> DIO/ Actualités/ Attention aux attaques informatiques / Beware of computer malwares

Note: You'll find an English version below the french one

Note: This is important information, please take 5 minutes to read it, really!

Version française

En bref, l'essentiel

  • la DIO ne vous demandera jamais votre mot de passe pour renouveller votre compte ou changer un quota disque

  • ne saisissez votre mot de passe que sur des pages web sûres avec :

    • le cadenas fermé
    • https://
    • domaine se terminant en « .obspm.fr »
    • quand on clique sur le cadenas, on doit lire « obspm.fr »

  • placez en favoris les sites web où vous vous identifiez et accédez-y via ce moyen, cela diminue le risque d'aller sur des faux sites

  • méfiez-vous des pièces jointes non sollicitées et non expliquées dans le corps du message, même si le message a l'air de venir d'un correspondant connu (son identité peut être usurpée)

  • si vous pensez avoir fourni vos identifiants à un pirate, changez immédiatement votre mot de passe (cf. documentation) et prévenez admin.dio@obspm.fr

Et voici le détail, nous vous demandons de bien vouloir prendre 5 minutes pour le lire, c'est important.

La période de fête qui approche est particulièrement propice aux attaques informatiques. Nous souhaitons attirer votre attention sur trois points en particulier.

Phishing

L'an dernier à la même période, l'Observatoire a souffert de blocage de ses serveurs d'e-mail. La conséquence était sérieuse car il n'était plus possible d'envoyer des e-mails. La cause était la réussite d'une dizaine de « phishing », ou hameçonnage. Une quinzaine de personnels de l'Observatoire ont fourni leurs identifiants/mot de passe sur des fausses pages web et des pirates ont pu ainsi envoyer du spam en utilisant les serveurs de l'Observatoire.

Nous vous demandons d'observer svp la plus grande vigilance et nous rappelons que la DIO ne demandera JAMAIS un mot de passe directement dans un e-mail, que la DIO n'a PAS besoin de l'authentification de l'utilisateur pour modifier tel ou tel quota. Il faut donc être très méfiant envers toute demande de mot de passe et d'authentification sur un site web.

Avant de saisir votre identifiant/mot de passe dans un formulaire web, il convient de vérifier plusieurs choses :

  • l'adresse (URL dans le jargon) dans la barre d'adresse en haut du navigateur doit obligatoirement comporter :

    • un symbole de cadenas fermé ;

    • https:// (noter le « s » à la fin, et non pas http://) ;

    • un domaine qui se termine en « .obspm.fr » : les navigateurs actuels aident en mettant en foncé le nom de domaine ou du serveur.

    Quand on clique sur le cadenas, on doit retrouver dans la fenêtre qui s'ouvre le nom de serveur qui doit se terminer en « .obspm.fr »

Dans le doute, avant de faire quoi que ce soit, demander aux informaticiens qui assurent le support pour votre laboratoire/service.

Virus « Cryptolocker »

Un virus assez redoutable nommé « Cryptolocker » circule en ce moment (lire la section 2 de ce bulletin du CERT-FR et les premiers cas au CNRS nous sont remontés. Si vous en êtes victime, vos données seront inaccessibles. Les partages réseau sont aussi ciblés et inaccessibles. Une rançon vous est alors demandée pour récupérer l'accès à vos données. Il ne faut jamais payer la rançon.

La seule façon d'accéder à vos données est d'avoir une sauvegarde récente sur un média non accessible à votre compte sans réauthentification. La sauvegarde sur un serveur administré par votre service informatique de laboratoire/service devrait être la meilleure solution. Renseignez-vous auprès d'eux.

Soyez svp très prudents et n'ouvrez pas des pièces jointes non sollicitées d'expéditeurs inconnus.

Comment nous aider ?

De notre constat sur la vague de compromission de l'an dernier, les personnes qui ont le plus de chance de se faire berner sont :

  • celles inexpérimentées en informatique ;

  • les nouveaux arrivants qui ne connaissent pas le fonctionnement des services informatique et de la DIO ;

  • celles ayant un compte à l'Observatoire mais non présents dans les murs ;

  • les non francophones qui ne détectent pas les faux messages écrits en mauvais français ou traduits automatiquement ;

  • celles en état de stress (examen, etc.) ;

  • celles en congés, pas dans le bain professionnel et moins vigilantes ;

  • celles traitant une grosse masse de messages à la rentrée, ayant pour conséquence une baisse de la vigilance ;

Une façon de nous aider à relever le niveau de conscience et de vigilance global est de discuter entre-vous de ces arnaques, de raconter des anecdotes vécues de près ou de loin pour montrer que ça n'arrive pas qu'aux autres, avec votre voisin de bureau, à la pause café, avec vos thésards, vos étudiants, vos collègues étrangers ou nouvellement arrivé, etc.

Les plus expérimentés peuvent alors prodiguer des micros-formations informelles pour expliquer par exemple comment voir « https:// » dans la barre d'adresse, comment localiser le domaine (qui doit être « obspm.fr ») dans l'adresse de la page actuelle, expliquer ce qu'on voit quand on clique sur le cadenas, expliquer sur un exemple d'e-mail reçu pourquoi il est suspect, etc.

Vous pouvez également le faire avec vos proches, dans vos familles, car les vols d'identifiants se font aussi avec des faux sites web de banques, de commerces, etc.

Bref, considérez que tout ce que vous pouvez imaginer comme sensibilisation informelle et par petites touches est un pas dans la bonne direction et que « les petits ruisseaux font les grandes rivières ».

Nous vous remercions pour votre attention et vous souhaitons de joyeuses fêtes de fin d'années, sans tracas informatiques.

La DIO

English Version

In very short

  • the DIO (Direction Informatique de l'Observatoire, the IT team from Observatoire) will never ask for your password when renewing your account or modifying your quota

  • type your login/password only on safe websites:

    • the padlock symbol is locked
    • https://
    • domain name ends with ".obspm.fr"
    • on clicking on the padlock symbol, you must see "obspm.fr"

  • create bookmarks to your sensitive websites and use them to go there, you'll lower the risk to go on fake sites

  • beware of unsollicitated and unexplained e-mail attachments, even if the message comes from a known sender (her identity could be spoofed)

  • if you feel that you gave your login/password to a pirate, change your password immediately (according to the documentation) and tell us at admin.dio@obspm.fr

And now the details, we kindly ask you to take five minutes to read ahead, this is important information.

The holidays coming period is a privilegied target for various computer attacks. We would like to catch your attention on three particular points:

Phishing

Last year at the same time, the Observatoire suffered from blacklisting of its mail servers. The consequence was serious, as it was impossible to send e-mail. The cause was the success of a dozen of so-called "phishings". About fifteen Observatoire members gave their login/passwords on fake web pages and this logins was used by pirates to send spam all over the world by using Observatoire's mail servers.

We kindly ask you to have the greatest vigilance and we recall, or say for the newcomers, that we, the DIO (Direction Informatique de l'Observatoire), will NEVER ask you to give directly your password in an e-mail. The DIO does NOT need your password to change disk quota or something. One have to be very suspicious with each password request and authentication on a website.

Before typing your login/password in a web form, please check the following items:

  • the web address (URL technically speaking) in the address bar on the top of the browser must have:

    • a closed padlock symbol

    • https:// (note the "s" at the end, and not http://)

    • a domain name that ends with "obspm.fr": currents browsers help you by displaying in darker font the domain name or the server name

    When clicking on the padlock symbol, you must find in the new window the name of the current server that must end with "obspm.fr".

When in doubt, before doing anything, please ask your department's IT team that usually provides support to you.

"Cryptolocker" malware

A quiet dreadful malware named "Cryptolocker" makes its path in the our research community (see section 2 of this CERT-FR bulletin) and we are informed by the CNRS of some successful cases. If you are a victim of it, all your data will be unreachable. Network disk shares are also targeted and unreachable. Then, a ransom is requested to get your data back. Never pay the ransom.

The only way to get your data back is to have proper and frequent backups on a media not accessible without authentification. Server backups provided by your department's IT team should be your best solution. Ask them.

Please be very cautious and do not open unsollicitated e-mail attachments from unknown senders.

How to help us?

From our experience of the previous year attack campaign, we feel that the people that are most likely to be trapped are:

  • those unexperienced in IT

  • the newcomers that don't know yet the inner workings of IT teams and the DIO

  • those who have an Observatoire login but not physically here in our walls

  • those who don't read french and thus don't detect a poorly worded message or automatic translation

  • those in stress state (exam, etc.)

  • those in vacation, thus not surrounded by a work atmosphere, with the consequence of a lower vigilance level

  • those dealing with a large amount of e-mails when coming back from vacation, thus having a reduced vigilance

One way to help us to get a higher level of awareness and global vigilance is to chat about those scam, tell real anecdotes to show that it does not only happen to others, chat with your office neighbours, at the coffee break, with your PhD students, your students, your foreign colleagues or newcomers, etc.

Those more experienced people can then teach informal micro-lessons to explain for instance how to see "https" in the address bar, how to identify the domain name (that must be "obspm.fr") in the current page address, explain what we see when clicking on the padlock symbol, explain why this or that e-mail is suspect, etc.

You could do all this with your friends and family, because password theft are done with fake bank or shop websites, etc.

In short, consider that all you can imagine as informal sensibilisation in small amounts is a step in the right direction and that "Little brooks make great rivers".

We thank you for your attention and wish you a merry christmas and happy new year's eve, without IT troubles.

The DIO