L'administration de l'Université de Caen a relayé un phishing à plus de 2 000 étudiants en IUT. L'incident est sans conséquence, puisque personne n'y a mordu jusqu'au bout. Mais il est symbolique du genre d'erreur coûter cher à toute organisation.

C’est un événement sans conséquence, mais révélateur d’un constat : une baisse d’attention, et une personne peut rendre un phishing légitime auprès de milliers de personnes. Le 5 novembre, Titouan*, étudiant en informatique, reçoit un courriel, transféré par l’administration à une liste de diffusion qui inclut les plus de 2 000 étudiants des 4 IUT du pôle de Caen (à Caen, Ifs, Lisieux et Vire).

L’email s’affiche comme provenant de l’« Université Laval », au Québec et a pour objet « inscription à la demande de bourse d’étude canadienne 2020 – 2021 ». Titouan se rappelle : « J’ai lu l’email dans son intégralité, mais je n’y ai pas prêté pas attention. » Il faut dire que le message, qu’il a transféré à Cyberguerre, n’est pas particulièrement suspect.

Difficile, voire impossible, de se protéger à coup sûr contre le phishing. // Source : Claire Braikeh pour Numerama

Écrit dans un français impeccable, il reprend les codes des propositions de bourse, avec un langage administratif : « La direction régionale des bourses étrangères canadienne et le secrétariat d’état à l’étude et à la recherche de l’Université Laval lancent un appel à candidatures pour 700 bourses d’études canadiennes, au titre de l’année académique 2020-2021 ». En revanche, le message prend un peu plus loin un tournant « trop beau pour être vrai », une des ficelles les plus utilisées dans les phishing.

3 ans d’études et vol pris en charge

Non seulement chaque bourse peut couvrir jusqu’à un maximum de 6 semestres d’études (soit 3 ans), mais en plus les billets d’avion aller-retour pour aller au Canada, qui peuvent dépasser les 1 000 euros et être une barrière financière pour bon nombre d’étudiants, sont pris en charge par l’établissement. Pour candidater, il suffit de parler correctement le français ou l’anglais, d’avoir le baccalauréat et plus de 18 ans. Concrètement, tous les étudiants des IUT remplissent ces critères. Les intéressés doivent envoyer à une autre adresse email une lettre de motivation et deux photos d’identité pour « réclamer le formulaire d’inscription ».

Titouan laisse tout de même l’offre passer. Mais 8 jours plus tard, il reçoit un nouveau message, depuis la même adresse de l’administration : « URGENT : arnaque bourse ULAVAL 2020-2021- Courriel frauduleux ». En introduction, une personne de l’administration, qui signe le message, avertit : «  Bonjour, vous avez reçu le message ci-dessous il y a quelques jours. Il semble que cette proposition soit frauduleuse. En effet, les frais sont importants, et doivent être envoyés à une personne résidant au Bénin. »

L’étudiant regarde à nouveau le message. «  En relisant l’email, je me rends compte que derrière l’affichage, la source est une adresse Yahoo avec un surnom, et que l’adresse pour envoyer le dossier de candidature appartient à un domaine suspect, @execs.com », nous explique-t-il. La fausse proposition de bourse d’études était un phishing, probablement à finalité financière. Le relai par l’administration lui a permis non seulement de toucher plus de personnes, mais en plus de gagner en légitimité.

Contre le phishing, « le plus efficace c’est de parler avec les gens »

Contactée par Cyberguerre, la responsable de la sécurité du système d’information (RSSI) de l’Université de Caen Normandie, Annie Cobalto, rassure sur l’incident : « Personne ne s’est fait voler. » «  Toutes les universités sont en permanence victimes d’attaques plus ou moins ciblées  », nous explique-t-elle. Et forcément, comme dans toute organisation publique ou privée, certaines finissent par passer. Cette fois-ci sans conséquence.

Pourtant, l’Université est loin d’être sans protection. «  Nous avons une adresse de signalement des phishings en place. Si le personnel à un doute, il peut nous envoyer l’email. Nous l’analysons, et nous mettons des blocages en place si nécessaire, par exemple sur certaines URL », développe la RSSI. Comme la plupart des organisations, le service de sécurité tient à jour un bloqueur antispam, qu’il alimente avec les derniers exemples.

La sécurité face au « vouloir trop bien faire »

Pour Annie Cobalto, la plus grande problématique se trouve plutôt du côté de la remontée des incidents. « Le personnel ne peut pas toujours reconnaître la situation », constate-t-elle. Pour compenser cette faiblesse, le service organise des sessions régulières de sensibilisation : « La méthode la plus efficace, c’est de parler avec les gens. Nous avons des correspondants sur le terrain qui animent ces réunions. On y donne des exemples d’incident, et les bonnes pratiques à avoir. Le phishing n’est qu’un fragment des sujets que nous abordons ». Avec la crise sanitaire et la généralisation des cours à distance, ces réunions ne sont plus d’actualité. Alors Annie Cobalto et ses collègues ont édité un guide de bonnes pratiques, qui reprend des consignes génériques, adaptées à l’environnement universitaire.

Mais malgré ces méthodes de prévention, certains schémas malveillants fonctionnent, et dans ce cas, c’est aux protections déployées sur les postes de travail de prendre le relai. « Le biais auquel nous sommes le plus confrontés est celui de ‘vouloir trop bien faire ‘ », conclut la responsable, non sans s’amuser d’une anecdote : «  Il m’est arrivé de discuter avec des personnes qui avaient ouvert des pièces jointes censées être des factures… alors qu’elles ne géraient pas les factures. Elles espéraient y trouver des détails pour l’envoyer à la bonne personne ». Jusqu’à aujourd’hui, la RSSI n’a pas eu à gérer d’incident majeur, malgré un nombre grandissant de cyberattaques, d’année en année.

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux