Passer au contenu

Bercy pirate les emails de ses agents… pour la bonne cause

Afin de sensibiliser à la cybersécurité, le ministère des Finances mène des campagnes de piratage maison dont les cibles sont ses propres agents.

Die Hard

Lundi 2 octobre, quelque 145 000 agents de Bercy ont reçu un mail envoyé par Jean-Baptiste Poquelin, Thérèse Desqueyroux ou encore Emma Bovary (des grands noms de la littérature donc), dans lequel on leur proposait notamment des places de cinéma gratuites. Bingo ! Le piège s’est refermé sur des milliers d’entre eux lorsqu’ils ont cliqué sur le lien inséré dans le message.

Heureusement pour ces agents, cette campagne d’hameçonnage était en réalité une campagne de sensibilisation à la cybersécurité lancée par Bercy du 2 au 6 octobre.

30 000 agents tombent dans le panneau

« Plus de 30 000 personnes ont cliqué sur les liens entre 10 heures et midi lundi matin. C’est beaucoup », estime Yuksel Aydin, adjoint au responsable sécurité des services informatiques de Bercy, surtout après les cyberattaques mondiales des derniers mois.

Les cybermenaces ne sont plus un sujet obscur réservé aux pages des magazines spécialisés. Pourtant, le constat est là : les internautes lambda sont encore trop nombreux à se laisser avoir.

Sensibiliser pour sécuriser

C’est tout l’objet de cette campagne de sensibilisation aux risques cyber menée aux ministères économiques et financiers. Pour les agents piégés, le piratage s’est arrêté à l’ouverture d’une page web rappelant les recommandations d’usage en matière d’emails, pour les autres il aurait pu entraîner le vol de leurs données ou celles de leur entreprise.

Pour Bercy, c’est aussi un moyen de tester ses procédures d’urgence en cas d’attaque informatique ou de campagne de phishing. D’autres opérations sont prévues au ministère des Finances avec le soutien de représentants d’entreprises et d’associations de consommateurs.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

39 commentaires
  1. Ils ont cliqué sur un spam, quoi ?

    Quel est le véritable danger derrière ça ? (si les mises à jour du navigateur et de l’OS sont faites)

    Est-ce qu’on peut vraiment parler de piratage ? Ô_o C’est pas ça, du piratage…

    1. Faudrait voir la nature du mail, nom de domaine utilisé, lien etc. Peut etre que les infos du mail étaient déjà très douteuses.

      Si c’est du phishing tu sais déjà que si la personne clic sur un lien dégeu elle ira probablement plus loin

    2. Les mises à jour ne sont pas forcément faites (en temps et en heures) en entreprise : entre le temps de les tester de les appliquer en production, il peut s’écouler plusieurs semaines, et ce même sur un simple poste de travail.

      De plus, il existe toujours des failles non connues (des développeurs), appelées “0day” qui sont donc exploitables même sur un système parfaitement à jour.

      Ensuite, cliquer sur un “simple” lien, peut amener sur un page web à partir de laquelle, en fonction de la faille utilisée (au niveau du navigateur, en l’occurrence), un pirate peut obtenir le contrôle complet de l’ordinateur, ou alors les identifiants de ce pc (donc souvent un compte qui accède au “domaine” de l’entreprise), etc.

      Il y a donc un réel risque à cliquer sur un “simple” lien.

      1. Mmmmmh… Oui.

        Faut voir ce que les employés ont le droit de faire, quels sont les risques, etc…

        Si ils n’ont pas le droit de surfer hors boulot, c’est sûr qu’ils n’auraient pas du cliquer sur le lien.
        Après, c’est aussi au service info de faire les MAJ et de cloisonner les différentes accès…

        1. Je ne connais pas la politique interne de cette entreprise, mais il faut effectivement qu’elle précise quels usages sont interdits / autorisés.

          Quant au service info, c’est une partie de son boulot, mais cela ne peut pas tout éviter.

          En sécurité, il faut vraiment sensibiliser les utilisateurs finaux, les éduquer. Vous ne semblez d’ailleurs qu’à moitié convaincu par mon “exemple”. Alors qu’en y pensant, c’est assez édifiant tout ce que l’on peut “donner” comme information et accès sur son propre pc / réseau / entreprise en surfant de façon passive sur une page web. Mais, il ne faut pas non plus tomber dans la psychose, juste être prudent.

