Accueil >> Vie de campus >> SSI

Cybersécurité

Le Cybermoi/s - Prendre soin de mon « moi » numérique


Edition 2021

Nous apprenons tout au long de notre vie à nous prémunir contre les dangers de la vie réelle :
  • sécurité routière : ne pas traverser sans regarder, toujours porter sa ceinture, etc.
  • santé : faire du sport régulièrement, ne pas manger trop gras/sucré/salé, etc.
  • vols : code de carte bleue, sac à main, etc.
Mais qu'en est-il de notre existence dans le monde du numérique ? Nous sommes tous de plus en plus connectés et utilisons nos outils numériques à longueur de journée pour échanger (mails), partager (réseaux sociaux), acheter (e-commerce) et même gérer nos démarches administratives (santé, impôts, etc.). Les derniers mois ont changé encore un peu plus notre rapport au numérique, faisant reposer nos vies personnelles et professionnelles sur les technologies.

Pourquoi agir avec moins de prudence sur Internet que dans notre vie quotidienne ?  Découvrez les bonnes pratiques à adopter sans modération tout au long de l’année pour protéger votre « moi » connecté !



Ce mois-ci, suivez les histoires, en bandes dessinées interactives, d’Hugo et Audrey et aidez-les à renforcer leurs mots de passe et à se prémunir contre les tentatives de vol de données lancées par Dark Sissi.

L'histoire d'Hugo

L'histoire d'Audrey



Tester vos connaissances !

Faites le test ici (source : cybersurveillance.gouv.fr)

Avec ce quizz en saisissant un nom d’utilisateur et une adresse de courriel fictifs

En jouant avec le Security Game de l'école des Mines de Saint-Etienne (emse)


Agir

 

Sécurité du courriel / mail versus hameçonnage / phishing


Il est possible que vous receviez dans votre messagerie électronique (personnelle comme professionnelle) des courriels vous demandant vos données confidentielles tels que vos identifiants, mots de passe, coordonnées bancaires, etc.

Ce sont de faux messages envoyés pour récolter ces données sensibles à des fins frauduleuses. Cette technique est appelée hameçonnage ou phishing. Ces messages ne sont en aucun cas envoyés par l'Université qui ne vous demandera jamais vos mots de passe par courriel.

Il est donc primordial de ne pas y répondre.

En cas de doute, contactez support@sorbonne-nouvelle.fr

Les antivirus installés sur les machines ou sur les serveurs ne vous enverrons jamais de mail pour vous avertir d'un danger sur votre boîte.

Peut-on alerter ?

Si vous pensez avoir reçu un de ces messages frauduleux, vous pouvez alerter grâce à phishing-initiative. Ce projet à but non lucratif recense les liens que l'on trouve dans ces messages et permet à terme de demander le blocage des sites qui récolte illégalement des coordonnées personnelles.

Comment reconnaître un message frauduleux ?
  • Il faut d'abord vérifier l'adresse de l'expéditeur. Si l'expéditeur du message vous est inconnu, vous êtes certain que ce message est frauduleux. Même si le message paraît officiel en reprenant les couleurs d'un site officiel, méfiez-vous, d'autant plus si vous n'avez pas de compte sur ce site ou si vous ne vous êtes jamais inscrit sur un site extérieur avec votre adresse de la Sorbonne Nouvelle. Cependant, il peut également être frauduleux s'il vient d'une adresse de l'université : vous ne pouvez jamais être sûr de l'expéditeur affiché des messages reçus.
  • Ces courriels contiennent parfois des liens pointant vers des sites web. Ne vous fiez pas au nom de ces liens, mais contrôlez l'adresse vers laquelle ils pointent. Cette adresse s'affiche normalement en bas de votre navigateur lorsque vous passez votre souris au-dessus du lien. Les pages d'information de la Sorbonne Nouvelle sont toutes hébergées sur le site principal, leurs adresses se terminent donc par "sorbonne-nouvelle.fr".
  • Pour le moment, ces courriels même s'ils sont écrits en français ne sont en fait que de vulgaires traductions automatiques. Vous pouvez donc identifier ces messages comme frauduleux lorsque leurs tournures de phrases vous semblent étranges. Par exemple : "Cher propriétaire compte Email" ne veut rien dire.

Cybermalveillance

Depuis les confinements et avec le télétravail, les activités numériques explosent et les attaques aussi. L'ANSSI (Agence nationale de la sécurité des systèmes d'information) et la plateforme www.cybermalveillance.gouv.fr alertent sur de nombreux cas et recommandent une vigilance accrue de la part de tous pour vos matériel informatique (ordinateur, tablette, téléphone, etc.).

