À la fin juin, le CERN a été submergé par une vague de messages électroniques visiblement ciblés, contenant une pièce jointe au format PDF ou DOC potentiellement malveillante. En ouvrant ces pièces jointes ou en cliquant sur les liens imbriqués, les destinataires risquaient de contaminer leur ordinateur. Heureusement, cette déferlante s'inscrivait dans la campagne annuelle de prévention contre les courriels malveillants.
Les messages provenant de Anne.Darenport-Smid@cern.ch, Federico.Campesi@cern.org, Michel.Dutoit@cern.com, Ralf.Brant@cerm.ch et Sonia.Abelona@cem.ch ont été inspirés d'attaques qui ont réellement été perpétrées contre l'Organisation cette année, avec des messages contenant un texte très court, relativement vague, accompagné d'un PDF ou d'un document Word en pièce jointe. En ouvrant ces documents, vous auriez déclenché une réaction en chaîne sur votre ordinateur, qui aurait fini par être totalement infecté. Avec des conséquences sur votre vie professionnelle, mais aussi sur votre vie privée et celle de votre famille (consultez également la rubrique « Sécurité info : protégez votre famille »). Plus grave encore, lors de ces attaques réelles, les pirates ont utilisé les adresses électroniques de chefs de groupe du CERN et ont envoyé leurs messages uniquement à des membres de ces groupes. Simple comme bonjour, dans la mesure où le CERN est très transparent : nombre d'organigrammes sont publics (il suffit de faire une recherche avec « organigramme site:cern.ch ») et c'est également le cas de l'annuaire du CERN et de sa fonction de recherche avancée. Une personne mal intentionnée peut donc facilement trouver les membres d'un groupe donné. De même, le protocole des courriers électroniques permet de se faire passer pour n'importe quel expéditeur, tout comme vous pouvez aisément envoyer une lettre par la poste en vous faisant passer pour quelqu'un d'autre (même si c'est plus coûteux !). Il est donc facile de mener une attaque ciblée sur un groupe choisi. Heureusement, nos systèmes de filtrage des e-mails ont détecté ces pièces jointes malveillantes à temps, et le pire a été évité.
S'inspirant de ces attaques, l'équipe de la sécurité informatique du CERN a envoyé des messages similaires à quelque 22 000 détenteurs d'adresses électroniques du CERN en l'espace de 90 minutes. L'adresse de l'expéditeur (c'est-à-dire Anne.Darenport-Smid, Federico.Campesi, Michel.Dutoit, Ralf.Brant ou Sonia.Abelona, toutes factices, évidemment), le domaine d'expédition (cern.ch, cern.org, cern.com, cerm.ch ou cem.ch) ainsi que l'objet (« Votre contribution à nos résultats », « Rapport sur l'équilibre financier de la Caisse de pensions », « Rapport de conception confidentiel », « Nouvelles mesures de sécurité informatique » ou « Votre demande d'avenant au contrat en 2019 ») ont été répartis de façon aléatoire. Les e-mails contenaient également une pièce jointe : une moitié des destinataires a reçu un document Word au format DOC, l'autre un document PDF. Dans les deux cas, les fichiers étaient complètement vierges. Le document Word indiquait qu'il avait été créé dans une autre version de Microsoft Word et que, pour l'afficher, il fallait « activer la modification » dans la barre supérieure, puis « activer le contenu » : une ruse pour contourner le premier niveau de protection de Microsoft Office. Ce piège n'était d'ailleurs pas le seul : le message proposait aussi d'ouvrir le fichier en ligne via une URL menant à une page contrôlée par le pirate et en aucun cas hébergée par « Microsoft.com ». Le PDF, quant à lui, invitait simplement l'utilisateur à cliquer sur un lien, lequel menait aussi à une page aux mains du pirate.
Que les fichiers aient été vierges ou non importait peu. En ouvrant simplement le document, vous auriez pu mettre votre ordinateur ou votre smartphone en danger (« Sécurité informatique : Je t'aime »). C'est d'ailleurs ce qu'ont fait 17 % de l'ensemble des personnes ciblées (plus de 14 % pour le PDF et 21 % pour le fichier DOC). En cliquant sur le lien figurant dans le message, vous augmentez encore le risque d'infecter votre appareil (« Sécurité informatique : curieux, prenez garde aux liens ! »). Au total, 10 % des destinataires ont ignoré toutes les règles de sécurité (en cliquant sur le bouton d'activation des macros ou en suivant le lien de la pièce jointe) et ont atterri sur notre page d'information dédiée à la campagne. À ce stade, leur appareil aurait été infecté. Heureusement pour eux, ce n'était qu'une campagne de prévention. En y regardant de plus près, il apparaît que la pièce jointe du message concernant l'avenant au contrat a généré davantage de clics (24 % des utilisateurs l'ont ouverte), tandis que les courriels sur le rapport de conception confidentiel et sur les nouvelles mesures de sécurité informatique ont été plus souvent ignorés (15 % d'ouvertures chacun). De même, les utilisateurs se sont méfiés des faux domaines « cerm.ch » et « cern.org » et se sont abstenus d'ouvrir les pièces jointes (respectivement, seuls 15 % et 17 % sont tombés dans le piège), alors qu'avec le domaine « cern.ch », tout à fait authentique, 20 % des destinataires ont ouvert la pièce jointe. D'ailleurs, qu'en est-il des différences entre départements ? Ce sont le département FAP et la Caisse de pensions qui remportent la palme de la sécurité, avec un taux de clics bien en dessous de la moyenne. Félicitations à eux ! Pour les autres, vous vous en sortirez mieux la prochaine fois : réfléchissez avant de cliquer, en particulier si un e-mail vous semble étrange, provient d'une source inconnue, contient des fautes d'orthographe grossières ou ne semble simplement pas vous concerner. Vous trouverez d'autres informations pour mieux détecter les courriels malveillants sur nos pages consacrées à la sécurité informatique. Si vous repérez un courriel malveillant, transférez-le-nous. Une fois que nous avons connaissance de son existence, nous pouvons empêcher le téléchargement du logiciel malveillant et ainsi protéger les utilisateurs du CERN. Pour cette campagne, l'équipe de la sécurité informatique a reçu les premières alertes en quelques minutes. En bloquant l'attaque, nous aurions pu faire chuter le taux de clics en dessous de 2 %. Sachez toutefois que si vous vous trouvez en dehors du réseau du CERN lorsque vous cliquez sur un lien, nous ne pouvons pas vous protéger.
_______
Pour en savoir plus sur les incidents et les problèmes de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais). Si vous désirez avoir plus d'informations, poser des questions ou obtenir de l'aide, visitez notre site ou contactez-nous à l'adresse Computer.Security@cern.ch.