ac-amiens.fr

Nous constatons en ce moment une très forte recrudescence des attaques visant à perturber les systèmes d’information.

Le vecteur d’attaque privilégié est basé sur des campagnes de pourriel affichant un nom d’expéditeur licite d’une instance du ministère (administration centrale, rectorat, etc.).

Comment identifier une falsification d’expéditeur ?

Sommaire

Identifier un expéditeur

Nous constatons en ce moment une très forte recrudescence des attaques visant à perturber les systèmes d’information. Le vecteur d’attaque privilégié est basé sur des campagnes de pourriel qui affichent un nom d’expéditeur licite d’une instance du ministère (administration centrale, rectorat, etc.) alors que l’expéditeur réel ne l’est pas.

Ces messages électroniques sont issus de l’extérieur des systèmes d’information des ministères et utilisent désormais des messages licites précédemment émis.

Nous supposons qu’ils ont été exfiltrés de boites dont les mots de passe étaient faibles ou volés, ce qui les rend particulièrement crédibles aux yeux des destinataires.

Cette attaque a une portée nationale et plusieurs cas spécifiques pour l’académie d’Amiens ont déjà été observés.

Les messages sont accompagnés de pièces jointes chargées de scripts malveillants qui ne sont pas systématiquement reconnues par les antivirus dont nous disposons.

Si vous pensez avoir été victime de cette attaque :

 Les bons réflexes

Il convient donc d’être particulièrement attentif lors de l’ouverture d’un tel document et notamment sur l’exactitude de l’expéditeur supposé.
  • Vous ne devez jamais vous fier au nom affiché lors de la réception d’un courriel : celui-ci est facilement modifiable lors de l’envoi afin d’usurper l’identité d’un expéditeur légitime.
  • Il est nécessaire de toujours vérifier l’adresse mél de l’expéditeur plutôt que le nom affiché : cela doit être un réflexe avant toute ouverture d’une pièce jointe ou d’un lien contenu dans un courriel.

Cette adresse d’expédition est toujours visible à côté du nom affiché lors de l’ouverture d’un courriel quelque soit l’outil de messagerie utilisé (webmail du PIA Portail Intranet Académique , Mozilla Thunderbird, Microsoft Outlook...).

 Exemple de courriel frauduleux

Webmail du PIA

Webmail du PIA
Webmail du PIA

Mozilla Thunderbird

Mozilla Thunderbird
Mozilla Thunderbird

Microsoft Outlook

Microsoft Outlook
Microsoft Outlook
Mise à jour : 7 septembre 2020