L’UNIL victime de spear phishing, une arnaque sur mesure

par Karim Khouw Zegwaart, coordinateur de support informatique, Ci-UNIL

Pendant l’été 2019 plusieurs personnes à l’UNIL ont été victimes de spear phishing, une arnaque basée sur des techniques de manipulation et non sur des faiblesses techniques. Analyse et conseils pour se protéger.

© Nina Sitkevich – Dreamstime.com

Une arnaque personnalisée

C’est en août que l’attaque à l’UNIL prend place, beaucoup de vos collègues sont en vacances, et vous recevez sur votre boîte un email contenant une seule phrase: « Hello are you available? ». Malgré sa simplicité, le message semble provenir de votre supérieur. Sans trop réfléchir et soucieux de l’aider, vous répliquez: « je ne suis pas sur le campus, mais oui je suis dispo! »

Très peu de temps après votre première réponse, votre interlocuteur vous indique être « en réunion » et donc non joignable par téléphone. Il a cependant urgemment besoin de votre aide. Si vous mordez à l’hameçon et réagissez favorablement, l’arnaqueur adaptera ses messages en prenant un ton de plus en plus autoritaire pour tenter de vous faire acheter des cartes cadeaux physiques. Une fois leurs codes transmis, impossible de revenir en arrière et l’escroc pourra les utiliser comme bon lui semble.

La force de cette attaque vient de son utilisation des relations professionnelles. On sort des habituels messages envoyés en masse qui tentent d’usurper un service informatique pour demander des mots de passe. L’assaillant crée ici une fausse adresse email contenant le nom d’un collaborateur haut placé pour ensuite envoyer des messages personnalisés qui jouent la carte de la hiérarchie afin de demander des « services ». Avec du recul, il est facile de détecter la supercherie, mais les techniques de manipulation employées, couplées à un désir de « faire plaisir à ses supérieurs », ont déjà prouvé leur efficacité.

Le premier email qui tente de vous « harponner » : facile de créer un email NomDeMonChef@gmail.com

Le cas UNIL

Pour des raisons de sécurité et de confidentialité, nous n’allons pas donner d’indications qui permettraient de reconnaître des personnes ou de comprendre trop précisément nos méthodes d’analyse et de défense. Sortons maintenant notre loupe pour nous pencher sur l’affaire qui nous intéresse. Généralement, la première hypothèse lors de ce genre d’arnaque est qu’un compte a été piraté et que les fraudeurs utilisent la liste de contacts et l’email volé pour opérer. Dans notre cas, cette hypothèse est rapidement écartée, car il semblerait que l’attaque se soit limitée aux membres des facultés visées. En analysant l’attaque à l’UNIL, on se rend compte qu’aucun mot de passe n’a été volé. L’attaquant a simplement créé une adresse privée et récupéré la liste des collaborateurs sur internet. Interrogé après l’incident, le Professeur Olivier Ribaux, directeur de l’école des sciences criminelles, précise que ce type d’attaque touche principalement les universités et institutions publiques. En effet, la transparence du monde académique en fait une cible idéale étant donné que les listes des collaborateurs et leurs fonctions sont disponibles publiquement. L’investigation a d’ailleurs pu confirmer un pic anormal de consultations des pages web contenant ces données administratives le jour précédant la tentative.

Il est très facile de trouver l’organigramme de l’UNIL et, de là, trouver les adresses des collaborateurs ainsi que l’organisation hiérarchique de chaque faculté.

Contrairement à l’image qu’on pourrait se faire d’une attaque qui manipulerait de complexes procédés pour voler des comptes, celle-ci ne nécessite que très peu de compétences informatiques et base sa stratégie sur le rapport de pouvoir qui peut encore exister entre employeurs et employés. Elle est d’autant plus redoutable pour une institution de la taille de l’UNIL qui engage régulièrement des collaborateurs de divers horizons culturels et linguistiques, souvent pour de courtes périodes dans le cas des assistants. Heureusement, la particularité de cette arnaque apporte aussi son lot de faiblesses, notamment sa portée restreinte. Il est plus facile de la cadrer, mais aussi de prévenir tout dommage en adoptant quelques règles de sécurité.

Quelles sont les précautions à prendre?

Si vous recevez un email qui vous paraît suspicieux, le premier point à vérifier est l’adresse email de votre interlocuteur. Les fraudeurs utilisent généralement des services gratuits, du type Gmail, pour créer une fausse adresse. Même si le nom affiché est correct, vérifiez toujours le nom de domaine. Si l’adresse de l’email ne se termine pas par @unil.ch, contactez votre interlocuteur en passant par son adresse professionnelle. Un rapide coup de téléphone pour vérifier son identité peut aussi bien souvent éclairer la situation.

Avec Apple Mail, vous pouvez afficher l’adresse complète en cliquant sur la petite flèche à droite du nom de l’interlocuteur. Avec Outlook et OWA, l’adresse complète est automatiquement affichée.

Dans un deuxième temps, il faut avertir le help desk qui pourra mettre en place des mesures pour bloquer toutes réponses envoyées aux fraudeurs et s’assurer qu’aucun collaborateur ne puisse aller jusqu’au bout de la transaction. Vous pourrez ensuite contacter la personne lésée et vos collègues pour les informer de la fraude. Finalement, une fois la fausse adresse transmise au help desk, supprimez cet email. Et si c’est votre identité qui a été usurpée, vous pourrez tout de même contacter directement le fournisseur d’adresse mail pour déclarer un abus, même s’il est malheureusement difficile de faire supprimer ce type de compte.

Comme très souvent, le bon sens et la vigilance seront vos meilleures armes pour vous défendre. Malgré les progrès phénoménaux des services de traduction tels que Google translate, on peut généralement discerner quelques petites fautes et une écriture très rigide, presque robotique. Il est aussi très probable que si une demande est trop farfelue pour sembler raisonnable, elle ne soit pas légitime. Pour éviter tout problème, utilisez toujours les canaux de communications professionnels (email UNIL, téléphone UNIL…) et n’hésitez pas à contacter le help desk.