SUR LE PLAN TECHNIQUE
Certaines de ces mesures vous ont déjà été fournies suite à la cyberattaque de mars dernier mais demeurent essentielles en télétravail :
1. Sécurisez vos communications
Nous vous recommandons de privilégier l’usage d’un réseau privé - VPN (Virtual Private Network) à une connexion Bureau à distance simple pour communiquer avec le réseau interne de l’Université. Les connexions Bureau à distance (Remote Desktop Protocol (RDP)) établies directement sur Internet sont à exclure en raison des nombreuses vulnérabilités qu’elles présentent.
Voir: Comment se connecter au VPN ULB?
2. Utilisez un mot de passe complexe pour vos comptes ULB
L’utilisation de mots de passe complexes est primordiale. Il est aussi conseillé de modifier ses mots de passe régulièrement afin d’éviter d’encourir tout risque de piratage.
Utilisez des chiffres, des symboles etc. dans votre mot de passe et évitez les mots de passe personnels comme des dates de naissance et les noms de vos animaux de compagnie. On retrouve souvent des indices révélateurs de ces informations personnelles sur les réseaux sociaux.
Voir: Comment modifier son mot de passe ULB ?
3. Activez l’authentification à deux facteurs pour les applications Microsoft 365
Afin de réduire considérablement le risque d’usurpation d’identité, nous recommandons l’utilisation de l’authentification à deux facteurs (2FA, 2-Factor authentification). Ce mode d’authentification permet de confirmer votre identité en ayant recours à d’autres facteurs en plus de votre mot de passe, typiquement l’envoi d’un code SMS sur votre GSM.
Voir: Comment activer l’authentification 2FA sur Microsoft 365 ?
4. Sécurisez vos équipements
Pour assurer la sécurité et la fiabilité de vos équipements, il est indispensable de veiller aux mesures d’hygiène numériques :
- La mise à jour de tous les logiciels et du système d'exploitation lorsqu’un message vous y invite.
- L’installation et la mise à jour du logiciel antivirus recommandé par l’université (protection EndPoint).
Voir: Comment installer et exécuter Windows Defender ATP
SUR LE PLAN DES COMPORTEMENTS : SOYEZ VIGILANTS !
1. Courrier électronique : méfiez-vous du phishing et des escroqueries
Depuis le début du confinement, on constate partout dans le monde une recrudescence des attaques de phishing. Ces attaques sont véhiculées par des emails qui vous invitent à vous connecter à un site Internet, en général en invoquant un motif d’urgence (ex. boîte email ou compte sur le point d’expirer), et à y introduire vos identifiants de connexion, qui sont alors récupérés par les pirates. Ces messages tentent de se faire passer pour émanant d’une organisation fiable voire de l’université elle-même, parfois en allant jusqu’à en imiter la charte graphique.
Souvenez-vous que la véracité du nom et des renseignements associés à une adresse email n’est jamais garantie et que la messagerie électronique est en général un système de communication très peu sécurisé :
- Il n’existe aucun moyen de vérifier l’identité de l’expéditeur ou la nature du courrier électronique.
- Tous les éléments d’un courrier électronique sont falsifiables et manipulables.
- Les courriers électroniques envoyés ne sont par défaut pas encryptés et peuvent donc être lus ou même modifiés au cours de leur livraison.
- Les courriers électroniques peuvent contenir des logiciels malveillants.
Avec les courriers électroniques, soyez calme et lucide, prenez votre temps et surtout examinez les points suivants :
- Le message émane-t-il d’un expéditeur inconnu ?
- Le nom de domaine de l’expéditeur est-il suspect ?
- Ce message est-il inattendu ?
- Le sujet est-il sans lien avec vos activités ?
- Le message comprend-il une facture ou pièce jointe anormale ?
- Fait-il appel à un sentiment d'urgence ?
- Contient-il un lien web étrange ou caché ?
- Contient-il des fautes d'orthographe grossières ?
- Vous parle-t-il d’un héritage ou d’une forte somme d’argent ?
Chaque « OUI » en réponse aux questions ci-dessus représente un risque, en cas de doute prenez contact avec l’expéditeur. Même si le message vous semble authentique et que vous l’attendiez, la prudence et un peu de jugement réduisent votre risque de préjudice :
- Réfléchissez avant de cliquer sur un lien et résistez à la pression que les pirates exercent pour vous soutirer de l’information.
- Au moindre doute, ne cliquez pas sur les liens contenus dans un email, mais recopiez dans votre navigateur l’adresse Internet renseignée dans l’email. Les emails malveillants cachent souvent une autre adresse Internet derrière un lien en apparence fiable.
- Ne fournissez JAMAIS vos identifiants de connexion et en particulier vos mots de passe au départ d’une demande dans un email.
2. Courrier électronique : méfiez-vous des pièces jointes
En ce qui concerne les pièces jointes, ne les ouvrez pas si vous ne vous attendiez pas à les recevoir. Dans le doute, si l’expéditeur est une connaissance ou un collègue, communiquez avec lui pour vous assurer que la pièce jointe vous est bel et bien destinée avant de l’ouvrir. Si vous êtes certain(e) de l’origine et de la fiabilité d’une pièce jointe, prenez toujours garde en ouvrant le fichier et veillez à ne pas accepter d’exécuter les contenus actifs ou macros si le logiciel (par exemple Microsoft Excel) vous le propose.
3. Courrier électronique : gare au chantage
Une autre menace courante est l’extorsion ou chantage : Vous recevez un courrier électronique qui vous menace de rendre publiques certaines informations confidentielles vous concernant si vous ne payez pas. Ils affirment aussi qu’ils ont réussi à infecter votre ordinateur et ont pu accéder à des informations compromettantes (par exemple sur le fait que vous visiteriez des sites pour adultes).
Ces maîtres-chanteurs ne détiennent généralement aucune donnée compromettante sur vous. Il est possible qu’ils possèdent comme information sur vous un mot de passe que vous utilisez ou avez utilisé. Sachez que ce genre d’information est malheureusement disponible sur internet par suite de fuites de données depuis certains sites internet. Ils n’ont pas eu besoin d’entrer dans votre ordinateur pour obtenir cette information.
Que dois-je faire ?
- Ne paniquez pas
- Ne payez pas
- Modifiez vos mots de passe si vous avez un doute
4. Réseaux sociaux et sites Internet : sécurisez vos comptes
Les réseaux sociaux présentent de nombreux risques. Les grands noms des logiciels de réseaux sociaux (Facebook, LinkedIn…) offrent plusieurs paramètres pour contrôler la confidentialité de votre profil et de vos interactions. Prenez le temps de vous informer sur ces possibilités. La configuration de ces options peut être fastidieuse, mais elle est essentielle pour maximiser la sécurité de vos comptes. Choisissez de rendre vos contributions privées par défaut, afin qu’elles ne soient accessibles qu’à vos amis ou connaissances. Reprenez le contrôle et ne vous contentez jamais des paramètres par défaut.
Plus généralement, rappelez-vous que la confidentialité et l’anonymat n’existent pas sur Internet. Peu importe la technologie ou la plateforme, l’usage des technologies de l’information laisse toujours des traces. Soyez donc vigilants et ne postez rien sur Internet qui puisse être utilisé contre vous.