Sensibilisation à la Sécurité des Systèmes d’Information La ......La protection des flux légitimes repose essentiellement sur des techniques de chiffrement (chiffrement, signature),

La messagerie 1 Sensibilisation à la SSI

Université de Picardie Jules Verne Groupe de travail « Sensibilisation à la SSI » : 33, rue Saint Leu Jérôme Nisota 80039 AMIENS Cedex Amine Adjar Hamza Lahrizi Michel-Pierre Islande Flavie Yimgaing

Section : Université de Picardie Jules Verne Master « Sciences et Technologies de l’Information et de la Communication » Spécialité « Ingénierie des Systèmes et Réseaux Informatiques » Unité d’enseignement : Projet thématique Responsable du projet : Madame Florence Levé

Année 2012 - 2013

Sensibilisation à la Sécurité des Systèmes d’Information : La messagerie


Table des matières 1. Introduction .................................................................................................... 3

2. Public visé ...................................................................................................... 4

A. Contexte de travail ....................................................................................... 4

B. Etude des risques ......................................................................................... 4

3. Etat de l’art .................................................................................................... 5

4. Sensibilisation des postes de travail ................................................................... 6

A. Evènements face à face ................................................................................ 6

B. Affiches et bannières .................................................................................... 8

C. E-mails ....................................................................................................... 9

D. Via ordinateur .............................................................................................11

5. Evaluation .....................................................................................................13

6. Références ....................................................................................................15


1. INTRODUCTION

L’accroissement du volume d’e-mail est un fait avéré. Toutes les messageries électroniques se remplissent avec des e-mails que l’on peut faire entrer dans 2 ou 3 grandes catégories:

Les e-mails non sollicités, et dont la réception peut être associée à une perturbation de l’activité normale ou à une pollution;

Les e-mails non sollicités, mais dont la réception peut légitimement se justifier;

Les e-mails qui correspondent à une activité que l’on pourrait qualifier de "normale".

La facilité d’utilisation et de diffusion des e-mails peut aussi devenir un fléau lorsqu’ils sont utilisés dans un but malsain. Nombreuses sont les entreprises dont les salariés voient leur messagerie professionnelle se remplir et être polluée par des e-mails qui ne correspondent en rien à leurs attentes ou à leur activité professionnelle. Et il en est de même avec les messageries personnelles. L’e-mail est ainsi victime de sa facilité d’utilisation, de son faible coût et finalement, de son succès. Ici voici les différents types d’e-mails:

le SPAM, qui est constitué d’e-mails non sollicités;

le PHISHING, méthode notamment basée sur des e-mails et qui vise à leurrer les destinataires afin de leur soustraire certaines de leurs informations confidentielles;

le HOAX, ou canular, version moderne des chaînes fondées sur la crédulité humaine;

les VIRUS, véhiculés par les e-mails comme des pièces jointes malveillantes;

« Aujourd’hui, environ 70% des e-mails seraient des spam et 95% des infections par virus ou vers sont véhiculés par la messagerie électronique et cela sans parler des attaques de Phishing. Cependant, le courrier électronique est le plus populaire des services d’Internet. Au niveau de l’utilisateur, il présente toutes les caractéristiques du courrier classique : envoi par dépôt à la poste, centre de tri, acheminement, distribution, boîtes aux lettres. » [1] La messagerie électronique est de plus en plus utilisée et est devenue une application métier indispensable. Parce que la messagerie est un vecteur de communication et d'interconnexion, sa sécurité et sa disponibilité sont des préoccupations légitimes des organismes (universités, entreprises …).


2. PUBLIC VISE

Cette sensibilisation s’adresse à tout le personnel administratif utilisant quotidiennement les systèmes d’information de l’Université de Picardie Jules Verne. C’est-à-dire, entre autres, les secrétaires et responsables administratifs. A noter que seul le personnel n’ayant pas eu de formation initiale en informatique sont concernés car c’est un public non sensible à la sécurité informatique. Nous avons volontairement réduit le périmètre du public visé pour mieux se concentrer sur cette catégorie. Aussi, le vocabulaire ainsi que les sujets développés dans une sensibilisation ne sont pas les mêmes par rapport au public visé.

A. CONTEXTE DE TRAVAIL

Pour les étudiants, l’utilisation de la messagerie est indispensable pendant toute la durée des études, notamment pour recevoir des informations d’ordre pédagogique et administratif, chose qui oblige le personnel administratif à utiliser ce moyen de communication pour transmettre toutes sortes d’informations. La messagerie électronique est l’outil principal de tout le personnel visé.

B. ETUDE DES RISQUES

Les risques peuvent affecter la vie professionnelle aussi bien que la privée du public visé, c'est-à-dire qu'une personne du public visé peut être victime d'un courriel de Phishing, qui peut lui causer la perte de ses informations personnelles et professionnelles (ex: mots de passes, numéro de carte de crédit). Cette personne, qui est non sensibilisée aux dangers de l'utilisation de la messagerie, peut aussi recevoir un e-mail malicieux (qui parait légitime pour elle), et devient donc victime de virus transmis en pièce jointe par e-mails, ce qui affectera et endommagera son ordinateur qui contient soit des données professionnelles, ou personnelles ou les deux, ces virus pourront alors endommager directement la machine ou bien collecter des informations confidentielles et les transmettre vers l'extérieur.


3. ETAT DE L’ART

La messagerie électronique offre une possibilité bien intéressante mais, hélas, bien dangereuse. Les risques liés à la messagerie sont analysés en considérant trois types de menaces [2] :

Les atteintes aux flux légitimes (interception de message, perte de message, répudiation de l’envoi, usurpation d’identité, etc.)

Les atteintes au système de messagerie ou au système d’information via la messagerie (virus, vers, spam, etc.)

Les atteintes à l’organisation (contenus illicites, utilisation abusive, Phishing, etc.)

La protection des flux légitimes repose essentiellement sur des techniques de chiffrement (chiffrement, signature), alors que la sécurisation des systèmes de messagerie suppose un choix judicieux d’architecture, de protocoles sécurisés et d’outils spécialisés (exemple : anti-spam).

Pour ce qui est du spam, ce dernier est dû à un certain nombre de facteurs dont : l'implémentation de systèmes de messagerie ne respectant pas les standards, les failles de sécurité dans les systèmes d'exploitations autorisant les spammeurs à contrôler à distance des PC utilisateur pour leur faire envoyer du spam.

Il existe également une autre technique de lutte contre le spam qui est le filtrage Milter-Greylist (liste grise). Le principe est que tout serveur SMTP recevant un message le refuse temporairement à la 1ere tentative. Si le message est légitime, le serveur SMTP expéditeur va essayer de le renvoyer après un certain laps de temps et il sera finalement accepté par le serveur SMTP receveur. Les spammeurs, en général, ne tentent pas de renvoyer leurs messages après réception d’une erreur temporaire et continuent ailleurs leurs nuisibles activités. Si le message est renvoyé immédiatement, il sera également détecté comme SPAM et rejeté, les prochains messages du serveur expéditeur seront alors tous refusés.

Pour ce qui concerne le Phishing, il existe certains logiciels de navigation comme Firefox incluent des dispositifs de protection: un serveur central recensent tous les jours les nouveaux sites de Phishing et communique cette liste aux navigateurs installés sur les ordinateurs des internautes qui sont alors à même d’alerter les utilisateurs qui viendraient à se connecter sur ces sites de Phishing.


4. SENSIBILISATION DES POSTES DE TRAVAIL

A. EVENEMENTS FACE A FACE

Ces évènements consistent à faire assister le personnel à des interventions de spécialistes de la sécurité de la messagerie électronique, pour bien mettre en clair le danger auquel sont exposés les utilisateurs surtout les non sensibilisé, et leur faire des démonstrations concrètes pour qu'ils aient une vue concrétisée du danger et bien sur leur montrer et expliquer les bonnes pratiques en utilisant la messagerie électronique.

D’après une étude américaine, elle montre qu'une campagne de sensibilisation sur le Phishing réduit de 95% le risque que l'une des personnes sensibilisées se fasse avoir par un Phishing. [3]

Un exemple d’évènement de sensibilisation face à face, est une semaine de sensibilisation sur l’utilisation sécurisée de la messagerie ; ce guide vous permettra de comprendre en détail toutes les étapes de la réalisation de cette opération de sensibilisation. Voici les sept principales étapes qui doivent être franchises pour réaliser une campagne efficace :

Mettre sur pied un comité de campagne ; Bien comprendre le problème auquel on doit s’attaquer ; Définir les objectifs ; Aller chercher des experts en la matière ; Choisir un concept simple et mobilisateur ; Créer des partenariats ; Faire la promotion de la campagne par le biais de différents outils de

communication. Avant de commencer, il est important de se rappeler qu’une bonne campagne de sensibilisation doit permettre de répondre aux questions suivantes :

Qui devez-vous impliquer dans cette démarche ? Quelle organisation pourrait vous offrir de l’aide ou des conseils ? Comment communiquer le message ? Comment inciter les gens à participer ? Comment réaliser un suivi de vos progrès ?