Voici une liste non exhaustive des pièges à éviter et bonnes pratiques à appliquer :

Méfiez-vous des messages (courriel, SMS, chat, etc.) voire appels téléphoniques d'origine inconnue ou inattendus :
  • L’hameçonnage (ou phishing) reste le premier vecteur d'attaque pour vous dérober des informations personnelles, professionnelles ou bancaires en vous attirant sur de faux sites officiels. Ces messages peuvent également contenir une pièce-jointe malveillante (virus) ou vous inciter à vous rendre sur un site piégé pour infecter votre matériel. Dans certains cas, les virus contenus dans ces pièces-jointes peuvent aller jusqu'à bloquer votre matériel voire chiffrer vos fichiers et vous réclamer une rançon pour en retrouver l'accès.
Face à ce type de messages, ne cliquez pas sur les liens, n'ouvrez pas les pièces-jointes et en cas de doute, confirmez en contactant directement l’organisme qui prétend vous l'avoir envoyé.
  • Ne téléchargez vos applications que depuis les sites ou magasins officiels des éditeurs : Dans le cas contraire, vous prendriez le risque d'installer une application piégée qui pourrait vous dérober vos informations personnelles ou bancaires, voire infecter votre machine avec un rançongiciel (ransomware) qui pourrait bloquer l'accès à votre machine ou chiffrer vos fichiers en vous demandant une rançon.
Évitez également tous les sites qui proposent « gratuitement » des applications payantes et qui sont généralement piégées.
  • Vérifiez la fiabilité et la réputation des sites que vous visitez, que ce soit pour vous informer. Avec la crise du Covid-19, on voit fleurir de faux sites de ventes de masque chirurgical (FFP2), de gel hydroalcoolique, de téléconsultation médicale, et qui n'ont d'autres objectifs que de vous escroquer. 
  • Protégez vos données (RGPD)
    Pour plus d'information, c'est ici.
  • Utilisez des services fiables pour assurer des cours à distances ou faire des visioconférences. Des inquiétudes en matière de protection des données personnelles ont notamment été soulevées concernant l'application Zoom (voir ci-dessus).
  • Soyez vigilants aux fausses informations : Qu'il s'agisse de propos excessivement catastrophistes ou qui évoquent des solutions miraculeuses face au Covid-19, soyez méfiant avec tout ce que vous pouvez voir sur Internet, les forums ou les réseaux sociaux car ils regorgent de fausses informations et de rumeurs infondées et farfelues. 
Ne téléchargez aucun fichier dont la source n'est pas vérifiée
  • Attention aux appels aux dons frauduleux : De nombreux appels aux dons et diverses cagnottes ne manquent pas d'être lancés pour faire face aux difficultés individuelles ou collectives engendrées. Avant de verser des fonds, assurez-vous bien que vous n'êtes pas confronté à une escroquerie comme il ne manquera pas d’en fleurir pour abuser vos souhaits de solidarité.

Comme pour le Covid-19, appliquons les gestes barrières numériques !

Source : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/coronavirus-covid-19-vigilance-cybersecurite

Kit de prévention

Télécharger le kit de prévention


Définitions

Hameçonnage / Phishing

L’hameçonnage reste l’un des principaux vecteurs de la cybercriminalité. Ce type d’attaque vise à obtenir du destinataire d’un courriel d’apparence légitime qu’il transmette ses coordonnées bancaires ou ses identifiants de connexion à des services financiers, afin de lui dérober de l’argent

Hameçonnage ciblé / Spearphishing

Cette attaque repose généralement sur une usurpation de l’identité de l’expéditeur, et procède par ingénierie sociale forte afin de lier l’objet du courriel et le corps du message à l’activité de la personne ou de l’organisation ciblée. Généralement, le courriel usurpe l’identité d’une personne morale (établissement financier, service public, concurrent…) ou d’une personne physique (collègue de travail, famille, ami…) dans le but de duper le destinataire qu’il invite à ouvrir une pièce jointe malveillante ou à suivre un lien vers un site Web malveillant. Une fois cette première machine contaminée, l’attaquant en prend le contrôle pour manœuvrer au sein du système d’information de l’organisation constituant la véritable cible (on parle ici « d’infiltration »).

Une fois sa première victime compromise, l’attaquant cherchera à obtenir des droits « d’administrateur » (on parle alors « d’escalade de privilèges ») pour pouvoir rebondir et s’implanter sur les postes de travail et les serveurs de l’organisation où sont stockées les informations convoitées. Cette manœuvre est également appelée « propagation latérale ». Une fois ses cibles atteintes, il recherchera les informations qu’il s’efforcera de capter le plus discrètement possible (on parle alors ici « d’exfiltration ») soit en une seule fois, en profitant d’une période de moindre surveillance du système (la nuit, durant les vacances scolaires, lors d’un pont…), soit de manière progressive plus insidieuse. Il prend généralement soin de toujours effacer derrière lui toute trace de son activité malveillante.

Point d'eau / Water hole

Ce type d’attaque est destiné à infecter les ordinateurs de personnels œuvrant dans un secteur d’activité ou une organisation ciblée.
La technique du « point d’eau » consiste à piéger un site Internet légitime afin d’infecter les machines des visiteurs du domaine d’intérêt pour l’attaquant. Les cas sont nombreux de sites d’associations professionnelles ou de groupements sectoriels insuffisamment sécurisés et dont les vulnérabilités sont exploitées pour contaminer leurs membres, et permettre ainsi d’accéder aux réseaux les plus sensibles de ceux-ci. Les secteurs les plus stratégiques sont évidemment les plus ciblés.

Rançongiciel / Ransomware

Technique d’attaque courante de la cybercriminalité, le rançongiciel ou ransomware consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement.

mise à jour le 19 octobre 2021


Contacter le support informatique, en cas de doute

Direction du Numérique (DNUM)
support@sorbonne-nouvelle.fr
Objet du courriel : SSI

Contacter les responsables de la Sécurité des Systèmes d'Information

Contacter la Déléguée à la Protection des Données

46 rue Saint-Jacques 
75005 Paris 
dpd@sorbonne-nouvelle.fr
01 40 46 28 50
Pour en savoir plus : Protection des données