Aller au contenu

Chroniques en sécurité de l’information du Collège Ahuntsic, numéro 3

Sécurité informatique
Le 9 mai 2018 par: RUDY JEAN, ANALYSTE EN SÉCURITÉ DE L'INFORMATION, DIRECTION DES TECHNOLOGIES DE L'INFORMATION

CSI: Ahuntsic est un bulletin qui présente des nouvelles, en sécurité de l’information, pertinentes pour la communauté du Collège Ahuntsic. Dans cette édition, nous parlerons d’hameçonnage. Nous définirons ce que c’est et nous parlerons d’une campagne d’hameçonnage qui a lieu en ce moment. Nous introduirons aussi le concept d’ingénierie sociale.

L’ingénierie sociale

L’ingénierie sociale est une forme de piratage informatique basée sur la psychologie. C’est une technique qui cible le maillon faible de la chaine de la cyber sécurité: l'humain. L’ingénierie sociale est l’art d’obtenir une information confidentielle en manipulant les gens. Les informations ainsi obtenues serviront à contourner les mesures de sécurité d’une entreprise.

Les pirates informatiques obtiennent des informations de la part des utilisateurs par téléphone, courrier électronique, contact direct, etc. L'ingénierie sociale est basée sur l'utilisation de la force de persuasion.

Voici deux des techniques utilisées pour vous persuader de faire ce qu’ils demandent:

  1. Les pirates peuvent se faire passer pour quelqu’un en autorité : un technicien, un administrateur, etc.
  2. Les pirates vont essayer de créer chez vous un sentiment d’urgence, afin de vous pousser à agir sens réfléchir à la situation.

L'hameçonnage

Dans le numéro du 22 février 2018, nous parlions des principes de base de la cybersécurité. Le principe #2 « Tu ne tiendras pas compte de courriels provenant d’adresses inconnues et tu n’ouvriras pas de pièces jointes ou un lien inattendu provenant d’un collègue, d’un ami ou de membre de la famille » a pour but de nous prémunir contre l’hameçonnage.

Selon le dictionnaire terminologique de l’Office de la langue française, http://www.granddictionnaire.com,  l’hameçonnage est une tentative d'escroquerie basée sur l'usurpation d'identité, consistant à envoyer massivement un courriel, apparemment émis par une institution financière ou une entreprise commerciale, dans le but d'obtenir des renseignements confidentiels. Simplement dit, l’hameçonnage est une technique d’ingénierie sociale.

Attention: Ceci n’est pas un exercice

Depuis la semaine dernière, on rapporte que des employés d’organismes gouvernementaux reçoivent des courriels hameçonnage ayant les caractéristiques suivantes:

  • La personne reçoit un courriel qui lui indique que sa boîte de courriel manque d’espace et l’invite à cliquer sur un lien pour augmenter la capacité de la boîte.
    • Le message est rédigé dans un français relativement correct et est présenté comme en provenance de l’organisation,
    • Question de mettre un peu plus de pression sur la personne, le courriel indique qu’à défaut de fournir les détails demandés, le compte de courriel sera désactivé,
    • Si on regarde les entêtes du message, le courriel semble provenir du compte du destinataire;
  • Si le lien est activé, l’attaque procède à deux actions :
    • Le mot de passe du compte est changé, ce qui permet à l’attaquant d’en prendre le contrôle;
    • Le même courriel d’hameçonnage est expédié, à partir du compte compromis, vers 102 adresses sélectionnées dans le carnet de ce compte.

À ne pas manquer