Avant de commencer les réunions/séances de sensibilisation, il faut prévoir une "publicité" de cette campagne de sensibilisation (pourquoi fait-on cela, quand cela aura lieu, qui interviendra,...). Cela peut se faire via le journal d'information du personnel par exemple.


Séance 1 Durée : 1heure Contenu de la réunion :

Présentation de l’intervenant (ou bien les intervenants) Pourquoi on doit faire cette sensibilisation ? Montrer des chiffres, et des statistiques du nombre de victimes et de faits

marquants Sensibiliser le public sur le danger auquel ils peuvent s’affronter en utilisant la

messagerie Séance 2 Durée : 2heures Contenu de la réunion :

Rappel de la réunion précédente pour remettre le public à jour Projection de quelques scénarios d’attaques en expliquant ce que le

programmeur malveillant veut faire croire aux utilisateurs non sensibilisé. Faire un scénario de bonne pratique pour chaque scénario d’attaque.

Séance 3 : Durée : 1h30 Contenu de la réunion :

Rappel de la réunion précédente pour remettre le public à jour. Donner les bonnes pratiques à suivre durant l’envoi et la réception d’e-mails. Présenter des « Serious Games » aux membres du public, et les inviter à les

tester et à s’auto-former pendant leur temps libre (par exemple le Serious Game « Anti-Phishing Phil »).

Demander aux membres du public de préparer des questions pour la séance prochaine.

Séance 4 : (Séance pour clôturer la campagne de sensibilisation de l’utilisation de messagerie.) Durée : 1heure Contenu de la réunion :

Rappel de la réunion précédente pour remettre le public à jour. Collecte de questions des membres du public, et après répondre avec le plus

de précision possible. Distribuer un questionnaire/quizz au public pour évaluer les résultats de la

campagne.

Remarque : Pour le nombre de personnes, elles ne doivent pas excéder 20 pour une meilleure interconnexion entre eux et l’intervenant, et ces même 20 personnes doivent assister durant toutes les séances de sensibilisation.


B. AFFICHES ET BANNIERES

Les affiches sont un moyen très efficace pour sensibiliser, puisque la majorité des gens n'ont pas trop de temps ou bien n'ont pas envie de passer une dizaine de minutes à lire un article. Les affiches et bannières font passer l'idée juste en une image, comme ci-dessous :

On peut mettre des affiches dans des lieux plus insolites, tels que les toilettes, les couloirs ou le réfectoire qui sont des lieux de passage régulier des membres du public visé. Pour que cette campagne de sensibilisation soit réellement efficace, il convient de diffuser les messages soit:

Par emails, journal d'entreprise : les messages peuvent être affichés à des endroits stratégiques, comme des valves d'information, à proximité de l'équipement dont ils se servent, à côté de la machine à café, ou bien envoyés par email ou encore publiés dans le journal de l'université ou sur son site internet.

A des endroits stratégiques (si affiches papier) L'information doit être disponible et placée à l'endroit où elle est utile, et où le personnel a la possibilité d'en prendre connaissance. Les affiches peuvent être placées soit dans les valves d'information de l'université, dans le local de la photocopieuse ou près des machines à café par exemple.


A des moments opportuns Diffusé le message à des moments opportuns, c'est-à-dire qu'il est déconseillé de diffuser des messages nombreux simultanément au personnel, en effet, il est plus efficace d'insister sur un message pendant quelques semaines jusqu'à ce que les bonnes pratiques soient bien assimilées par le personnel avant de passer à une autre campagne de sensibilisation.

C. E-MAILS

Cette technique de sensibilisation est assurée par le responsable de la sécurité des systèmes d'informations, il s'agit d'un e-mail de sensibilisation dans lequel il met en garde le personnel des attaques et des nouvelles techniques d'attaques (veille technologique). Cet e-mail doit impérativement être envoyé très régulièrement pour rappeler les utilisateurs, la durée d’envoi de ces emails est de préférence une fois par mois.


« Bonjour,

Plusieurs tentatives de fraude par "hameçonnage" sont en cours auprès

des membres de l'université de Picardie.