          1. Moui

            Disons que, pour moi, ouvrir une page web ne fait pas partie des comportements à risque ^^
            Tant que la personne ne télécharge pas d’exe ni ne rentre ses identifiants… ^^

      1. Déjà évoqué ci dessus 😉
        Mais… Je pense que les failles 0-day sur navigateur, sans plugin doivent être plutôt rares, maintenant…
        Mais, pour moi, ouvrir une page web ne fait pas partie des comportements à risque ^^

    3. imagine toi dans une entreprise, tu gere des factures par exemple, c’est ton taf. Ton chef te relais un mail qu’il a recu a propos d’une facture non traité depuis plusieurs mois et qui s’apprete a partir en litige. C’est un mail de ton chef, tu connais pas la boite et tu ouvre le pdf en piece jointe.
      Pas de bol, dans la minutes j’ai accés a l’entiereté de sa machine, ses accés, son historique, ses mots de passe enregistré et au reseau de la dite boite. Tout ça parceque un chef a recu un mail frauduleux, l’a lut en diagonale sur ton tel portable et l’a transféré a quelqu’un.

      C’est un cas pratique que j’ai eu a réglé, comme de tres nombreux autres, parfoirs plusieurs fois par semaines.

      Faire les mises a jours navigateur et OS, c’est une chose, ça te permet de te proteger de ce qui est connu, mais pas de tout le reste… et y’en a des tas 😀

      1. Mwep

        Mais un mail suffisamment bien fait peut ne pas être détectable. A moins peut-être que le service info n’ai mis en place des procédure de validation des adresses emails (authentification SMTP, ou autre), mais on peut imaginer un mail bien fait qui puisse correspondre à 100% à ce qu’aurait été un mail “officiel”

        Du coup, je trouve qu’on ne peut pas rejeter la faute sur les employés qui auraient – en toute bonne foi – ouvert un mail infecté.

        Mais si les MAJ sont faites, les plugins désactivés, etc, ça limite quand même le risque.

        Idem dans les PDF, on peut mettre des plugins hallucinants, mais dans un environnement sensible, ces plugins devraient être désactivés par défaut.

    4. C’est du fishing, pas du spam. En gros un attrape couillon pour voler les identifiants de quelqu’un en lui promettant quelque chose. Le spam une simple pub que tu ne veux pas.

      1. Oui, mais là ils n’ont pas l’air de parler de vol d’identifiants. Juste d’infecter les ordinateurs en ouvrant un site vérolé. Mais effectivement, ce sont plus des mails de piratage que de spam.

        Le phishing c’est la responsabilité de l’utilisateur, mais la sécurisation du surf, ou du téléchargement de pièces jointes, c’est la responsabilité du service info

        1. Ça ne fait pas de mal d’avoir des utilisateurs pas totalement ignorant. Je trouve ça bien comme campagne quand on voit la quantité d’utilisateurs qui n’ont pas la moindre idée de ce qu’ils font. Je suis même surpris qu’ils n’aient eu que 30 000 boulets.

          Pour avoir bossé dans un service informatique, c’est incroyable de voir à quel point un utilisateur lambda peut détruire une machine en faisant n’importe quoi. Entre celui qui ne comprend pas comment son PC s’est retrouvé avec des malwares malgré son historique rempli de site vérolés (porno, warez, torrent, etc…), ou celle qui a renversé une grande tasse de café sucré et qui ne comprend pas pourquoi le clavier de son portable déconne 2 jours après.

          1. Je suis d’accord, mais je trouve qu’ils n’ont pas poussé l’expérience assez loin

            Ils auraient du faire une vraie page de phishing, avec demande des identifiants, ou proposer de télécharger un exe pour avoir accès aux places de ciné gratuites…

            Ca aurait été à mon sens plus formateur que juste “cliquer sur un lien”

            Je compati, pour le service info :”)

          2. J’ai l’impression que tu ne connais pas vraiment le sujet que tu traite.

            Le service info c’est une chose, mais ça veut rien dire, c’est quoi le service info? Rien.

            Ici on parle du service de sécurité informatique, et si tu pense qu’en simplement cliquant sur un lien redirigeant vers une page web rien ne se passe, et bien tu devrais retourner étudier. Tu peux run de nombreuses choses sans même que l’utilisateur s’en aperçoive, le bon vieux .exe n’est plus d’actualité.

            Pour les départements de cyber sécurité, le plus important est d’éduquer l’utilisateur final, c’est lui qui fait la connerie dans presque 100% des cas, OS à jours ou pas. Tu peux mettre toutes les politiques de navigation web que tu veux, mettre en place des filtrages, tu sera jamais à l’abri de ce genre de connerie.

