L’« ingénierie sociale » est l’art de vous manipuler pour vous inciter à effectuer des opérations que vous ne feriez pas habituellement, comme le fait de transférer de l’argent à quelqu’un que vous ne connaissez pas (« DEMANDE DE SUPPORT LOGISTIQUE » ), de révéler des informations sensibles (« J’ai des problèmes avec l’affichage de ce document »), de laisser entrer un ou une inconnue (« J’ai oublié ma carte d’accès »), ou de communiquer votre mot de passe CERN, par exemple durant nos campagnes de prévention (« Action requise – Attention !! ») destinées à sensibiliser la communauté du CERN à la sécurité informatique.
Pour atteindre leurs objectifs, les pirates tentent d'établir un lien étroit avec vous. Un message tel que « Salutations à toi et à ta famille. Comment vas-tu ? » n’est pas très élaboré et ne parviendra certainement pas à ses fins, mais, pour vous attirer dans leur filet, les pirates peuvent faire preuve d’une grande ingéniosité en utilisant toutes les informations figurant sur le web à propos de vous, de votre famille, de vos amis, de votre travail et de vos loisirs. Pensez à toutes les informations que l’on trouve sur vous sur Facebook, Instagram, LinkedIn et les nombreuses pages du CERN (voir notre article intitulé « Vivre en symbiose »). Voyez avec quelle facilité on peut reconstituer votre vie à partir de ces informations. (Voici ici et là deux vidéos très parlantes sur le sujet.) Combien d’infos suffisamment intéressantes les pirates peuvent-ils récupérer pour entrer en contact avec vous, établir une relation de confiance et vous inciter à faire des choses que vous ne feriez pas normalement pour une personne que vous ne connaissez pas ? L'ingénierie sociale est un processus qui peut prendre du temps, mais un pirate est prêt à aller jusqu'au bout si le résultat (la divulgation d’informations sensibles, la communication de votre mot de passe ou le transfert d’argent) en vaut la peine. Réfléchissez à votre rôle dans l’Organisation : quelque chose mérite certainement qu’on tente de vous attaquer : un accès aux commandes des accélérateurs dans le but de mener des actions de sabotage, si vous travaillez dans le secteur des accélérateurs ; un accès à de l’argent ou à des informations personnelles, si vous travaillez dans le secteur de la finance ou de l’administration ; ou un accès aux services, aux données ou aux bases de données informatiques, si vous vous occupez d’administration informatique.
Vous trouverez ci-dessous un exemple de tentative de connexion au sein de notre communauté, dans ce cas à l’aide de WhatsApp :
Ce ne serait pas la première fois que l'autorité de la Directrice générale serait détournée à des fins d'ingénierie sociale. Et ce ne serait pas la dernière. Dans le cas présent, nous ne pouvons pas dire comment cette conversation se serait poursuivie, mais, généralement, cela débouche sur une demande de transfert d’argent (voir notre article intitulé « La fraude au PDG »).
Redoublez de vigilance si des personnes que vous ne connaissez pas entrent en contact avec vous ou si vous recevez des demandes inhabituelles de la part de personnes que vous n’avez pas sollicitées. Soyez prudent si l'on vous demande d'effectuer des tâches que vous ne faites généralement que pour les besoins de votre travail, mais jamais sur simple demande adressée directement à vous. « ARRÊTEZ-VOUS – RÉFLÉCHISSEZ – NE CLIQUEZ PAS ! » lorsque vous recevez un lien contenu dans un courriel, un texto, un message WhatsApp ou via un QR code. Et pensez à contrôler régulièrement la masse d'informations que vous rendez publiques via vos réseaux sociaux (vérifiez vos paramètres de confidentialité et de publication !) ou sur les pages web du CERN. En réduisant un peu la quantité d’informations, votre vie privée s’en porterait certainement beaucoup mieux et vous vous protégeriez un peu plus du fléau de l'ingénierie sociale.
______
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, consultez notre rapport mensuel (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site web ou contactez-nous à l’adresse Computer.Security@cern.ch.