> DIO/ Actualités/ Attention aux attaques informatiques / Beware of computer malwares

Note: You'll find an English version below the french one

Note: This is important information, please take 5 minutes to read it, really!

Version française

En bref, l'essentiel

  • la DIO ne vous demandera jamais votre mot de passe pour renouveller votre compte ou changer un quota disque

  • ne saisissez votre mot de passe que sur des pages web sûres avec :

    • le cadenas fermé, en vert et avec Observatoire de Paris en vert et en toutes lettres (1)
    • https:// (notez le « s » après « http ») (3)
    • domaine se terminant en « .obspm.fr » (4)
    • quand on clique sur le cadenas, on doit lire « Observatoire de Paris » ou « obspm.fr » (2)

    (Navigateur Firefox 42 sur Linux et Android)

  • placez en favoris les sites web où vous vous identifiez et accédez-y via ce moyen, cela diminue le risque d'aller sur des faux sites

  • méfiez-vous des pièces jointes non sollicitées et non expliquées dans le corps du message, même si le message a l'air de venir d'un correspondant connu (son identité peut être usurpée)

  • si vous pensez avoir fourni vos identifiants à un pirate, changez immédiatement votre mot de passe (cf. documentation) et prévenez admin.dio@obspm.fr

Et voici le détail, nous vous demandons de bien vouloir prendre 5 minutes pour le lire, c'est important.

La période de fêtes qui approche est particulièrement propice aux attaques informatiques. Nous souhaitons attirer votre attention sur trois points en particulier.

Phishing

En 2013 à la même période, l'Observatoire a souffert de blocage de ses serveurs d'e-mail. La conséquence était sérieuse car il n'était plus possible d'envoyer des e-mails. La cause était la réussite d'une dizaine de « phishing », ou hameçonnage. Une quinzaine de personnels de l'Observatoire ont fourni leurs identifiants/mot de passe sur des fausses pages web et des pirates ont pu ainsi envoyer du spam en utilisant les serveurs de l'Observatoire.

Nous vous demandons d'observer svp la plus grande vigilance et nous rappelons que la DIO ne demandera JAMAIS un mot de passe directement dans un e-mail, que la DIO n'a PAS besoin de l'authentification de l'utilisateur pour modifier tel ou tel quota. Il faut donc être très méfiant envers toute demande de mot de passe et d'authentification sur un site web.

Avant de saisir votre identifiant/mot de passe dans un formulaire web, il convient de vérifier plusieurs choses :

  • l'adresse (URL dans le jargon) dans la barre d'adresse en haut du navigateur doit obligatoirement comporter :

    • un symbole de cadenas fermé, suivi de « Observatoire de Paris » en toutes lettres, tout ça de couleur verte ;

    • https:// (noter le « s » à la fin, et non pas http://) ;

    • un domaine qui se termine en « .obspm.fr » : les navigateurs actuels aident en mettant en foncé le nom de domaine ou du serveur.

    Quand on clique sur le cadenas, on doit retrouver dans la fenêtre qui s'ouvre le nom « Observatoire de Paris » en toutes lettres, ou bien le nom du serveur qui doit impérativement se terminer en « .obspm.fr »

Dans le doute, avant de faire quoi que ce soit, demander aux informaticiens qui assurent le support pour votre laboratoire/service.

Virus « TeslaCrypt »

Un virus du nom de code « TeslaCrypt » circule en ce moment.

Soyez svp très méfiant avec les pièces jointes des messages qui n'ont pas été sollicités, même si l'expéditeur vous est connu (son adresse peut être usurpée ou son compte compromis). Demandez confirmation à votre correspondant du contenu de la pièce jointe avant de l'ouvrir.

Tout comme « Cryptolocker », « TeslaCrypt » fait partie de la famille des virus qui chiffrent irrémédiablement vos données. Si vous en êtes victime, vos données seront inaccessibles. Les partages réseau sont aussi ciblés et inaccessibles.

La seule façon d'accéder à vos données est d'avoir une sauvegarde récente sur un média non accessible à votre compte sans réauthentification. La sauvegarde sur un serveur administré par votre service informatique de laboratoire/service devrait être la meilleure solution. Renseignez-vous auprès d'eux.

Comment nous aider ?

De notre constat sur la vague de compromission de fin 2013, les personnes qui ont le plus de chance de se faire berner sont :

  • celles inexpérimentées en informatique ;

  • les nouveaux arrivants qui ne connaissent pas le fonctionnement des services informatiques et de la DIO ;

  • celles ayant un compte à l'Observatoire mais non présents dans les murs ;

  • les non francophones qui ne détectent pas les faux messages écrits en mauvais français ou traduits automatiquement ;

  • celles en état de stress (examen, etc.) ;

  • celles en congés, pas dans le bain professionnel et moins vigilantes ;

  • celles traitant une grosse masse de messages à la rentrée, ayant pour conséquence une baisse de la vigilance ;

Une façon de nous aider à relever le niveau de conscience et de vigilance global est de discuter entre-vous de ces arnaques, de raconter des anecdotes vécues de près ou de loin pour montrer que ça n'arrive pas qu'aux autres, avec votre voisin de bureau, à la pause café, avec vos thésards, vos étudiants, vos collègues étrangers ou nouvellement arrivés, etc.

Les plus expérimentés peuvent alors prodiguer des micros-formations informelles pour expliquer par exemple comment voir « https:// » dans la barre d'adresse, comment localiser le domaine (qui doit être « obspm.fr ») dans l'adresse de la page actuelle, expliquer ce qu'on voit quand on clique sur le cadenas, expliquer sur un exemple d'e-mail reçu pourquoi il est suspect, etc.

Vous pouvez également le faire avec vos proches, dans vos familles, car les vols d'identifiants se font aussi avec des faux sites web de banques, de commerces, etc.

Bref, considérez que tout ce que vous pouvez imaginer comme sensibilisation informelle et par petites touches est un pas dans la bonne direction et que « les petits ruisseaux font les grandes rivières ».

Nous vous remercions pour votre attention et vous souhaitons de joyeuses fêtes de fin d'années, sans tracas informatiques.

La DIO

English Version

In very short

  • the DIO (Direction Informatique de l'Observatoire, the IT team from Observatoire) will never ask for your password when renewing your account or modifying your quota

  • type your login/password only on safe websites:

    • the padlock symbol is locked, followed by "Observatoire de Paris" in green (1)
    • https:// (3)
    • domain name ends with ".obspm.fr" (4)
    • on clicking on the padlock symbol, you must see "Observatoire de Paris" or "obspm.fr" (2)

    (Firefox 42 browser on Linux and Android)

  • create bookmarks to your sensitive websites and use them to go there, you'll lower the risk to go on fake sites

  • beware of unsollicitated and unexplained e-mail attachments, even if the message comes from a known sender (her identity could be spoofed)

  • if you feel that you gave your login/password to a pirate, change your password immediately (according to the documentation) and tell us at admin.dio@obspm.fr

And now the details, we kindly ask you to take five minutes to read ahead, this is important information.

The holidays coming period is a privilegied target for various computer attacks. We would like to catch your attention on three particular points:

Phishing

In 2013 at the same time, the Observatoire suffered from blacklisting of its mail servers. The consequence was serious, as it was impossible to send e-mail. The cause was the success of a dozen of so-called "phishings". About fifteen Observatoire members gave their login/passwords on fake web pages and this logins was used by pirates to send spam all over the world by using Observatoire's mail servers.

We kindly ask you to have the greatest vigilance and we recall, or say for the newcomers, that we, the DIO (Direction Informatique de l'Observatoire), will NEVER ask you to give directly your password in an e-mail. The DIO does NOT need your password to change disk quota or something. One have to be very suspicious with each password request and authentication on a website.

Before typing your login/password in a web form, please check the following items:

  • the web address (URL technically speaking) in the address bar on the top of the browser must have:

    • a closed padlock symbol, followed by "Observatoire de Paris", all in green

    • https:// (note the "s" at the end, and not http://)

    • a domain name that ends with "obspm.fr": currents browsers help you by displaying in darker font the domain name or the server name

    When clicking on the padlock symbol, you must find in the new window the name "Observatoire de Paris" or the name of the current server that must end with "obspm.fr".

When in doubt, before doing anything, please ask your department's IT team that usually provides support to you.

"TeslaCrypt" malware

A malware named "TeslaCrypt" is spreading since few days ago.

Please be very cautious with unsollicitated e-mail attachments from unknown senders, even if the sender name is familiar to you (her address could be spoofed or her account compromised). Ask confirmation to your sender about the attached content before opening it.

As "Cryptolocker", "TeslaCrypt" is a member of the malware family that irrevocably encrypts your data. If you are a victim of it, all your data will be unreachable. Network disk shares are also targeted and unreachable.

The only way to get your data back is to have proper and frequent backups on a media not accessible without authentification. Server backups provided by your department's IT team should be your best solution. Ask them.

How to help us?

From our experience of the previous year attack campaign, we feel that the people that are most likely to be trapped are:

  • those unexperienced in IT

  • the newcomers that don't know yet the inner workings of IT teams and the DIO

  • those who have an Observatoire login but not physically here in our walls

  • those who don't read french and thus don't detect a poorly worded message or automatic translation

  • those in stress state (exam, etc.)

  • those in vacation, thus not surrounded by a work atmosphere, with the consequence of a lower vigilance level

  • those dealing with a large amount of e-mails when coming back from vacation, thus having a reduced vigilance

One way to help us to get a higher level of awareness and global vigilance is to chat about those scam, tell real anecdotes to show that it does not only happen to others, chat with your office neighbours, at the coffee break, with your PhD students, your students, your foreign colleagues or newcomers, etc.

Those more experienced people can then teach informal micro-lessons to explain for instance how to see "https" in the address bar, how to identify the domain name (that must be "obspm.fr") in the current page address, explain what we see when clicking on the padlock symbol, explain why this or that e-mail is suspect, etc.

You could do all this with your friends and family, because password theft are done with fake bank or shop websites, etc.

In short, consider that all you can imagine as informal sensibilisation in small amounts is a step in the right direction and that "Little brooks make great rivers".

We thank you for your attention and wish you a merry christmas and happy new year's eve, without IT troubles.

The DIO