View in

English

Sécurité informatique : la fraude au PDG, deuxième tentative

À la fin de l'année dernière, des membres du Conseil du CERN ont été la cible de ce que l'on appelle la « fraude au PDG », selon le même schéma que l'attaque lancée contre le CERN à la fin de l'année 2020. La fraude au PDG est une méthode d'ingénierie sociale visant à extorquer de l'argent d'une entreprise, en recourant à plusieurs techniques psychologiques pour empêcher la victime d'agir de manière rationnelle :

  • En misant sur la peur, les sentiments de culpabilité ou de honte, c'est-à-dire en menaçant la victime et sa famille (comme dans le film Souviens-toi... l'été dernier). Sous la pression de cette menace, la victime obtempère par crainte de conséquences négatives si elle refuse de faire ce qui lui est demandé ;
  • Par la flatterie, c'est-à-dire en jouant sur l'ego, la fierté ou la complaisance (voire le narcissisme) de la victime ;
  • À travers le respect pour la hiérarchie ; la victime, qui s'imagine n'être qu'un petit rouage dans la machine, obéit parce qu'une personne hiérarchiquement beaucoup plus élevée qu'elle lui a enjoint de le faire.
  • En demandant de l'aide, c'est-à-dire en feignant de se trouver dans une situation difficile ou délicate et d'avoir besoin d'une aide immédiate.

Tout comme en 2020, cette « nouvelle » fraude s'est appuyée sur cette dernière technique, visant cette fois le Conseil en usurpant le nom de son président ainsi que son adresse électronique (voir notre article paru dans le Bulletin intitulé, « Les courriels d’aujourd’hui sont les lettres d’hier »). L'attaque a été lancée le 8 décembre, lorsque plusieurs membres du Conseil du CERN ont reçu le message suivant, prétendument de la part de son président :

home.cern,Miscellaneous

Les premiers mots sont amicaux, le ton est familier. Le pirate entre ensuite dans le vif du sujet en demandant de l'aide pour faire face à une situation difficile. L'adresse de l'expéditeur présumé a été trafiquée pour ressembler à celle de son soi-disant institut d'origine. L'adresse à laquelle il était demandé de répondre avait également été falsifiée et renvoyait à une adresse Gmail.

À ce stade, la vigilance est de mise. En cas de doute, contactez-nous à l’adresse Computer.Security@cern.ch. Il peut s'agir d'une stratégie de fraude connue, ou bien d'autres personnes ont déjà signalé cette tentative de fraude. Dans le cas présent, certaines personnes ont répondu au message :

home.cern

Une fois que la victime a mordu à l'hameçon et que la conversation est amorcée, le pirate peut passer à l’attaque :

home.cern,Miscellaneous
 

Fort heureusement, la victime, qui a commencé à se méfier, contacte Computer.Security@cern.ch. Bravo !

En cas de doute, il est essentiel d'établir une deuxième ligne de communication, moins susceptible d'être trafiquée, comme un appel téléphonique. Il est en effet difficile de falsifier sa voix lors d'une conversation. Ainsi l'identité de l'expéditeur du courriel peut être vérifiée en l'appelant au téléphone. C'est ce qu'a fait l'un des récipiendaires du message en invitant le pirate à l'appeler :

home.cern,Miscellaneous

Le pirate tente d'esquiver la demande :

home.cern,Miscellaneous

Il tente de remettre la conversation sur les rails, mais trop tard, le récipiendaire se méfie à présent et contacte l'équipe chargée de la sécurité informatique du CERN. Bien joué ! Fin de partie pour le pirate.

En signalant la tentative de fraude à l'adresse Computer.Security@cern.ch, le CERN a pu :

  • bloquer des courriels similaires ainsi que l'adresse électronique du pirate ;
  • identifier les autres personnes ayant reçu le message frauduleux et les avertir (comme l'a fait le Secrétariat du Conseil, merci infiniment !) ;
  • signaler l'IBAN de l’agresseur pour qu'il ne puisse pas être utilisé au CERN.

Voilà pourquoi il faut faire preuve de vigilance et de méfiance. Ce n'est pas parce que vous êtes serviable et savez faire preuve d'empathie qu'il faut vous laisser abuser. Ne vous laisser pas piéger par ces tentatives de fraude au PDG. De même, ne vous laissez pas impressionner (ou intimider) par un lien hiérarchique, l'autorité d'un dirigeant, ou par la fermeté des propos. Ne vous laissez pas envahir par la honte, harceler ou intimider par des courriels visant à susciter la peur, la culpabilité ou la honte. Il s'agit la plupart du temps de messages frauduleux. Au contraire, en cas de doute, faites intervenir votre hiérarchie, le Service d’audit interne du CERN, ou contactez Computer.Security@cern.ch. Ils sont là pour vous soutenir et vous aider ! En agissant rapidement, vous contribuez à protéger le CERN lorsque les autres mesures échouent. Il vaut mieux prévenir que guérir.

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais). Si vous désirez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.