Berner par courriel les collaborateurs de l’administration cantonale vaudoise semble être un jeu d’enfant. Le Canton le sait et travaille depuis plusieurs années pour sensibiliser et former ses employés en menant différents exercices, comme le rapportait «Le Temps» fin 2019.
Deux rapports confidentiels transmis à Blick par un citoyen (lire encadré ci-dessous) permettent toutefois de saisir l’ampleur du chantier en cours. Leurs conclusions sans équivoque interrogent, alors que le piratage massif de Rolle a déjà démontré que les collectivités pouvaient être la cible de hackers.
Blick a obtenu les rapports confidentiels grâce à un citoyen vaudois qui a adressé une requête aux autorités selon la loi sur l’information (Linfo). Celle-ci confère à tout un chacun le droit de demander à consulter des informations ou documents officiels et achevés, élaborés ou détenus par les entités cantonales ou communales vaudoises, ainsi que par les entités privées délégataires de tâches publiques cantonales ou communales.
«À la suite de l’affaire de Rolle, la mise en lumière de ces tests très instructifs m’a paru indispensable afin de permettre aux communes, associations et entreprises de bien saisir la problématique du phishing, cela de manière vérifiée, explique Kyril Gossweiler, auteur de la démarche. Le Canton de Vaud étant, a priori, mieux équipé que des petites structures pour faire appliquer des directives de sécurité informatique, ces résultats ne sont certainement pas meilleurs ailleurs.»
Même s'il a fini par obtenir les différents documents qu'il demandait, il assure «regretter que le Canton ne diffuse pas spontanément et en toute transparence ces rapports et leurs résultats afin de rendre attentives de manière proactive les entités publiques, parapubliques ou privées pouvant être victimes de ces pratiques».
Blick a obtenu les rapports confidentiels grâce à un citoyen vaudois qui a adressé une requête aux autorités selon la loi sur l’information (Linfo). Celle-ci confère à tout un chacun le droit de demander à consulter des informations ou documents officiels et achevés, élaborés ou détenus par les entités cantonales ou communales vaudoises, ainsi que par les entités privées délégataires de tâches publiques cantonales ou communales.
«À la suite de l’affaire de Rolle, la mise en lumière de ces tests très instructifs m’a paru indispensable afin de permettre aux communes, associations et entreprises de bien saisir la problématique du phishing, cela de manière vérifiée, explique Kyril Gossweiler, auteur de la démarche. Le Canton de Vaud étant, a priori, mieux équipé que des petites structures pour faire appliquer des directives de sécurité informatique, ces résultats ne sont certainement pas meilleurs ailleurs.»
Même s'il a fini par obtenir les différents documents qu'il demandait, il assure «regretter que le Canton ne diffuse pas spontanément et en toute transparence ces rapports et leurs résultats afin de rendre attentives de manière proactive les entités publiques, parapubliques ou privées pouvant être victimes de ces pratiques».
Le premier audit en notre possession date de 2018. À l’époque, la Direction des systèmes d’information (DSI) du canton de Vaud — devenue aujourd’hui la Direction générale du numérique et des systèmes d’information (DGNSI) — souhaite sensibiliser les collaborateurs de l’administration cantonale aux risques de courriels malveillants et échafaude «une campagne de phishing (hameçonnage, ndlr.) éducative», en collaboration avec une société spécialisée.
Le mot phishing vient de la contraction des mots password et fishing et veut littéralement dire «pêche aux mots de passe».
En français, on parle «d’hameçonnage». Très concrètement, il s’agit de courriels frauduleux dont le but est de dérober les identifiants des personnes les plus crédules, par retour d’email ou via un formulaire web généralement hébergé sur un site piraté, explique l'EPFL sur son site internet. En cliquant sur le lien ci-dessus, vous trouverez différentes astuces pour reconnaître les tentatives de phishing.
Le mot phishing vient de la contraction des mots password et fishing et veut littéralement dire «pêche aux mots de passe».
