Incorporation et Formation Humaine et militaire X2022

Message de sensibilisation SSI

Sensibilisation : le "phishing" ou hameçonnage

Qu’est-ce-que le hameçonnage ?
Le hameçonnage, également connu sous le terme anglophone « phishing », est une pratique malveillante permettant à un fraudeur de se procurer des informations sensibles, telles que des mots de passe, codes d’accès bancaires, des numéros de cartes bancaires, etc. Il s’en sert ensuite pour voler des données à ses victimes, polluer la messagerie d'autres utilisateurs (spam), ou accéder à certains services et applications en utilisant un même mot de passe.

Comment les fraudeurs procèdent-ils ?

Les fraudeurs procèdent tout simplement en envoyant un courriel frauduleux à une liste de personnes, qui ressemblera à un courriel venant d'un service interne à l'Ecole polytechnique, ou d'une société/institution qui semble légitime : faux e-mails de compagnies d'électricité, du Trésor Public, de la Direction des systèmes d‘information de l’X, de fournisseurs d'accès Internet, etc.

Comment trompent-ils leurs victimes ?

Les caractéristiques des e-mails envoyés par les fraudeurs sont toujours les suivantes :

  • Dans de rares cas, ils vous demandent de répondre au courriel avec certaines informations sensibles (mots de passe, coordonnées bancaires, etc.) ;
  • Dans la plupart des cas, ils vous demandent de cliquer sur un lien qui vous mènera vers un faux site, reproduisant par exemple l’aspect d'un site officiel. Ce faux site sera une copie du véritable site, permettant au fraudeur de vous faire croire que vous allez transmettre ces informations sur le "vrai" site.

Les fraudeurs ne manquent pas d'imagination : ils utilisent des arguments persuasifs dans leur courriel, qui peuvent notamment être :

  • Un problème de sécurité : sous prétexte d’un problème de sécurité, le courriel vous demande vos identifiants, vos coordonnées bancaires, etc., sans quoi votre compte sera clôturé.
  • Un problème de facturation : le courriel vous indique un virement bancaire ou un achat en ligne et vous invite à aller vérifier sur le site en cliquant sur un lien.
  • Un courriel généré automatiquement à tous les contacts d’un compte qui vient d’être piraté. Il est classique que les auteurs de ces courriels aient recueilli des informations sur votre environnement (l’Ecole polytechnique, la Kès, etc.).pour personnaliser le mail que vous recevrez. Parfois il ne font même pas cet effort et malgré cela un certain nombre d’utilisateurs se font piéger. a titre indicatif, chaque mois, une moyenne de 3 personnes sont piégés.

La vigilance est de mise !

  • Votre direction des systèmes d’information (DSI, ASR dans les laboratoires, etc.) ne vous demandera jamais de lui communiquer vos identifiants, ni vos coordonnées de carte bancaire.
  • La même fraude peut se produire par téléphone (il s’agit alors de « vishing ») : aucun service informatique ne vous demandera jamais vos informations sensibles, tels que mots de passe, par téléphone.
  • Si vous recevez un courriel qui contient des fautes d'orthographe ou grammaticales grossières, il s'agit probablement d'une escroquerie. Cela s'explique par le fait que souvent les fraudeurs ne sont pas français et maîtrisent mal la langue. Ils utilisent souvent des outils de traduction sur Internet. Cela s’explique aussi par le fait que l’imperfection de ces courriels - parfois volontaire - constitue une sorte de filtre : si le piège est grossiers, ceux qui y tombent sont soit naïfs soit vraiment pas vigilants, dans les deux cas ce sont de cibles idéales pour la suite.
  • En cas de doute connectez vous directement sur le site que vous connaissez plutôt que de suivre un lien inséré dans le corps d’un courriel.
  • Vous pouvez également contacter l'expéditeur prétendant vous avoir envoyé un tel courriel, afin de vérifier qu'il est bien l'auteur du courriel reçu.
  • Si vous pensez avoir été piégé, contactez contactez au plus tôt par ordre :
- Le binet réseaux (root [_at] eleves.polytechnique.fr)
- Le Service Desk de la DSI (support [ at_] polytechnique.fr), ou poste 44.44
- Le RSSI de l'Ecole polytechnique (rssi [_at ]polytechnique.fr)

Certains de vos camarade se font piéger régulièrement et offrent leurs contacts (leur section, leur binet, leur promo, etc.) à tout hacker opportuniste. A bon entendeur...

Comment puis-je limiter les risques de recevoir un courriel de phishing des fraudeurs ?

Votre adresse de courriel reçoit probablement tous les jours des "spam" : des courriels non sollicités, à propos de sujets divers et variés. Les bonnes pratiques consistent à :

  • Ne pas ouvrir les courriels qui proviennent d'expéditeurs que vous ne connaissez pas.
  • Ne jamais répondre à un courriel si vous avez un doute quelconque sur ce dernier. Encore une fois, si quelqu'un vous demande de communiquer vos identifiants par courriel, il s'agit d'une tentative de phishing.

Comment les fraudeurs ont-ils eu mon adresse courriel ? Me connaissent-ils ?

Les fraudeurs ne vous connaissent pas. Pour eux vous êtes juste une adresse courriel parmi des milliers d'autres. Les fraudeurs collectent des milliers (voir des millions) d'adresses courriel qu'ils trouvent sur Internet par certaines méthodes :

  • Certains sites mal conçus stockent votre adresse courriel en clair sur Internet. Cela peut être par exemple un forum sur lequel vous avez fait un commentaire et pour lequel vous avez donné votre adresse de courriel.
  • Votre adresse de courriel est directement accessible sur Internet. Cela peut être le cas si vous avez mis votre curriculum vitae sur Internet, ou encore un réseau social par exemple.
  • Certains fraudeurs sont aussi hackers. Ils réussissent à accéder à des bases de données de certains sites Internet mal sécurisés (un forum de particuliers, un site commercial, cela peut être tout et n'importe quoi, du moment qu'il y a des personnes inscrites avec des adresses de courriel). Ces bases de données peuvent contenir votre adresse email.

Une bonne solution pour éviter de recevoir trop de spam, donc de courriels de phishing consiste à utiliser plusieurs adresses courriel.
Le principe est le suivant : vous disposez d'une adresse courriel principale, que vous ne communiquez jamais sur Internet, et qui vous sert exclusivement à votre correspondance privée et/ou professionnelle.
En parallèle, vous créez une ou plusieurs adresses courriel qui vous serviront à communiquer lors de vos inscriptions sur des forums, des sites d'achats, etc.

Il existe même des adresses dites "jetables", à utiliser ponctuellement, et qui n'existent que quelques heures ou quelques jours.
Le site jetable.org propose ce service. Il en existe d'autres, accessibles via votre moteur de recherche préféré.

Un exemple réel de tentative d'hameçonnage déjoué :