            L’éducation c’est la clef. Toutes entreprises devraient faire ce genre de choses, privées ou publiques.

          3. Oui, mais tu ne pourras jamais empêcher les utilisateurs de cliquer sur des liens. Surtout quand l’attaque semble bien faite et reprends un mail officiel.

            Après, si tu cloisonnes, sandbox, et/ou utilises des os et des navigateurs peu communs ou mieux sécures, le risque est quand même plus que réduit.

            Dans tous les cas, on ne pourra jamais empêcher les utilisateurs de cliquer sur des liens, à moins de leur couper internet…

  2. Ouais, m’enfin demander à des fonctionnaires de connaitre “Jean-Baptiste Poquelin”, “Thérèse Desqueyroux” ou encore “Emma Bovary”… faut pas demander l’impossible, non plus… ^^

    1. Dans les “fonctionnaires” y’a aussi les prof de français ^^
      Blague à part, dans l’idée je suis plutôt d’accord avec les propos de @emmanuelbouillon:disqus.

  3. Mais ils ont juste cliqué sur le lien, ca ne veut rien dire ?!
    Il faut voir si ils sont allé jusqu’au bout de la procédure en acceptant d’installer un truc ou en saisissant des logins et mot de passe…. Bref c’est n’importe quoi cette campagne

    1. Comme je le disais plus haut, le fait de simplement cliquer sur un lien est dangereux ! Votre navigateur web sait faire beaucoup de chose, et la plupart sans votre consentement. Avez-vous remarqué toutes ses vidéos qui se lancent toutes seules ces derniers mois ? Et bien, pour prendre le contrôle d’un PC à distance, c’est pareil… Il vous suffit d’être sur la “bonne” page. Je vous invite à lire mon article sur le sujet, ici : https://www.nesoblog.com/jai-juste-clique-sur-un-lien/. 🙂

        1. Je ne peux effectivement pas vous forcer à aller sur mon site. 🙂 Si vous voulez quand même accéder à mon article, vous pouvez le charger via un lecteur RSS.. dans ce cas la-là, les éventuels code Javascript ne seront pas exécutés, ce qui limite énormément les risques. 🙂

      1. Bon article. Vous devriez appuyer un peu plus sur les divers possibilités lié à JavaScript, permis lesquels, même les sites les plus connus peuvent en être victimes. Je veux dire par là qu’il ne faut pas seulement ce fier au domaine ou à une page qui paraît “bizarre”, mais aussi au formatage complet de l’URL, qui permettrait de voler les identifiants, cookie (ou autres informations) de chaque utilisateur se connectant (comme d’habitude) à leur site en passant par cet URL frauduleuse, sans forcement qu’il y ait d’exploitation de 0day ou d’exécution de fichier malveillant.

        Cordialement.

        PS: Je conseil aux autres utilisateurs de lire l’article de Denis qui apporte quelques petites précisions en plus à cette affaire.

        1. Merci beaucoup pour votre commentaire.

          Je prends note de votre (très bonne idée), et je vais écrire un article plus général sur les attaques, et les “vrais” sites détournés via des XSS par exemple. 🙂

        1. J’ai édité mon article. Ce type de faille peut se produire sur un système parfaitement à jour et sans plugin. Et rajoutant de plugins, on augmente juste la surface d’attaque.

      2. Oui, enfin à chaque fois il faut installer ou autoriser quelque chose… un virus/trojan ca ne chope pas en allant seulement sur une page.

        1. Justement, si, c’est possible.

          En visitant une page web, et sans aucune autre intervention de votre part / sans aucun avertissement, le code Javascript contenu dans cette page s’exécute ! Et c’est ce code qui peut donner l’accès à votre ordinateur aux “pirates”. ´

  4. C’est des campagnes de sensibilisation au fishing et aux arnaques sur internet. Ils font la même chose chez air France.
    En gros ils mettent un lien dans l’email avec un identifiant unique pour savoir qui a mordu à l’hameçon.
    Personnellement je trouve qu’ils devraient inviter les employé a une conférence pour leur expliquer les dangers du fishing puis si un employé 3 fois dans le panneau, c’est la porte.

          1. Marche ou crève. Ça motive les gens. Ils n’ont pas beaucoup de sens nos commentaires parfois

  5. J’ai bossé pour un laboratoire de recherche national et ils avaient eut aussi lancer une campagne de sensibilisation au fishing en envoyant un email piégé.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *