En cas de doute sur la sécurité d'un appareil de l'établissement, sur le contenu d'un courriel, sur un processus, un accès illégitime ou un comportement anormal sur votre poste de travail vous pouvez contacter le RSSI (Responsable de la Sécurité du Système d'Information) à l'adresse rssi@cnam.fr, l'assistance assistance@cnam.fr ou par téléphone au 01 40 27 23 42.
Phishing, hameçonnage… ne pas se laisser piéger
Le phishing ou hameçonnage consiste à extorquer identifiant et mot de passe par malice. Le plus souvent, la communication commence par un mail ou un SMS, mais tout autre canal de communication convient.
L'attaquant cherchera souvent à extorquer des informations confidentielles (identifiant/mot de passe, coordonnées bancaires, données personnelles, etc.) ou à s'introduire dans un système pour y déployer un logiciel malveillant, par exemple un rançongiciel (ransomware).
Recommandations
- Vérifier l'expéditeur des messages : il est facile d'afficher une adresse à la place d'une autre.
- Le contenu du message est étonnant tandis que l'expéditeur est connu ? Vérifier auprès de l'expéditeur (par téléphone par exemple) que le message émane bien de lui.
- Vérifier les liens avant de cliquer ; le mieux est de les taper à la main.
- Se méfier des « liens raccourcis », par exemple
http://bit.ly/0Dmj6z1et des QR codes.
Attention
Plus généralement, tout message demandant de s'authentifier sur un site est suspect, tout message demandant des informations personnelles est suspect, tout message annonçant des gains (prodigieux ou non) ou un remboursement est suspect, tout message à caractère d'urgence est suspect (désactivation de compte imminente, connaissance en situation de détresse, etc.), tout message au ton menaçant est suspect (facture impayée).
Généralement, dans leurs communications par mail, les banques limitent voire omettent les URLs, laissant leurs clients se connecter à leur site par eux-mêmes. Ainsi, un message émanant d'un établissement bancaire et enjoignant de cliquer sur un lien pour effectuer une opération en ligne est-il particulièrement suspect.
De même, aucun organisme sérieux ne demande d'envoyer d'informations confidentielles, ni par mail ni par SMS.
Pourquoi
L'usurpation d'identité par mail est encore relativement facile.
De même, de nombreux logiciels n'affichent pas les adresses, seulement les noms
associés, il est donc simple de faire apparaître le nom de Martin Dupond malgré
l'adresse <vilain.mechant@exemple.nullepart>.
Taper manuellement les adresses URL est fastidieux, mais permet de se prémunir des astuces,
par exemple avec des caractères cyrilliques comme avec http://www.defense.gouv.fr et
http://www.defепse.gouv.fr : attention aux n et e latins et aux п et e cyrilliques.
Attaques courantes
« Faux support technique »
Tout à coup, au détour d'une page web en apparence anodine, de nombreux messages d’erreurs surgissent sur l’écran, bloquent le poste. Ils mentionnent des virus, des arguments techniques plus ou moins crédibles, ils font peur… et ils indiquent un numéro de téléphone chez Apple ou Microsoft ou Google ou… n'importe quel grand constructeur ou fournisseur informatique. Les fenêtres sont en fait des fenêtres du navigateur Web.
Évidemment, il ne s’agit pas d’un numéro de support d’un grand éditeur du secteur numérique. La proie, si elle appelle, doit alors (moyennant finance) mener des opérations sur son poste comme installer un (faux) antivirus et donner des informations (bancaires). Le malware installé permettra à l'acteur malveillant de prendre durablement le contrôle du poste.
« Fraude au président »
La fraude consiste à générer de faux ordres de virements internationaux (FOVI) par « ingénierie sociale », le pirate se faisant passer pour « le président » auprès du service comptable.
Il existe de nombreuses variantes dont la fraude au faux technicien ou au faux changement de RIB. La DGCCRF explique cela sur la page : professionnels, agents publics, attention à l’arnaque au président !.
« Attaque par point d'eau »
Attaque par « point d’eau » (watering hole).
Pour aller plus loin
L'épisode 5 du podcast La cybersécurité expliquée à ma grand-mère détaille les mécanismes et techniques en œuvre dans les hameçonnages ; voir aussi les transparents de notre homologue d'Aix Marseille Université sur l'hameçonnage.
Pour le cybermoi/s 2022, l'ANSSI, la CNIL et cybermalveillance.gouv.fr (entre autres) se sont mobilisés contre l'hameçonnage et les rançongiciels.
- Cybermoi/s 2022 : l'ANSSI se mobilise
- Cybermoi/s 2022 : La CNIL se mobilise
- Cybermoi/s 2022 : cybermalveillance.gouv.fr se mobilise
Signaler un hameçonnage
Pour que les autres ne se laissent pas avoir, signaler les hameçonnages :
- https://phishing-initiative.eu/contrib/
- https://www.internet-signalement.gouv.fr/
- https://safebrowsing.google.com/safebrowsing/report_phish/?hl=fr
- https://www.33700.fr/ (pour les SMS)
Après validation, les URLs seront bloquées par les navigateurs.