Campagne de phishing, résistez à l'ingénierie sociale.

Le phishing ou piège par hameçonnage est la première des menaces sur vos mots de passe. Malgré les dispositifs de détection en amont de votre boite mail, vous recevez forcément des messages tentant de vous attirer sur un site frauduleux ou votre mot de passe sera volé. La DSI organise des mises en situation pour élever votre vigilence avec des faux phishing. Ouvrez l'oeil, il en va de votre sécurité.

  1. Le Phishing, qu’est-ce que c’est ?
  2. Conséquences d'un phishing réussi
  3. Comment se protéger ?
  4. Comment marchent ses campagnes de faux phishing ?
  5. Pourquoi on me donne un score ?
  6. Je me suis trompé, dois-je changer mon mot de passe ?
  7. Données à caractère personnel collectées et conformité à la réglementation sur leur protection

Le Phishing, qu’est-ce que c’est ?

Utilisant le principe de l'ingénierie sociale, le phishing (ou hameçonnage en français) est l'une des techniques les plus utilisées par des groupes mal intentionnés pour inciter un utilisateur à transmettre ses identifiants de connexion (ou ses données bancaires ou toute autre donnée précieuse). Ce type de piège est observé régulièrement et nous constatons souvent que des comptes ont été compromis par ce moyen. Le phishing est parfois utilisé pour développer d’autres attaques. Les comptes compromis sont souvent vendus à d’autres pirates qui mettent en  œuvre des dispositifs plus sophistiqués en exploitant votre compte. Les conséquences peuvent être sévères pour vous et pour le réseau de l’Université.

Ces messages ne sont plus toujours dans le français approximatif produit par des traducteurs automatiques ; de plus en plus ils ciblent les utilisateurs grâce à un texte apparaissant plausible.  Ils peuvent sembler provenir d’adresses du domaine univ-rennes1.fr, le mot « DSI » peut se trouver dans le texte du mail ou dans la signature, parfois même l'identité graphique est reprise (un bandeau ne prouve rien). Parfois le site web vers lequel conduit le lien présent dans le corps du mail peut être une copie pure et simple d'un service de la DSI comme le serveur de login sso-cas..

Ces attaques fonctionnent puisque nous déplorons plusieurs dizaines de victimes par an, d'où la décision de réaliser des campagnes de sensibilisation.

Conséquences d'un phishing réussi

Dans notre contexte, le login et le mot de passe d'un compte Sésame qui sont volés servent la plupart du temps à la transmission massive de spams via les relais de messagerie. Une conséquence négative est la mise en liste noire de nos relais de messagerie par les autres services de messagerie Internet. En général, la surveillance des logs de nos serveurs de messagerie permet d'éviter la mise en liste noire mais nous avons subi ces dernières années ce type d'évènement.

Une des variantes consiste à réutiliser un des messages présents dans votre dossier des courriers envoyés, y rajouter une pièce jointe contenant un malware et ré-envoyer ce message modifié à ses destinataires initiaux. C'est l'assurance que le message sera reçu comme un contenu normal car provenant d'une connaissance et relatif à un échange auquel le destinataire n'est pas étranger. S'il ouvre la pièce jointe, le pirate prend le contrôle de son poste de travail, l'attaque peut se poursuivre... Dans les cas les plus grave, les pirates ont pour objectif de déployer silencieusement et massivement un logiciel malveillant capable le moment choisi de crypter toutes données de ses victimes. Une rançon peut alors être demandée.

Comment se protéger ?

Même si plusieurs dispositions limitent la réception des messages de phishing, il n’y a pas d’outil miracle qui permettrait de les détecter tous. La vigilance de chacun est donc indispensable. Pour que celle-ci soit affûtée, nous diffusons de faux messages de piège ; vous aurez probablement la satisfaction d’en reconnaître certains.  Ouvez l’œil !
 

Comment marchent ses campagnes de faux phishing ?

La DSI adresse à l'ensemble des personnels des messages similaires à ceux que nous observons. Seule différence, le site vers lequel vous êtes invités à aller et sur lequel on vous demande votre sesame est un site de l'université, mais dans un domaine dont le nom n'est pas vraiment le domaine officiel univ-rennes1.fr. Si vous ne détectez pas la supercherie, vous êtes orienté vers une page qui vous donne les indices que vous auriez du reconnaître. Votre score personnel est dégradé.

Pourquoi on me donne un score ?

Le fait de garder une trace des situations de phishing que vous n'avez pas déjouées est utilisé uniquement  à deux fins :

  1. mesurer statistiquement les progrès d'ensemble des personnels
  2. ré-itérer l'exercice plus souvent pour les personnes qui ne repèrent pas les pièges (celles qui ne donnent pas leur mot de passe ne reçoivent un nouveau hameçonnage  qu'une fois par an)

Personne n'accède au score des individus.

Je me suis trompé, dois-je changer mon mot de passe ?

Dans le cas général, si vous donnez votre mot de padsse sur un serveur de piège, il est urgent de changer votre mot de passe en allant sur https://sesame.univ-rennes1.fr/motdepasse/private/changepassword  rapidement. Dans le cas des exercices de mise ne situation de phishing, ce n'est pas necessaire. Le site de l'exercice ne stocke pas votre mot de passe.

Données à caractère personnel collectées et conformité à la réglementation sur leur protection

Les données
Des données à caractère personnel sont collectées lors de chaque campagne de mise en situation. De même des données issues du système d'information sont utilisées.

Ces données sont :

  • le nom patronymique
  • le login
  • l'adresse mail
  • le site d'affectation

Les données collectées pour chaque personne ayant participé à une campagne sont :

  • le scénario utilisé
  • la date et l'heure d'envoi du mail de phishing
  • lorsque la personne s'est connectée sur le site et a fourni son login :
    • la date et l'heure de connexion au site de phishing
    • le nombre de fois où la personne a donné son mot de passe réel (score)
    • le fait que la connexion soit initée depuis le réseau interne ou depuis internet 
    • le système d'exploitation utilisé
Les données sont stockées dans une base sur un serveur interne de la DSI.
 
Finalité et base légale
Le traitement est effectué pour mettre en œuvre de la PSSI de l'état. La base légale du traitement est l’obligation légale (article 6 (1) c RGPD) et le responsable de traitement est l’Université de Rennes 1.
Les données collectées permettent d'adapter automatiquement les mises en situation aux performances de chacun, de cibler les populations qui ont le plus besoin de l'exercice de mise en situation et d'en extraire des données statistiques.

Destinataires
Seuls les RSSI et les administrateurs de l'application ont accès à ces données, ils s'interdisent toute exploitation autres que celles décrites dans ce document.

Durée de conservation
Les données qui ont un caractère identifiant des personnes sont effacées pour ne conserver que les éléments statistiques deux ans après leur collecte.

Vos droits
Vous disposez des droits d’accès, de rectification et de limitation du traitement. Consultez le site cnil.fr pour plus d’informations sur vos droits. Pour exercer ces droits ou pour toute question concernant le traitement de vos données à caractère personnel, vous pouvez contacter la déléguée à la protection des données à l’adresse suivante : dpo@univ-rennes1.fr.
Si vous estimez, après nous avoir contactés, que vos droits « Informatique et Libertés » ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL.
 

Mise à jour : 07/05/2021 - 17:21