Vous avez reçu, ou vous recevrez peut-être, un ou des mails vous

invitant, de la part de l'UPJV, en français ou en anglais, à fournir

votre mot de passe UPJV. Ces messages ne viennent et ne viendront pas

du personnel informatique de l'université de Picardie.

Si vous avez répondu (en donnant votre mot de passe) à l'un de ces

mails vous devez nous en avertir au plus tôt.

Vous devez savoir que vous n'aurez _JAMAIS_ à donner un mot de passe

par mail, par téléphone ou par tout autre moyen à qui que ce soit. Les

informaticiens de l'UPJV n'en ont pas besoin, votre banque n'en a pas

besoin, votre boutique en ligne préférée n'en a pas besoin...

À AUCUN MOMENT.

Il s'agit d'une tentative d'hameçonnage ou Phishing. Voici un extrait

de l'article Wikipédia concernant cette technique de fraude

http://fr.wikipedia.org/wiki/Hameçonnage :

"L'hameçonnage, appelé en anglais Phishing, est une technique utilisée

par des fraudeurs pour obtenir des renseignements personnels dans le

but de perpétrer une usurpation d'identité. La technique consiste à

faire croire à la victime qu'elle s'adresse à un tiers de confiance -

banque, administration, etc. - afin de lui soutirer des renseignements

personnels : mot de passe, numéro de carte de crédit, date de

naissance, etc. C'est une forme d'attaque informatique reposant sur

l'ingénierie sociale. L'hameçonnage peut se faire par courrier

électronique, par des sites web falsifiés ou autres moyens

électroniques."

N'hésitez pas à nous contacter pour tout renseignement

complémentaire. » [4]

http://fr.wikipedia.org/wiki/Hame%C3%A7onnage


D. VIA ORDINATEUR

La technique d'E-learning, est plus ou moins de l'auto apprentissage sur ordinateur, cela se fait par des petits quizz et des Serious Game par exemple. Cela peut être à la fois amusant et très éducatif. Dans l'article [5] des créateurs de ce Serious Game, ils décrivent la conception et l'évaluation du jeu "Anti-Phishing Phil", c'est un jeu en ligne qui enseigne les bonnes pratiques à suivre pour éviter les attaques du Phishing. Ils ont fait une étude pour tester la capacité à identifier les sites web frauduleux avant et après 15 minutes engagés dans l'une des trois activités de formation anti-Phishing qui sont: Jouer le jeu Anti-Phishing Phil, Lecture d'un tutoriel anti-Phishing basé sur ce jeu et la lecture de documents se trouvant sur le web. Et comme résultat de cette étude, il s'est avéré que ceux qui ont joué au Serious Game étaient mieux à même d'identifier les sites web de Phishing par rapport aux autres participants. Ces résultats confirment que les jeux peuvent être un moyen efficace d'éduquer les gens à propos des attaques de Phishing et de sécurité d'autre part.

Pour jouer à ce jeu, c’est gratuit, et aucune inscription n’est nécessaire, pour y accéder voici le lien : http://www.ucl.ac.uk/cert/antiphishing/ Le principe du jeu est le suivant ; vous vous mettez dans la peau de Phil (le poisson orange) un jeune poisson qui apprend à vivre dans la mer (internet). On vous propose des liens à identifier comme étant soit légitime ou frauduleux. Posez votre souris sur un ver, si vous jugez que le lien qu’il vous propose est légitime cliquer sur ‘UP’, si vous trouvez que le lien est malicieux, cliquer sur ‘DOWN’. Si vous n’êtes pas sur de la nature du lien, cliquez sur ‘T’ pour que le père de Phil vous explique. A la fin de chaque stage, vous avez un récapitulatif de tous les liens que vous avez identifiés, avec une explication pour chaque URL (pourquoi c’est malicieux ? pourquoi c’est légitime ? les choses à savoir sur les liens…)

http://www.ucl.ac.uk/cert/antiphishing/


En 2007, le magazine anglais « SC Magazine » [6] a publié un article sur ce Serious Game, ils y disent que c’est un jeu qui a été développé pour apprendre aux jeunes ainsi qu’aux plus âgés de différencier les liens légitimes des liens de fraude et de Phishing.

Après que l’utilisateur aie fini de détecter/rejeter tous les liens, on lui affiche le résultat avec des explications.


