Bonjour,

Suite à des attaques massives via mail sur des universités, qui ont conduit à une mise hors service partielle ou totale de leur système d’information durant plusieurs jours avec d’importantes pertes de données (Université de Corse il y a quelques mois, Université de Brest il y a quelques jours), l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) et le HFDS (Haut Fonctionnaire de Défense et de Sécurité) de notre ministère nous demandent de rappeler à l’ensemble de nos utilisateurs les règles de prudence élémentaire en matière d’utilisation des services de messagerie.

Voici donc quelques indications :

• • évitez d’ouvrir les messages suspects
    • ceux marqués [SPAM], [PUB] dans le sujet
    • ceux provenant d’adresses bizarres, etc

• • n’ouvrez pas les pièces jointes ou ne suivez pas les liens de ces messages
• en particulier
  • soyez prudents avec les messages rédigés dans un mauvais français (mais attention, une rédaction correcte ne garantit pas que le message ne soit pas une attaque) ;
  • ne vous laissez pas berner par des offres mirobolantes (héritage, promotions, lot gagné à un tirage au sort, etc) ;
  • ne vous laissez pas piéger par des menaces vous indiquant que vous avez été filmé à votre insu via la webcam dans votre vie privée et que, faute de paiement d’une rançon, une vidéo sera diffusée à tous vos contacts ;
  • ne vous laissez pas impressionner par un message vous annonçant que « votre commande a été traitée et va être débitée de votre compte bancaire » et que vous trouverez les précisions dans la facture en pièce jointe, surtout si vous savez que vous n’avez rien commandé ;
  • sachez que ce n’est pas parce qu’un mail semble provenir de votre propre adresse de messagerie personnelle ou professionnelle que votre « boîte mail » a été piratée ; il s’agit généralement d’un mail totalement fabriqué ;
  • ne répondez pas à des enquêtes ou à des questions ouvertes concernant vous-même ou l’INSA si vous n’êtes pas vous-même à l’initiative (les attaquants pratiquent l’ingénierie sociale et commencent par collecter un maximum d’informations avant de diriger leurs attaques vers une cible spécifique) ;
  • ne répondez pas à des questions provenant d’entreprises, connues ou non, qui vous demandent si vous avez des projets dans tel ou tel domaine :
    • ainsi, par exemple, nous sommes fréquemment contactés par des entreprises se présentant comme spécialistes en sécurité et qui nous demandent si nous avons des projets ;
    • leur répondre serait dévoiler nos éventuelles failles ou les points que nous voulons renforcer ;
    • vous devez conserver l’initiative, en ne lançant des consultations que lorsque vous avez des besoins ;
• en déplacement
  • ne consultez pas votre messagerie à partir d’un poste de travail inconnu ;
  • ne connectez pas vos outils (ordinateur portable, smartphone) à n’importe quel réseau WiFi, préférez la connexion via votre smartphone ;
• ne répondez jamais à un attaquant en lui disant que son attaque n’a pas fonctionné, ne le narguez pas, contentez-vous de placer le courrier dans les indésirables ;
• au moindre doute d’une compromission, modifiez votre mot de passe INSA en vous connectant sur l’application Mon Compte ou via l’ENT et prévenez le CSN ;
• enfin, règle absolue, ne prêtez jamais votre mot de passe à qui que ce soit.

Dans tous les cas, vous devez signaler ce qui vous semble suspect à rssi@insa-toulouse.fr, en faisant suivre le mail sous la forme d’une pièce jointe :

• avec Thunderbird : clic droit sur le mail –> choisir « Transférer au format » –> choisir « Pièce jointe »
• avec BlueMind : dans la liste des mails, clic droit sur le mail –> choisir « Transférer » –> choisir « Transférer en pièce jointe »

Vous devez aussi nous signaler toute attaque réussie ; cela peut arriver à tout le monde de se faire prendre, et notre objectif n’est pas de vous sanctionner mais de mettre en place les contre-mesures nécessaires pour protéger les personnes et le patrimoine de l’INSA.

Cordialement,

Giles Carré,
Responsable de la Sécurité des Systèmes d’Information