• Lisez à nouveau nos conseils sur la meilleure façon de repérer les courriels frauduleux et les fausses pages de connexion ;
• Exercez-vous à les reconnaître sur les sites web suivants : https://phishingquiz.withgoogle.com/ et https://www.phishingbox.com/phishing-test ;
• Aidez-nous à mettre en place une solution d'authentification à deux facteurs ; et
• Utilisez un bon outil pour lutter contre les logiciels malveillants sur vos ordinateurs à la maison.

____

*Plus précisément : plus de 30 % des 21 083 personnes qui ont reçu le courriel l'ont ouvert ; 18 % ont ouvert le document PDF ou Word en pièce jointe, quand il y en avait une ; 25 % ont cliqué sur le lien proposé menant à la fausse page de connexion, et environ 12 % ont cliqué sur le lien figurant dans le document PDF ou Word. Étonnamment, 50 % de ces dernières (c'est-à-dire 10 % de toutes les personnes ayant reçu le courriel) ont essayé de se connecter à la fausse page de connexion avec leur identifiant CERN.

Les chiffres par département seront mis à la disposition des chefs de département correspondants ainsi que de nos interlocuteurs pour la sécurité informatique au sein de chaque département.

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais uniquement). Si vous désirez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.