5. EVALUATION

A ce stade, le responsable de la campagne de sensibilisation doit évaluer les résultats, qu'ils soient positifs ou négatifs et en informer tout le personnel. Il faudra laisser des traces de la campagne afin de ne pas perdre tous les efforts consentis et le travail effectué, d'où l'importance du logo/slogan et d'une campagne d'affiches pour continuer à faire passer le message. Pour évaluer si le public ciblé a vraiment bien assimilé les dangers qui sont liés à l’utilisation de la messagerie et les bonnes pratiques à mettre en œuvre en l'utilisant, les intervenants peuvent, à la fin de chaque intervention ou séminaire, distribuer au public des tests ou des quizz pour évaluer la réceptivité de la sensibilisation effectuée. Une autre façon d’évaluer les utilisateurs est d’effectuer du Phishing interne. Cela veut dire que le RSSI de l’université va envoyer des e-mails frauduleux au personnel, ces e-mails vont les rediriger vers des pages de Phishing. Cette technique a UNIQUEMENT comme but de voir si le personnel fait attention en navigant et pense avant de cliquer sur des liens reçu par email.


Mais avant tout, le RSSI doit en faire part à la direction et l’établissement en question et/ou partie juridique pour leur préciser qu’il ne s’agit que d’une campagne de sensibilisation et non de Phishing « pirate ». Une fois ces démarches effectuées, le RSSI a le feu vert pour exécuter la campagne en ligne de sensibilisation, il peut par exemple utiliser un outil mis à disposition sur internet, qui permet d’une façon très simple de mettre en place une campagne de Phishing en ligne. Le but originel de cet outil n’est, bien entendu, pas de permettre au premier venu de créer des sites de Phishing, mais l’idée derrière ce projet est de mettre à disposition aux administrateurs et aux responsables de la sécurité un moyen pour tester les utilisateurs des services qu’ils administrent, et donc les sensibiliser. Cet utilitaire s’intitule « Simple Phishing Toolkit » [7]. C’est un script PHP qui nécessite un environnement LAMP (serveur web APACHE par exemple) pour s’exécuter.

Interface du SPToolkit

http://fr.wikipedia.org/wiki/LAMP


Voici les étapes à suivre pour mettre en place cet outil de création de campagne de Phishing en ligne:

Vous allez définir un site à contrefaire, le script va alors l’aspirer et créer une copie locale.

Vous allez ensuite définir votre liste de cibles, autrement dit les utilisateurs à tester. A ce stade il ne vous reste plus qu’à lancer la campagne et attendre que le logiciel

collecte les informations et vous délivre son rapport.

6. REFERENCES

[1] « Securité de la messagerie » : CLUSIF http://www.clusif.asso.fr/fr/production/ouvrages/pdf/securite_messagerie.pdf [2] les nouveaux services de messagerie électronique : http://www-igm.univ-mlv.fr/~dr/XPOSE2009/Nouveaux%20services%20de%20messagerie%20electronique/risques.html [3] http://www.securingthehuman.org/blog/2012/09/05/security-awareness-is-95-good-enough/ [4] Email avec objet « [UPJV SECURITE] Campagne d’hameçonnage en cours » envoyé par la direction des infrastructures des systèmes d’information de l’UPJV. [5] Anti-Phishing Phil: « The Design and Evaluation of a Game That Teaches People Not to Fall for Phish ». [6] Article de SC Magazine http://www.scmagazine.com/anti-phishing-phil/article/155326/ sur le Serious Game Anti-Phishing Phil. [7] Lien pour le téléchargement du Toolkit : http://www.sptoolkit.com/
http://www.clusif.asso.fr/fr/production/ouvrages/pdf/securite_messagerie.pdfhttp://www-igm.univ-mlv.fr/~dr/XPOSE2009/Nouveaux%20services%20de%20messagerie%20electronique/risques.htmlhttp://www-igm.univ-mlv.fr/~dr/XPOSE2009/Nouveaux%20services%20de%20messagerie%20electronique/risques.htmlhttp://www-igm.univ-mlv.fr/~dr/XPOSE2009/Nouveaux%20services%20de%20messagerie%20electronique/risques.htmlhttp://www.securingthehuman.org/blog/2012/09/05/security-awareness-is-95-good-enough/http://www.securingthehuman.org/blog/2012/09/05/security-awareness-is-95-good-enough/http://www.scmagazine.com/anti-phishing-phil/article/155326/http://www.sptoolkit.com/

Documents

Sensibilisation à la Sécurité des Systèmes d’Information La ......La protection des flux légitimes repose essentiellement sur des techniques de chiffrement (chiffrement, signature),