Attaque du virus Emotet… prudence !
L’Inist est actuellement victime d’une importante attaque virale ciblée. Ce virus, il s’appelle Emotet et il est particulièrement malin.
Mais comme pour le coronavirus, des gestes barrières existent. Ils peuvent être appliqués au bureau et à la maison.
Explication et rappel des bonnes pratiques avec Angel Turri, Sylvain Ponticelli et Michel Villaume du Service Ingénierie des systèmes d’information.
Au fait, c’est quoi le phishing ?
Depuis quelques semaines se déroule une campagne massive d’envoi de mails frauduleux de type phishing (ou hameçonnage en français). Les administrations et les collectivités sont principalement visées. Le principe du phishing : récupérer des données personnelles via l’usurpation d’identité.
Il peut se présenter sous forme de pièce jointe dont l’ouverture peut provoquer l’infiltration d’un virus dans le système, ou sous forme de lien url. Ce dernier peut vous renvoyer vers un site vous demandant des informations confidentielles, ou il peut engendrer le téléchargement d’un virus.
L’attaque a commencé quand à l’Inist ?
Les premiers mails suspects ont été détectés aux alentours du 3 septembre dernier par le service Ingénierie des systèmes d’information grâce à des signalements émis par des agents.
C’est d’ailleurs l’occasion de rappeler que tout mail douteux doit être transféré (en pièce jointe pour conserver le header) à Sylvain et Michel pour vérification (rassurez-vous, même s’ils ne vous répondent pas, votre mail est utile et pris en compte).
En parallèle, cette attaque a été détectée par la SSI (sécurité des systèmes d’information) du CNRS et par le CERT Renater dont le rôle est d’assister les établissements de recherche et d’enseignement dans la sécurité informatique.
Le virus a ensuite été identifié comme étant Emotet.
Comment ça se passe ?
Le mode opératoire de ces attaques est de contaminer les boites de messagerie pour se propager à travers les contacts des victimes. Ces mails frauduleux d’apparence légitime vous incitent à ouvrir des pièces jointes elles aussi d’apparence légitime ou de cliquer sur des liens.
En effet, concernant l’Inist, l’expéditeur semble être quelqu’un de l’Institut, mais ne vous y fiez pas. Ce virus a la particularité de cibler ses victimes. Donc regardez bien l’adresse mail de l’expéditeur et ne la confondez pas avec le champs « nom » qui peut contenir une adresse mail, et en particulier le domaine (ex. @toto.fr)
Où est le risque ? Dans l’ouverture du mail ou dans l’ouverture de la pièce jointe ?
Dans notre cas, le problème semble principalement venir des pièces jointes .doc. Donc à priori, si la pièce jointe n’est pas ouverte, le risque est moindre. Cependant, certaines boîtes mails sont paramétrées pour permettre une prévisualisation de la pièce jointe. Attention dans ce cas car une simple prévisualisation peut offrir une faille au virus qui en profite pour s’insérer insidieusement dans notre réseau.
La vigilance est également de mise avec les liens url qui peuvent nous envoyer vers des pièges.
Une règle d’or : ne pas cliquer n’importe où, sur n’importe quoi.
Et Emotet, il nous veut quoi à l’Inist ?
Extraire des données particulières ? Ou juste nous embêter ? On ne le sait pas vraiment. Nos collègues ont cependant remarqué que le niveau d’attaque avait tendance à évoluer le lundi, par vagues. Ils en déduisent donc que le hacker n’a pas encore eu ce qu’il voulait. Ou alors, est-ce que son passe-temps du week-end serait de perfectionner son virus juste histoire de s’amuser ? Peut-être aurons-nous une réponse un jour… ou peut-être pas.
Et l’antivirus, il sert à quoi alors dans l’histoire ?
Comme tout vaccin, un antivirus est conçu pour répondre à des menaces connues. Ici, grâce à ses évolutions, Emotet arrive à franchir l’antivirus pour atteindre nos ordinateurs.
Heureusement, l’antivirus évolue aussi très rapidement afin de contrer les attaques. Reste à s’assurer régulièrement que l’antivirus est à jour. C’est pour cette raison qu’une campagne interne de vérification des postes de travail est en cours.
Qu’est-ce qu’il se passe quand une pièce jointe frauduleuse est ouverte ?
Rien de visible de prime abord si ce n’est le contenu de la pièce jointe qui n’inspire pas confiance (ex. : une suite étrange de chiffres et lettres). Mais attention, une attaque d’espionnage est lancée. Une macro s’installe dans le disque dur de l’ordinateur et exfiltre les données.
Urgence ! Que faut-il faire ?
Premier geste en cas de contamination : contacter Angel, Sylvain ou Michel. Il est impératif de changer tous vos mots de passe depuis un poste propre dans un second temps.
Comment se protéger des virus ?
Notre vigilance est la seule parade réellement efficace contre ces attaques. Comme il est impossible techniquement de bloquer tous ces messages frauduleux, il convient de respecter les recommandations suivantes (tant sur PC que sur tablettes ou smartphones) :
– Même si le nom de l’expéditeur vous est familier et que l’objet du mail est cohérent, soyez prudent ! En cas de doute, contactez si possible votre interlocuteur pour vérifier qu’il est bien à l’origine du message.
– Ne répondez jamais à une demande d’informations confidentielles. Ces demandes, quand elles sont légitimes, ne sont jamais formulées par mail.
– Méfiez-vous les liens présents dans les mails reçus. Ils peuvent cacher des virus ou autre logiciels malveillants. Passez la souris au-dessus du lien sans cliquer pour vérifier qu’il pointe bien vers le site annoncé dans le message (recommandation applicable uniquement pour les ordinateurs)
Est-ce qu’il y a des conseils et outils pour renforcer la sécurité ?
– Quand vous envoyez un mail avec une pièce jointe, pensez à expliquer dans votre message que vous envoyez telle pièce jointe. Cela permettra de rassurer votre destinataire, car les messages frauduleux avec pièce jointe ne sont généralement pas accompagnés d’une description (même rapide) dans le corps du message.
– Privilégiez le format PDF plutôt que les formats .doc ou .xls.
– Vous devez avoir une gestion responsable de vos mots de passe, ne pas les coller sur le clavier de l’ordinateur et utiliser KeePass, un gestionnaire de mot de passe pour la sécurisation des mots de passe sur tous vos ordinateurs : https://keepass.info/
– Vous devriez demander un certificat au CNRS qui garantira votre identité lors d’envoi de mails (informations auprès de Michel ou Sylvain) et vous permettra de vous authentifier plus rapidement sur les services CNRS JANUS.
La signature numérique identifie l’émetteur et garantit que le contenu du message n’est pas altéré.
Pour les échanges confidentiels, il est également conseillé de chiffrer numériquement.
Ces protections sont possibles grâce à l’utilisation de certificat électronique propre à chaque utilisateur et délivré par une autorité de certification (CA) habilitée.
Un portail self-service, développé par la DSI/CNRS (https://sesame.cnrs.fr/secure/#/), permet l’obtention de certificat personnel.
Lors de la demande, il est impératif de :
– Choisir un mot de passe robuste et le mémoriser (*)
– Sauvegarder (*) le certificat généré afin de l’installer dans les navigateurs (connexion aux applications métiers CNRS) et dans les outils de messagerie (signer/crypter)
(*) L’utilisation de Keepass permet d’assurer ces fonctions.
Merci pour votre attention, ainsi que pour votre vigilance individuelle et collective.