En français, on parle «d’hameçonnage». Très concrètement, il s’agit de courriels frauduleux dont le but est de dérober les identifiants des personnes les plus crédules, par retour d’email ou via un formulaire web généralement hébergé sur un site piraté, explique l'EPFL sur son site internet. En cliquant sur le lien ci-dessus, vous trouverez différentes astuces pour reconnaître les tentatives de phishing.
Une mise en scène révélatrice
Concrètement, le 25 janvier 2018, un courriel est adressé aux 13’400 fonctionnaires de l’État de Vaud. Le message les invite à souscrire à VaudFit, un soi-disant abonnement de fitness et wellness très avantageux. L’utilisateur qui clique sur le lien ou sur l’image affichée arrive sur une page de login factice, imitant celle du vrai site étatique. Si la personne renseigne ses informations, elle est ensuite invitée à télécharger un document. En l’occurrence, un PDF vide et inoffensif. Heureusement…
Les objectifs de cette simulation d’attaque sont multiples, explique le rapport d’audit:
- Test de clics: chercher à savoir si le collaborateur se laisse convaincre de cliquer sur un lien proposé. Un geste qui n’est pas anodin car un clic, même isolé, peut le conduire vers un site contaminé.
- Test d’entrée d’informations: chercher à savoir si l’utilisateur fournit des informations spécifiques, en l’occurrence ses identifiants réseau. Action qui ouvre la boîte de Pandore.
- Mesurer la solidité du mot de passe: évaluer la difficulté qu’aurait un attaquant à deviner un mot de passe.
- Test de téléchargement: cherche à savoir si un employé télécharge facilement un document, potentiellement malicieux.
Les conclusions du document sont édifiantes: plus du quart (27%) des 13’400 collaborateurs a cliqué sur la fausse offre. Un peu moins (19%) ont poursuivi en saisissant des informations et en téléchargeant la pièce jointe.
«Ces valeurs peuvent certes nous interpeller, mais elles montrent surtout qu’une campagne ciblée peut être très percutante pour des cybercriminels. L’administration n’est pas une exception», écrivait à l’interne la DSI au moment de dévoiler le pot aux roses et de mettre en place différentes pistes d’amélioration. Elle tempérait toutefois les résultats: «D’un autre côté, plus d’un millier d’appels et des réactions très rapides et efficaces ont averti le Helpdesk et le centre de sécurité de la DSI.»
On prend les mêmes et on recommence
Rebelote entre décembre 2019 et janvier 2020. L’Etat continue ses efforts de sensibilisation et renouvelle une opération de pseudo-mail de phishing. Celle-ci cible cette fois 13’661 adresses. Le subterfuge utilisé est caviardé dans le rapport que Blick a reçu. Nous ignorons donc quelle carotte a cette fois été agitée au nez des fonctionnaires mais nous savons qu’ils étaient incités à cliquer sur un lien et à activer une «macro», un petit programme permettant d’effectuer du code informatique sur l’ordinateur de la personne qui l’a activée. Potentiellement, une macro peut exécuter n’importe quelle action. Elle permet par exemple à un attaquant d’installer des logiciels malveillants et d’effacer ou de récupérer des fichiers.
Dans le rapport réalisé par la même société qu’en 2018, des tableaux révèlent que 11.5% des 13’661 destinataires sont tombés dans le panneau. Moins de la moitié (4.4%) ont activé la macro. C’est trop. Fait rigolo — ou inquiétant —, certains utilisateurs qui n’arrivaient pas à accéder aux informations promises dans la mise en scène ont ressayé plusieurs fois depuis différentes machines. Un utilisateur a même enchaîné 30 tentatives de téléchargement.
Les conclusions de l’entreprise experte sont claires. Elle recommande «vivement» de multiplier les tests afin de former les collaborateurs en prévoyant «des projets plus petits et plus fréquents»: «Nous recommandons un rythme de deux actions par année». En outre, il serait plus judicieux de faire une campagne moins globale, en ciblant les mesures par département ou par secteur d’activité.
