Le CERN démontre que l’humain est la première faille dans tout système informatique

Le Conseil européen pour la recherche nucléaire ou CERN a mis en évidence, en août 2022, la faille qui menace sans doute le plus la sécurité des systèmes informatiques, l’humain. Le célèbre centre de recherche situé à Genève a, en effet, lancé une opération de sensibilisation en simulant une attaque de phishing massive sur ses employés. Les résultats de cette simulation sont édifiants : plus de 1 800 employés sont tombés dans le piège.

Simulation d’une attaque massive par phishing

Le phishing, ou hameçonnage en bon français, est une des techniques de piratage les plus répandues, mais aussi les plus redoutables. Elle consiste à récupérer des données confidentielles et sensibles comme des informations personnelles ou bancaires, ou encore des identifiants et des mots de passe par l’envoi de faux e-mails institutionnels.

Dans l’article “Sécurité informatique : ce n’est pas gagné”, on apprend que c’est cette technique que l’équipe de cybersécurité du CERN a utilisée pour une opération d’envergure menée dans le cadre de la campagne annuelle de prévention des risques informatiques.

L’opération a consisté à simuler une attaque massive par phishing par l’envoi, à partir de fausses adresses mail, de 22 731 courriels piégés aux employés.

1 800 employés tombés dans le piège

Les messages avaient des contenus différents, mais tous ont été rédigés de sorte qu’ils aient l’air importants. Quelques-uns des prétextes utilisés par les faux pirates pour entrer en contact avec les victimes potentielles de l’hameçonnage étaient :

• une facture émise au nom du destinataire,
• un abonnement Microsoft Office à renouveler,
• un contrat à signer,
• un rapport sur le Covid-19…

Chaque message incitait son destinataire à cliquer sur un lien frauduleux qui redirigeait l’imprudent employé vers une page de connexion où il devait renseigner son nom d’utilisateur et son mot de passe du CERN.

Un constat alarmant

Cette fausse attaque par hameçonnage avait donc tout d’une vraie, avec des adresses mail paraissant officielles alors qu’elles ne l’étaient pas et des messages convaincants. Les employés ayant cliqué sur le lien ont mis leur appareil et leur vie numérique en danger, explique le service de cybersécurité du centre. Pour ce dernier, communiquer le mot de passe du CERN à un site web malveillant ouvre la porte à la fraude et au sabotage.

Sur les 22 731 e-mails frauduleux envoyés, 1 800 ont fait des victimes qui ont cliqué sur le lien d’hameçonnage et ont saisi leurs noms d’utilisateurs et leurs mots de passe sur la fausse page d’identification.

Le résultat de cette opération est une pêche bien “triste”, pour les experts informatiques du CERN. Ils estiment, en effet, que si l’attaque avait été autre chose qu’une simulation, “1 800 adresses électroniques se trouveraient à présent entre les mains du pirate”.

Des identifiants qui, selon les mêmes experts, auraient pu servir à des activités frauduleuses comme :

• Télécharger des revues scientifiques onéreuses ;
• Extraire des données et des documents confidentiels ;
• Détourner de l’argent de la trésorerie du centre ;
• Saboter les activités de l’accélérateur de particules ;
• Nuire à l’image et à la réputation du CERN

Les recommandations du CERN à ses employés

La réussite de cette fausse attaque, dont la méthode repose non pas sur des programmes sophistiqués de piratage, mais sur la crédulité des cibles, met en lumière un principe bien connu en cybersécurité : l’humain est le premier maillon faible de la sécurité informatique.

• Pour remédier à ce problème, l’équipe de cybersécurité du CERN a, dans le même article, appelé ses employés à plus de prudence et à adopter le mantra “réfléchir avant de cliquer”.
• Ils ont aussi émis des recommandations quant à la meilleure façon de déjouer les tentatives de phishing. Les employés sont notamment invités à vérifier si le nom de l’expéditeur leur est familier, si le contenu du message est logique ou encore, si ce dernier est formulé de façon claire et compréhensible.
  Enfin l’article appelle également les employés à renforcer la sécurité de leurs comptes en utilisant l’authentification à deux facteurs avec leurs téléphones portables ou des jetons matériels.