Tentatives d’hameçonnage sur les boîtes courriel de l’université

Deux courriels d’hameçonnage ont ciblé la communauté étudiante de l’Université du Québec à Montréal (UQAM) en novembre dernier. Envoyés à des milliers de personnes, ces messages visent à récupérer les données personnelles des victimes ou à leur extorquer de l’argent à l’aide de stratégies trompeuses. 

Ces courriels peuvent provenir d’adresses trompeuses se faisant passer pour celles de l’université, ou d’adresses ayant déjà été piratées par des individus malveillants. « Souvent, ces courriels vont essayer de créer un sentiment d’urgence. […] Ils vont dire aux utilisateurs et utilisatrices que leur compte sera bloqué s’ils n’entrent pas leurs informations de connexion », détaille Sébastien Gambs, professeur d’informatique à l’UQAM. 

Un message rédigé en anglais, provenant de l’externe ou écrit dans un registre langagier familier peut traduire une cyberescroquerie, indiquent les services informatiques de l’université. 

Pour quelqu’un voulant récupérer les données personnelles d’inconnu(e)s, il est très facile d’envoyer des courriels d’hameçonnage. « Il y a des logiciels qui se vendent sur le dark web qui permettent d’automatiser la création et l’envoi de faux courriels », ajoute M. Gambs.

La plupart des étudiantes et étudiants qui reçoivent ces courriels ne tombent pas dans le panneau, d’après Marc-Olivier Killijian, professeur en informatique à l’UQAM. Pourtant, il suffit d’une ou deux victimes pour faire des dommages. « À partir de là, la personne à l’origine de ces courriels aura accès à des comptes de l’UQAM […] et pourra monter une attaque de plus grande envergure », avertit le professeur. 

Comment se protéger ?

M. Killijan recommande aux étudiants et étudiantes qui auraient cliqué sur un lien d’hameçonnage de poser deux actions rapidement. D’abord, « aller changer son mot de passe, si l’attaquant ne l’a pas déjà fait », puis contacter les services informatiques au plus vite. « Il ne faut pas avoir honte de le faire, puisque le sentiment de honte qui fait que l’on va attendre est extrêmement dommageable pour la sécurité informatique », souligne-t-il.

Cliquer sur un lien d’hameçonnage peut engendrer plusieurs risques pour les données personnelles et pour l’identité de la victime. Selon M. Gambs, le principal danger lié à ces messages est l’usurpation d’identité à long terme ou le vol de données bancaires. 

Les services informatiques prônent la prudence quant aux courriels reçus : en cas de doute sur la légitimité d’un courriel, le ou la destinataire devrait le considérer comme suspicieux et l’ignorer d’office. 

La sécurité de l’université en jeu

Une attaque informatique de plus grande envergure pourrait nuire au fonctionnement de l’université. « Les étudiants et les étudiantes pourraient être empêchés de faire leurs examens, les professeurs ne pourraient pas faire leur recherche, les recherches avec les entreprises privées pourraient être compromises », énumère M. Gambs. 

Les services informatiques mettent en place plusieurs mesures pour prévenir ces attaques, comme des filtres permettant de réduire la quantité de courriels frauduleux reçus. D’autres outils sont l’authentification à double facteur, qui consiste à valider son identité sur son téléphone afin de se connecter à sa boîte de réception, et l’envoi d’alertes systématiques à la communauté de l’UQAM lorsque circule du courrier électronique malveillant. 

Selon Sébastien Gambs, la meilleure façon d’agir contre l’hameçonnage reste la prévention. En ce sens, l’UQAM fait bonne figure, en offrant des formations informatiques aux étudiants et aux étudiantes et en soulignant le mois de la cybersécurité, en octobre. 

Mention photo : Camille Dehaene|Montréal Campus

Commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *