1800 employés du Cern succombent à une fausse attaque par phishing

L’humain demeure un maillon faible dans la sécurité informatique. Illustration supplémentaire avec la fausse attaque par hameçonnage – ou phishing –  révélée en août par le Cern, l’Organisation européenne pour la recherche nucléaire située à Genève, afin de tester la résistance de ses employés à la sollicitation par de faux emails. Plus de 1 800 personnes du célèbre laboratoire ont communiqué leurs identifiants de connexion.

Usuellement 10% à 20% des employés cèdent à du phishing

Le Cern révèle que ce type de campagne de prévention du phishing trompe habituellement 10% à 20% des employés. On peut remercier les équipes du Cern de communiquer sur cette opération, car la prise de conscience des enjeux de sécurité informatique par les personnels doit concerner toutes les entreprises.

Cette opération intervient alors que le service informatique du Cern recommande de recourir à l’authentification à 2 facteurs pour désamorcer les attaques  de phishing. L’authentification à 2 facteurs, utilise un mot de passe, associé à un code envoyé sur le smartphone de l’utilisateur ou associé à l’usage d’un token, une clé USB d’authentification et de chiffrement possédée par l’utilisateur. L’authentification à 2 facteurs a commencé à être déployée au Cern qui propose pour sa part la clé USB Yubikey. Il faut noter qu’à la mi-juillet, le service informatique s’impatientait face à la résistance interne constatée à l’adoption de cette nouvelle solution de sécurité.

Dans le détail de la campagne révélée au 1^er août, plus de 1 800 personnes ont cliqué sur le lien transmis via 22 731 emails envoyés sur des adresses internes au Cern Les personnes sont tombées dans le piège et ont inséré leur nom d’utilisateur, ainsi que leur mot de passe, dans la fausse page d’authentification. Les messages incitaient à cliquer sur un lien qui redirigeait vers une page de connexion prête à recevoir le nom d’utilisateur de la personne ciblée. Puis, si l’employé transmettait cette information, il lui était demandé d’insérer son mot de passe du Cern.

Les emails de phishing semblaient importants

Les emails possédaient une adresse email ressemblant à une adresse d’employé du Cern. Les messages semblaient tous important tels que « nouvelle facture émise par + 41792231242 », « mise à jour de votre facture », « abonnement Office 365™ », « contrat signé », « action requise » ou « rapport COVID-19 2022 ».

Les équipes informatiques du Cern relèvent que s’il s’était agi d’une véritable attaque, 1 800 adresses emails se trouveraient à présent entre les mains de pirates. L’assaillant disposerait de 1 800 comptes pour envoyer des spams dans le monde entier via le système de courriel du Cern, pour usurper le nom du Centre de calcul afin de mener des activités de minage de crypto-monnaies, pour télécharger des revues ou des publications scientifiques payantes depuis la bibliothèque, pour extraire des données ou des documents confidentiels depuis les systèmes de stockage, etc.