Vous vous souvenez des courriels que vous avez reçus l'année dernière de nos chers collègues S. Abelona, R. Brant, F. Campesi, A. Daren-port-Smid et M. Dutoit ? Ils contenaient un fichier à votre intention. De faux collègues en fait. Tout comme leurs courriels et le fichier joint. Leur seul objectif : vous faire ouvrir le document au format Word ou PDF et infecter votre ordinateur...
C'est le genre d'attaques typiques auxquelles l'Organisation doit faire face. Les pirates vous envoient de faux courriels, dont le contenu semble coller avec le CERN et avec des aspects professionnels ou personnels de votre vie ; ils sont si crédibles que rien ne vous empêche d'ouvrir le fichier qu'ils contiennent. Le courriel que vous aviez reçu de votre collègue imaginaire pouvait avoir pour objet « votre demande d'avenant au contrat », « nouvelles mesures de sécurité informatique », « situation relative à l'équilibre financier de la Caisse de pensions », « votre contribution à [leurs] résultats », ou « rapport de conception confidentiel ». Plus ces courriels malveillants sont ciblés, plus il y a de chances que vous les jugiez crédibles et que vous cliquiez sur le fichier joint. Plus l'attaque est sophistiquée, plus votre ordinateur (PC ou portable) risque d'être infecté. En un clic, vous pouvez perdre votre système Windows, votre Macbook ou votre installation Linux. Infectés. Compromis. Ils seront désormais la propriété du pirate, qui abusera de vos ressources informatiques, dérobera vos mots de passe (par exemple ceux utilisés pour le CERN et pour vos services bancaires en ligne), cryptera vos documents (afin de vous faire du chantage), diffusera vos photos et vidéos (cyberharcèlement), ou rendra publiques des images prises avec votre webcam locale, ainsi que des enregistrements pris à partir de votre microphone.
Le service en charge de la messagerie du CERN ainsi que l'équipe de la sécurité informatique font de leur mieux pour vous protéger. Outre le filtrage « classique » des pourriels, ils exécutent une fonction spéciale qui analyse chaque pièce jointe reçue par l'Organisation pour vérifier qu'elle ne contient aucun logiciel malveillant*. C'est un véritable jeu du chat et de la souris. Même si le taux de détection est très élevé, il se peut que les courriels malveillants ne soient pas tous interceptés, car les pirates tentent évidemment de contourner nos fonctions de détection. C'est là que vous intervenez. En veillant à ce que votre système d'exploitation soit à jour. Pas compliqué car aujourd’hui, comme par magie, cela se fait automatiquement. En veillant à ce que votre ordinateur soit doté d'un bon antivirus. Cela ne vous coûtera pas une fortune et offrira une seconde ligne de défense de base. En optant pour un logiciel concurrent d'Adobe Reader car de nombreux logiciels malveillants tentent d'exploiter les failles de ce dernier. Et, enfin, en étant vigilants et attentifs. Certains courriels semblent vraiment trop beaux pour être vrais. Parfois, mieux vaut « s’arrêter – réfléchir – ne pas cliquer ». Et n'hésitez pas à transférer tous les courriels que vous jugez suspects à l'adresse Computer.Security@cern.ch.
Heureusement, les courriels malveillants reçus l'année dernière de vos collègues imaginaires étaient tous inoffensifs : ils faisaient partie de notre campagne annuelle de prévention. Sur les quelque 22 000 courriels envoyés, environ 30 % ont été ouverts. Dans environ 20 % des cas, le destinataire a tout fait pour ouvrir également la pièce jointe, mettant ainsi en danger son ordinateur... Avec l'autorisation du Bureau de la protection des données personnelles, nous avons pu corréler les taux de clics avec des données personnelles rendues anonymes. Toutefois, le fait de comparer les taux de clics entre différentes tranches d'âge n'a pas permis de faire apparaître des différences significatives. Par ailleurs, avec une marge d’erreur statistique, les taux de clics étaient les mêmes chez les hommes et chez les femmes. En ce qui concerne les catégories de personnel (physiciens par rapport aux ingénieurs, personnel technique par rapport au personnel administratif, etc.), les écarts devaient tenir compte également d’une marge d'erreur statistique. Bref, il semble que le taux de clics dépende simplement de la curiosité de la nature humaine** ! Enfin, si l'on s'intéresse à la réactivité des utilisateurs, on constate que ces derniers n'ont pas perdu de temps pour signaler les courriels suspects à l'équipe de la sécurité informatique. En effet, moins de dix minutes après l'envoi de nos courriels, nous recevions les premiers tickets nous informant que le CERN faisait l'objet d'une (fausse) attaque. Si cela avait été une véritable attaque, nous aurions mis en place des mesures de protection supplémentaires (par exemple en bloquant le logiciel capable d'accéder à Internet pour télécharger son contenu malveillant). Ainsi, après une demi-heure environ, cette vague d'attaques aurait été contrée. Mais soyez vigilants. Tous les courriels suspects que vous recevez ne font pas partie de notre campagne de prévention.
* D'un point de vue technique, cette fonction crée des machines virtuelles de divers systèmes d'exploitation et clients de messagerie, et simule l'activité de l'utilisateur en ouvrant les courriels potentiellement malveillants, ainsi que leurs pièces jointes, et voit si la pièce jointe « explose », c'est-à-dire si elle commence à modifier les paramètres du système local ou à établir des connexions Internet (sorte de « rappels » visant à obtenir le véritable logiciel malveillant).
** Pour en savoir plus, consultez le mémoire de bachelor de T. Betz intitulé « Comparing and Analyzing the CERN Email Security Awareness Campaigns ».
_____
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais uniquement). Si vous désirez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.