Toutes les grandes organisations qui gèrent des milliers de données, y compris des renseignements personnels, sont vulnérables aux attaques des pirates informatiques. «Or, les recherches démontrent que 75 % des incidents qui compromettent la sécurité informatique d’un poste de travail ou d’un réseau comportent une dimension humaine», affirme Stéphane Talbot, directeur du Bureau de la sécurité et de la gouvernance des systèmes d’information. En d’autres mots, ce n’est pas une brèche dans le système qui est en cause, mais le comportement de l’usager. Afin d’évaluer ce type de risque, Stéphane Talbot et son équipe ont mandaté une firme externe pour réaliser une série de tests en février et mars derniers. Divers cas de figure ont été soumis à des employés – professeurs, chargés de cours, maîtres de langue et employés de soutien – de l’université sélectionnés de façon aléatoire… et à leur insu.
Vous avez gagné un voyage
Le premier scénario consistait en un faux courriel indiquant au destinataire qu’il avait gagné un voyage. Un document PDF était attaché en pièce jointe. Si le destinataire l’ouvrait, un avis de sécurité s’affichait et demandait l’autorisation pour communiquer avec le serveur. Les gens qui ont autorisé cet accès ont vu s’afficher une page de la sécurité informatique avec un message du style: «Croyiez-vous vraiment avoir gagné un voyage?» et contenant des informations sur ce type de courriel frauduleux. «Moins de 1 % des 1 500 personnes qui ont reçu ce courriel ont ouvert la pièce jointe et autorisé l’accès au serveur, souligne Stéphane Talbot. Cela nous indique que ce type de courriel est reconnu comme un pourriel.»
La traque aux pourriels
Les employés de l’UQAM ont sans doute remarqué depuis un an la baisse radicale de pourriels dans leur boîte. «Les filtres automatisés sont très performants et les différentes compagnies qui fournissent ces filtres partagent entre elles les informations sur les adresses IP des expéditeurs de pourriels, ce qui permet d’en diminuer sans cesse le nombre», explique Stéphane Talbot.
En avril 2015, par exemple, les serveurs de courriels de l’UQAM – pour les employés et les étudiants – ont reçu près de 40 millions de courriels. De ce nombre, 35 millions ou 87,8 % étaient des pourriels et ont été bloqués! «C’est donc dire que nos filtres fonctionnent très bien», note le directeur.
La nouvelle loi canadienne anti-pourriel, entrée en vigueur le 1er juillet 2014, a sans doute eu un effet sur le nombre de pourriels. Celle-ci stipule que les entreprises canadiennes doivent obtenir l’autorisation du consommateur avant de lui envoyer des courriels promotionnels et que chaque message doit contenir un lien pour se désabonner.
«Cela dit, nous ne pourrons jamais éliminer totalement les pourriels, mais les filtres et les méthodes pour les bloquer se raffinent», note Stéphane Talbot.
Votre boîte courriel est pleine
Dans le cadre du deuxième scénario, des employés ont reçu un courriel les avisant que leur boîte était pleine et qu’ils devaient cliquer sur un lien afin de s’authentifier et avoir de nouveau accès à leurs courriels. L’adresse de l’expéditeur semblait provenir de l’UQAM et le site sur lequel ils étaient redirigés s’intitulait «uqamsupport.com». L’employé pouvait y entrer son code d’accès et son mot de passe. «À la première lettre du mot de passe, l’utilisateur était redirigé vers une page lui expliquant la nature du test», explique Stéphane Talbot. Environ 9 % des gens sont tombés dans le panneau, croyant qu’il s’agissait d’un courriel officiel. «Nous prenons acte du fait que les gens ne connaissent pas suffisamment nos façons de faire, affirme le directeur. Nous ferons circuler au cours des prochaines semaines une page reproduisant le gabarit du message que nous envoyons lorsqu’une boîte courriel atteint sa limite. C’est à nous de mieux informer les employés sur nos méthodes.»
Tiens… une clé USB!
Le troisième scénario concocté par l’équipe de Stéphane Talbot était encore plus rusé: on a demandé à la firme externe de laisser traîner 90 clés USB à des endroits stratégiques sur le campus, où des employés étaient susceptibles de les trouver – «mais pas dans les unités uniquement accessibles à l’aide d’une carte électronique», précise le directeur. Sur la clé se trouvaient quatre fichiers intrigants: Note_interne_direction.pdf; Feuille_de_paye_des_salaires.docx; Echelles_salariales.xls; et Password_safe.exe.
Tout le monde sait que les clés USB peuvent contenir des fichiers infectés, non? Il y a encore de l’éducation à faire, semble-t-il, puisque 47 clés ont été insérées dans un ordinateur et les fichiers ont été ouverts à 77 reprises, menant les utilisateurs à une page explicative. «C’est plus que ce que je croyais, souligne Stéphane Talbot. On doit toutefois mettre cela en perspective. D’une part, il y a la curiosité de savoir ce que contient la clé; de l’autre, il y a parfois la volonté de trouver à qui elle appartient pour pouvoir la retourner au propriétaire. Il n’en reste pas moins qu’une clé USB est un cheval de Troie idéal pour les virus et que la conduite à suivre est d’aviser la sécurité informatique lorsqu’on en trouve une sur le campus.»
Validation et mots de passe béton
Cette campagne de tests visait à déceler les vulnérabilités des employés. «Tous les résultats qui nous ont été transmis sont anonymes», tient à préciser le directeur de la sécurité informatique, qui effectue présentement une tournée des unités et services afin de présenter les résultats de cette campagne. Le but n’était pas de pointer du doigt certains employés, mais bien de permettre à l’équipe de la sécurité informatique de cibler les messages et les efforts à faire pour mieux outiller les employés de l’UQAM.
«Si on vous demande de poser une action d’authentification sur le Web, validez auprès d’une autre source, et ne divulguez jamais vos codes et mots de passe sur un site que vous ne connaissez pas», insiste Stéphane Talbot, qui rappelle également l’importance de ne pas utiliser les mêmes mots de passe sur tous les sites et réseaux fréquentés.
Pour en savoir plus sur les bonnes pratiques en matière de mots de passe:
http://www.sitel.uqam.ca/Pages/SecuriteMotsDePasse.aspx
Navigation sur le Web et liberté académique
À l’UQAM, les principaux défis de la sécurité informatique à l’égard des sites malveillants demeurent la liberté académique et le nombre de personnes qui accèdent au réseau, explique Stéphane Talbot. «Dans la plupart des entreprises, on peut bloquer l’accès des employés aux sites pornographiques ou aux sites sur le terrorisme, par exemple, mais dans une université, il y a des chercheurs qui s’intéressent à ces sujets. Nous devons trouver d’autres moyens que le blocage afin de limiter les risques de propagation de virus. La meilleure méthode demeure encore l’éducation.»