Plus de 5000 mails suspects signalés chaque mois
Dans Outlook, le bouton de soumission installé sur la messagerie, qui nous permet de signaler des courriels indésirables, est largement utilisé. Ces messages suspects reçus sur les adresses vd.ch sont centralisés pour analyse et traitement par les spécialistes du Centre opérationnel de sécurité de la DGNSI. Et ils sont toujours plus nombreux.
A la Direction générale du numérique et des systèmes d’information (DGNSI), cinq analystes spécialisés dans la sécurité numérique se partagent, par tournus, la tâche de trier et d’analyser les nombreux messages qui parviennent chaque jour au Centre opérationnel de sécurité (SOC) via le bouton de soumission installé depuis octobre 2019 sur la messagerie des collaboratrices et collaborateurs de l’administration. Parmi eux, Sylvain Roschi lève ici un pan de voile sur l’activité très particulière que nécessite le traitement de ces e-mails douteux, qui traversent les mailles des filets antispam et les antivirus et qui peuvent s’avérer dangereux.
Un point d’entrée très prisé
«Il ne faut jamais oublier que l’e-mail reste le point d’entrée préféré des cybercriminels, qui rivalisent d’imagination pour gruger leurs destinataires. Promesses de gains ou d’amour, chantage, menaces de dénonciation pour des actes sexuels supposés… Pire encore : installation d’un virus dans un document qu’on nous demande d’ouvrir ou derrière un lien sur lequel on nous incite à cliquer, sans parler des vols de login ou de mots de passe par le biais de questionnaires illégitimes… Tout cela fait partie de l’attirail des attaquants du Web, qui œuvrent aujourd’hui en véritables réseaux organisés», indique en préambule l’analyste sécurité de la DGNSI.
«Il ne faut jamais oublier que l’e-mail reste le point d’entrée préféré des cybercriminels, qui rivalisent d’imagination pour gruger leurs destinataires.»
Très concrètement, lorsque le bouton de soumission est actionné, le message qui semble suspect est automatiquement redirigé vers une boîte aux lettres gérée par le SOC. «Ce bouton est très intéressant, car il fait participer activement l’utilisateur. C’est un excellent moyen de sensibilisation aux dangers du Web», se réjouissent les experts en cybersécurité de la DGNSI. «Certains jours, nous en recevons une quarantaine, d’autres jours plus de 400, c’est très variable ! Mais la moyenne tourne autour de 5000 messages soumis chaque mois par le biais de ce canal particulier.»
Tris automatiques et manuels
Après un premier tri automatisé – à l’aide d’un programme informatique qui classe les messages selon des critères de dangerosité prédéfinis –, l’analyse manuelle de ces e-mails prend du temps : «Le poste que nous occupons par tournus correspond à un mi-temps, soit environ quatre heures par jour. C’est un travail de fourmi, et notre attention se focalise en priorité sur les pièces jointes ou les liens hypertextes qui peuvent véhiculer des logiciels malveillants, ainsi que sur les formulaires de phishing (qui demandent, par exemple, de confirmer notre mot de passe). Tout cela nous fournit de précieuses informations, qui nous permettent d’effectuer des blocages ou d’intervenir de manière préventive», souligne Sylvain Roschi.
Mais cette avalanche de messages transmis par le personnel ne signifie-t-elle pas que les filtres antispam et antivirus installés sur les postes de travail sont inefficaces ? «Non, ces programmes doivent être restrictifs, mais pas trop. Si les critères de restrictions sont trop sévères, ils risquent de bloquer des messages tout à fait légitimes. Ils se situent donc dans un juste milieu – une sorte de jeu du chat et de la souris – qui permet un blocage certes efficace, mais pas extrêmement pointu. Les cybercriminels sont bien conscients de cette problématique et ils savent comment faire pour passer entre les mailles du filet !»
«Non, ces programmes antispam et antivirus doivent être restrictifs, mais pas trop. Si les critères de restrictions sont trop sévères, ils risquent de bloquer des messages tout à fait légitimes. Ils se situent donc dans un juste milieu.»
Illégitimes, mais pas forcément dangereux
Évidemment, sur l’énorme quantité de messages traités par les spécialistes du SOC, tous ne sont pas réellement dangereux. «Je dirais que 98 % des e-mails qui nous parviennent sont en effet illégitimes (pubs invasives, newsletters indésirables, etc.), mais la grande majorité d’entre eux ne mettent pas en danger le système informatique de l’État et la sécurité numérique des utilisatrices et utilisateurs», explique l’analyste. En revanche, un certain nombre de messages demandent une action spécifique à leurs destinataires (ouvrir une pièce jointe, cliquer sur un lien, etc.), et c’est là que les risques d’intrusions ou de vols de données deviennent très concrets et très critiques.
Ce sont donc ces messages «interactifs», appelés «scams» (arnaque, en anglais) – plus intrusifs que les spams et très répandus – qui mobilisent toute l’attention des experts de la DGNSI. «Notre travail est de détecter les menaces dans la masse des e-mails reçus pour assurer la sécurité de l’État et de celles et ceux qui y travaillent», détaille l’analyste, qui relève en souriant que les cybercriminels sont eux aussi tributaires des modes : le très populaire «Vous avez gagné à la loterie» ou «Un oncle lointain vous cède son héritage» a perdu aujourd’hui un peu de terrain, au profit de messages qui jouent très nettement sur la peur. «Des e-mails menaçant les destinataires de poursuites pénales pour des actes criminels supposés, et prétendument envoyés par la Police fédérale ou Europol, ont la cote et passent actuellement souvent entre nos mains» relève Sylvain Roschi.
«Des e-mails menaçant les destinataires de poursuites pénales pour des actes criminels supposés, et prétendument envoyés par la Police fédérale ou Europol, ont la cote et passent actuellement souvent entre nos mains.»
La sécurité à tout prix
Lorsqu’un danger réel est détecté, des recherches plus poussées sont menées pour identifier les actions effectuées par le destinataire sur le message reçu, et des mesures correctives et préventives sont apportées pour préserver et assurer la sécurité et la protection des données des utilisateurs. « Nous ne pouvons évidemment pas répondre individuellement à chaque personne qui actionne le bouton de soumission, mais des contacts peuvent être pris lorsque nous investiguons sur les courriels vraiment dangereux. N’hésitez donc pas à activer ce canal de communication au moindre doute » conseillent les analystes du SOC. (MHJ)
Sensibilisation payante
Depuis la mise en place du bouton de soumission il y a trois ans, le nombre de messages qui transitent par ce canal ne cesse d’augmenter. «Cela ne veut pas dire forcément que les attaques sont plus nombreuses, cela peut aussi être le résultat d’une meilleure sensibilisation du public et de la participation active bienvenue des utilisatrices et utilisateurs. Les tests de phishing (hameçonnage) et les campagnes de sensibilisation que la DGNSI organise régulièrement, les cours en ligne ou les articles dans différents médias ont rendu les internautes moins naïfs. Ils ont donc tendance à se méfier et à activer plus souvent le bouton de soumission. C’est plutôt bon signe !» conclut l’analyste Sylvain Roschi. (MHJ)
Les chiffres de ces derniers mois
Mars : 4814 mails envoyés au SOC
Avril : 4385
Mai : 7047
Juin : 5655
Juillet : 4664
Août : 5362
Septembre : 5511
Octobre : 3970