View in

English

Sécurité informatique : voyez-vous la différence ?

Il s’en est fallu de peu : 100 000 CHF, voilà le montant total de trois factures adressées à deux instituts partenaires, avec instruction de les payer sur un compte bancaire différent de celui habituellement utilisé par le CERN. Que s’est-il passé ? Probablement un clic malencontreux, qui a permis à des pirates d’infecter un compte de messagerie électronique et de tenter d’extorquer de l’argent. Fort heureusement, les donneurs d’ordre ont fait preuve de vigilance, évitant ainsi une catastrophe.

Nous avons déjà publié de nombreux articles sur l’hameçonnage et les risques auxquels vous vous exposez lorsque vous naviguez sur le web ou que vous ouvrez des courriels. ARRÊTEZ-VOUS – RÉFLÉCHISSEZ – NE CLIQUEZ PAS ! reste le mot d’ordre à appliquer lorsque vous recevez des courriels, des messages WhatsApp ou même des SMS contenant des liens ou des pièces jointes, ou bien lorsque vous scannez des QR codes. Mais nous sommes des êtres humains. Ainsi, nous ne sommes pas parfaits. Comme nos campagnes de prévention l’ont démontré précédemment, environ 20 % d’entre nous ne parviennent pas à détecter un courriel malveillant et l’ouvrent, à l’instar du cas concret qui fait l’objet de cet article. On voit donc pourquoi il est si important de continuer à faire preuve de vigilance et de prudence.

Il semblerait que tout ait commencé avec un clic malencontreux. Un clic, c’est tout ce qu’il a fallu aux pirates pour accéder à leur victime innocente. Grâce à cet accès et à un plan préétabli, ils ont ratissé sa boîte de réception à la recherche de contenu « juteux », notamment des courriels dont ils pourraient tirer une valeur monétaire. Et bingo ! La victime étant chargée de la facturation aux instituts et universités partenaires, les pirates ont trouvé des factures qu’ils pouvaient utiliser à des fins criminelles. Pour éviter d’être repérés, ils ont veillé à ce que toute communication ultérieure concernant leur objectif malveillant reste masquée. Ils ont donc configuré des « règles d’acheminement » dans la messagerie de la victime afin que les courriels malveillants n’apparaissent pas dans la boîte de réception, mais dans un sous-dossier caché du dossier « Courrier indésirable », car qui vérifie ce dernier ? Les pirates ont même créé un faux domaine, « CERN-CH.COM », afin de disposer d’un canal indépendant pour surveiller les communications. Tout était en place : ils pouvaient à présent se préparer à récolter le fruit de leurs efforts.

« En raison d’un audit interne et d’un contrôle fiscal, nous suspendons toutes les transactions sur nos anciens comptes. » Voilà le courriel que deux instituts ont reçu au nom de la victime. La nouvelle facture était envoyée en pièce jointe. Regardez les en-têtes de la nouvelle et de l’ancienne facture ci-dessous. Voyez-vous la différence ?

home.cern,Computers and Control Rooms
 
home.cern,Computers and Control Rooms
 

Les pirates ont en effet falsifié les factures et les ont modifiées de sorte que les fonds ne soient pas transférés sur le compte bancaire UBS du CERN (« CH93 »), mais sur leur compte en Espagne (« ES02 »). Le piège aurait pu fonctionner si les donneurs d’ordre qui étaient supposés payer la facture n’avaient pas été vigilants et méfiants. Heureusement qu’ils ont fait preuve de prudence ! Mais comme les pirates contrôlaient la boîte de réception de la victime, ils ont pu réfuter les questions initiales soulevées par les donneurs d’ordre. Les pirates ont tenté de convaincre les donneurs d’ordre que tout était en règle, que les factures étaient authentiques, que l’IBAN était valide et qu’il ne restait qu’à les payer. Heureusement, de plus en plus de personnes étant mises dans la boucle des échanges de courriels, la sonnette d’alarme a finalement été tirée, permettant aux services financiers du CERN et à l’équipe de la sécurité informatique du CERN d’intervenir. Fin de partie pour les pirates.

Une enquête ultérieure a révélé les agissements des pirates, tels que décrits ci-dessus. Heureusement, il n’y a pas eu de dégât. Aucun autre institut n’a été impliqué et aucune autre facture n’a été falsifiée. Le domaine « CERN-CH.COM » et l’IBAN « ES02 » malveillants ont été désactivés par les membres de la sécurité informatique et des forces de l’ordre.

Cet épisode nous montre, une fois de plus, pourquoi il est extrêmement important de faire preuve de vigilance lorsque nous ouvrons des courriels, des pièces jointes ou des liens, en particulier lorsque cela concerne des services d’importance critique, des factures ou des paiements. Comme dans cet exemple, la meilleure pratique consiste résolument à utiliser un autre canal de communication que le courriel afin de s’assurer de la véracité des modifications des coordonnées bancaires, idéalement en consultant des personnes que vous connaissez déjà. En outre, le « principe des quatre yeux » est très utile. Il consiste à faire intervenir deux personnes, à savoir deux comptes informatiques, pour valider les factures et les paiements. Enfin, et cela concerne de façon plus générale toute personne qui doit traiter des courriels sensibles et des services d’importance critique, l’authentification à deux facteurs (« 2FA » ; « authentifiez-vous pour cliquer en toute sécurité »), dont le déploiement est prévu prochainement, aurait permis d’éviter dès le début que le compte de la victime ne soit compromis. Une fois de plus, ARRÊTEZ-VOUS – RÉFLÉCHISSEZ – NE CLIQUEZ PAS ! Et envisagez de rejoindre le projet pilote A2F. Il vous suffit d’envoyer un courriel à l’adresse Computer.Security@cern.ch.

_____

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, consultez notre rapport mensuel. Si vous désirez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.