Les efforts se poursuivent
Qu’a gardé la DGNSI de tous ces résultats? A-t-elle suivi les conclusions rendues par la société mandatée, alors qu’elle en est actuellement à sa 3e campagne de sensibilisation? «Pour le troisième exercice, nous avons suivi les recommandations, mais nous n’avons volontairement pas souhaité découper les populations, explique à Blick Marc Barbezat, directeur de la sécurité numérique de l’État de Vaud. Une décision qui a certes le désavantage de ne pas pouvoir 'personnaliser' la sensibilisation, mais qui excluait surtout pour nous des problématiques de profilage potentiel, en particulier pour des très petits services comme il en existe au sein de l’administration.»
La direction a par contre étendu le cursus de sensibilisation en y incluant une vidéo explicative et un quizz récapitulatif qui sera bientôt proposé aux collaborateurs. «Cette nouvelle campagne devait également rappeler l’importance du bouton d’annonce de courriel suspect», assure Marc Barbezat. Selon lui, entre 150 et 200 e-mails jugés suspects sont signalés chaque jour aux professionnels de la sécurité informatique de l’État de Vaud par les collaboratrices et collaborateurs de l’administration cantonale.
Plus globalement, au niveau du Canton de Vaud, la sensibilisation et la formation sont des dimensions jugées comme étant importantes pour améliorer la culture de sécurité et de protection des données au sein de ses services. «Les campagnes de prévention du phishing sont l’un des moyens que nous utilisons périodiquement pour renforcer la chaîne de sécurité, qui dépend beaucoup du bon comportement des utilisateurs des systèmes informatiques», relate le directeur, qui précise que l’Etat agit également sur la détection technique des actes malveillants (mise en place de quarantaine, blocage des extensions suspectes, infrastructure anti-spam).
Pour Marc Barbezat, il est par ailleurs important de rappeler que les tests adressés aux fonctionnaires n’ont pas pour objectif de les piéger mais d’exercer les bons réflexes. Afin, évidemment, de réduire les risques pour les systèmes d’information de l’administration cantonale vaudoise. «Ces exercices requièrent une préparation importante de coordination tout en prenant un grand soin pour la protection des données associées, décrit le directeur. Ils ont été réalisés en toute transparence avec les collaborateurs et nous permettent déjà de voir des améliorations très probantes dans les annonces rapides de la part des utilisateurs, par exemple en moins de deux minutes pour les premiers lors du test de cet automne.»
Un pas de travers suffit à tout mettre en péril
En découvrant les résultats des différentes campagnes, il faut être conscient qu’il suffit qu’une seule personne sur les 15’000 environ que compte l’administration cantonale clique ou télécharge une pièce jointe malicieuse pour potentiellement faciliter une cyberattaque. «Il est évident que nous ne pouvons pas imaginer le cas d’un zéro clic et c’est ce qui donne tout le sens au rôle complémentaire du centre opérationnel de sécurité, le SOC du canton de Vaud, qui œuvre 7 jours sur 7 et 24 heures sur 24, rebondit Marc Barbezat. La sécurité se construit par couches pour rendre la réussite d’une attaque le plus difficile possible pour les cybercriminels.»
À lire aussi
Soit. Le Canton semble avoir pris la problématique à bras-le-corps et mène un travail de fond. Mais tout de même. Les résultats des collaborateurs de l’administration sont peu glorieux. Comment l’expliquer, alors qu’ils sont censés être relativement bien formés à ces thématiques? «Concernant les pourcentages de clics, ce sont des moyennes habituelles à notre connaissance et qui peuvent même être plus élevées selon le ciblage préalablement opéré, relativise Marc Barbezat. Réaliser régulièrement de tels exercices de sensibilisation aux risques d’hameçonnage est à notre avis un point positif.»
À l’inverse, se focaliser sur des chiffres ne serait pas bénéfique, estime le directeur de la sécurité numérique de l’État de Vaud. Et ce, même si une amélioration globale est visible (-27% de clics) entre le 1er et le 2e exercice. «Le risque 0 n’existe pas mais nous tentons, avec les collaboratrices et collaborateurs de l’administration, de le réduire», certifie-t-il.