Rentrée universitaire en période de pandémie : les étudiants français exposés au vol de données personnelles

0
99

Suite aux annonces du Ministre de l’Enseignement supérieur, de la Recherche et de l’Innovation poussant les universités à assurer la « continuité pédagogique » en cas de rebond de l’épidémie, les universités ont dû s’adapter notamment en proposant des cours hybrides qui appellent à une utilisation extensive de l’email.

Face à cette situation, les étudiants se retrouvent de plus en plus exposés aux risques d’attaques frauduleuses et les messageries électroniques sont devenues les nouveaux terrains de jeu des cybercriminels.

Selon une analyse Proofpoint, 98 % des 40 premières universités françaises n’auraient pas de protection efficace contre le risque de fraude par mail, pourtant premier vecteur de cyberattaques.

Largement recommandé par L’Agence Nationale de la Sécurité des Systèmes d’Informations (ANSSI) dans ses guides de sécurité les plus récents, DMARC est devenu un véritable standard en matière de protection contre la fraude par mail.

Pour la rentrée 2020, si les consignes sanitaires liées au Covid-19 restent de privilégier le présentiel, Frédérique Vidal, Ministre de l’Enseignement supérieur, de la Recherche et de l’Innovation demande aussi aux universités d’être prêtes à assurer la « continuité pédagogique » en cas de rebond épidémique. Ainsi, les universités proposent désormais des cours hybrides, mêlant le présentiel et le distanciel, et privilégiant la communication par mail. Une nouvelle occasion pour les cybercriminels de diffuser des campagnes mail frauduleuses visant à dérober des données personnelles.

Appliquer le standard DMARC pour se protéger contre la fraude email

L’email étant à ce jour le principal vecteur utilisé pour propager une cyberattaque tous secteurs confondus, vérifier le niveau de sécurité de ce canal est un bon indicateur du risque encouru pour une organisation. Et l’un des moyens les plus efficaces pour contrôler ce niveau de sécurité consiste à vérifier l’adoption du protocole DMARC (Domain-based Message Authentication, Reporting & Conformance) au niveau de la messagerie électronique.

Largement recommandé par L’Agence Nationale de la Sécurité des Systèmes d’Informations (ANSSI) dans ses guides de sécurité les plus récents, DMARC est devenu un véritable standard en matière de protection contre la fraude par email. Complémentaires aux autres protocoles de sécurité des mails SPF (Sender Policy Framework) et DKIM (Domain Keys Identified Mail), il permet d’authentifier de manière fiable les expéditeurs d’emails et de bloquer les messages frauduleux. Il s’agit donc d’une arme redoutable pour lutter contre le phishing (hameçonnage) et le spoofing (usurpation d’identité).

Mettre en œuvre le protocole DMARC permet à une organisation de définir quel traitement doit être appliqué sur les messages électroniques utilisant son nom de domaine, ainsi que la politique à appliquer en cas d’échec lors de la vérification : accepter le courriel (p=none, où p signifie ici policy – politique en anglais), le catégoriser comme indésirable (p=quarantine), ou le supprimer (p=reject).

Les universités françaises face à la fraude mail

Proofpoint a analysé l’application du protocole DMARC par les 40 premières universités françaises pour évaluer le cyber risque encouru dans le contexte de poursuite de l’enseignement à distance. Les résultats sont sans appel :

  • 57% des universités françaises n’ont pas du tout publié de registre DMARC, se retrouvant exposées à l’usurpation de nom de domaine et aux attaques de phishing.
  • 43% des universités françaises ont publié un registre DMARC, mais 1 seule université a mis en œuvre le niveau de protection DMARC le plus strict (p=reject).
  • Ainsi, 98% des universités ne se protègent pas de manière proactive contre les emails frauduleux usurpant leur nom de domaine.

 « En laissant de côté les bonnes pratiques, pourtant simples et efficaces, pour authentifier les mails, les universités s’exposent sans le savoir, ainsi que leurs étudiants, à des cybercriminels à la recherche de données personnelles », déclare Loïc Guézo, directeur stratégie cybersécurité au sein de Proofpoint. « Les institutions et les organisations de tous les secteurs devraient chercher à déployer des protocoles d’authentification tels que DMARC, pour renforcer leurs défenses contre la fraude par mail. Les cybercriminels profitent de l’actualité pour lancer des attaques ciblées en utilisant des techniques d’ingénierie sociale telles que l’usurpation d’identité et les universités ne font pas exception à la règle.»

Guide des bonnes pratiques à destination des étudiants

  • Il est important de vérifier la validité de toutes les communications par mail et être conscients des éventuels risques de mails frauduleux se faisant passer pour des établissements scolaires.
  • Les étudiants doivent être prudents face aux tentatives de communication qui demandent des identifiants de connexion ou menacent de suspendre un service ou un compte si un lien n’est pas cliqué.
  • Enfin, il est nécessaire de suivre les meilleures pratiques en matière d’hygiène des mots de passe, notamment en utilisant des mots de passe forts, en les changeant fréquemment et en ne les réutilisant jamais sur plusieurs comptes.