Analyse des adresses dans le message frauduleux du 8/10/2017
Dans le message reçu par un assez grand nombre de personnels et étudiants le dimanche 8 octobre 2017, intitulé "Messagerie Outlook : dernier rappel avant la migration le 30 octobre", et envoyé partir d'une adresse d'étudiant de l'UP (du type prenom.nom@etu.univ-poitiers.fr), le lien renvoyait vers la page d'authentification de l'Université de Poitiers, mais l'adresse n'était pas la bonne.
Au lieu de https://cas.univ-poitiers.fr/, il y a eu plusieurs variantes :
https://universitedauphine.sharepoint.com/sites/support-numérique/sites.pages ...
https://universitedauphine.sharepoint.com/sites/informations-pratiques-migration-messagerie ...
http://onemarks-esperampara.co.in/cas.univ-poitiers.fr/
Le message incitait à cliquer sur un lien pour avoir toutes les informations utiles sur la migration. Le lien renvoyait bien vers la page d'authentification de l'Université de Poitiers, mais les indentifiants et mots de passe qui ont été saisis sur cette page, sont allés vers des serveurs informatiques sans rapport avec l'Université de Poitiers.
Les conséquences sont ennuyeuses à plusieurs titres : risque de piratage des contacts, examen des messages électroniques permettant d'obtenir des informations utiles pour d'autres actions frauduleuses, risque d'accès à d'autres comptes si les identifiant et mot de passe de compte Sel sont utilisés pour des comptes personnels (banque, messagerie personnelle...).
Les réflexes à acquérir pour éviter cela :
- si une authentification est demandée, ne jamais répondre si l'adresse de la page web commence par http:// (si l'adresse commence par https:// cela signifie que la connexion est sécurisée - "s" = security - mais ne suffit pas pour garantir l'authenticité de l'adresse) ;
- bien observer le début de l'adresse qui indique le nom du serveur informatique (en l'occurence, "serveur web") qui contient la page, et se demander si elle est plausible ; nous sommes à l'Université de Poitiers, et l'adresse de la page d'authentification pour les services en ligne est https://cas.univ-poitiers.fr/ ("cas" signifie "central authentification service", traduit "service central d'authentification" sur la page d'authentification proprement dite).
Le début de l'adresse correspond au nom du serveur web sur lequel se trouve la page. Si cette adresse est respectée, vous êtes bien renvoyé vers le serveur voulu, et l'adressse est complétée par le navigateur web (Internet Explorer, Firefox, Chrome...) en fonction du service utilisé :
- https://cas.univ-poitiers.fr/cas/login
- https://cas.univ-poitiers.fr/cas/login?service=https://ent.univ-poitiers.fr/uPortal/Login
mais dans tous les cas, ce qui compte est https://cas.univ-poitiers.fr/
Si cette adresse contient un signe supplémentaire discret, pas immédiatement repérable (par exemple https://.cas.univ-poitiers.fr) vous êtes renvoyé vers une autre machine, et vous fournissez votre mot de passe à on ne sait qui.
L'adresse
https://universitedauphine.sharepoint.com/sites/support-numérique/sites.pages ... commence par https://, mais ne renvoie pas vers l'Université de Poitiers...
L'adresse
http://onemarks-esperampara.co.in/cas.univ-poitiers.fr/
commence par http:// et ne renvoie pas vers l'Université de Poitiers...
Autres commentaires sur le message du 8/10/2017
Au lieu de https://cas.univ-poitiers.fr/, il y a eu plusieurs variantes :
https://universitedauphine.sharepoint.com/sites/support-numérique/sites.pages ...
https://universitedauphine.sharepoint.com/sites/informations-pratiques-migration-messagerie ...
http://onemarks-esperampara.co.in/cas.univ-poitiers.fr/
Le message incitait à cliquer sur un lien pour avoir toutes les informations utiles sur la migration. Le lien renvoyait bien vers la page d'authentification de l'Université de Poitiers, mais les indentifiants et mots de passe qui ont été saisis sur cette page, sont allés vers des serveurs informatiques sans rapport avec l'Université de Poitiers.
Les conséquences sont ennuyeuses à plusieurs titres : risque de piratage des contacts, examen des messages électroniques permettant d'obtenir des informations utiles pour d'autres actions frauduleuses, risque d'accès à d'autres comptes si les identifiant et mot de passe de compte Sel sont utilisés pour des comptes personnels (banque, messagerie personnelle...).
Les réflexes à acquérir pour éviter cela :
- si une authentification est demandée, ne jamais répondre si l'adresse de la page web commence par http:// (si l'adresse commence par https:// cela signifie que la connexion est sécurisée - "s" = security - mais ne suffit pas pour garantir l'authenticité de l'adresse) ;
- bien observer le début de l'adresse qui indique le nom du serveur informatique (en l'occurence, "serveur web") qui contient la page, et se demander si elle est plausible ; nous sommes à l'Université de Poitiers, et l'adresse de la page d'authentification pour les services en ligne est https://cas.univ-poitiers.fr/ ("cas" signifie "central authentification service", traduit "service central d'authentification" sur la page d'authentification proprement dite).
Le début de l'adresse correspond au nom du serveur web sur lequel se trouve la page. Si cette adresse est respectée, vous êtes bien renvoyé vers le serveur voulu, et l'adressse est complétée par le navigateur web (Internet Explorer, Firefox, Chrome...) en fonction du service utilisé :
- https://cas.univ-poitiers.fr/cas/login
- https://cas.univ-poitiers.fr/cas/login?service=https://ent.univ-poitiers.fr/uPortal/Login
mais dans tous les cas, ce qui compte est https://cas.univ-poitiers.fr/
Si cette adresse contient un signe supplémentaire discret, pas immédiatement repérable (par exemple https://.cas.univ-poitiers.fr) vous êtes renvoyé vers une autre machine, et vous fournissez votre mot de passe à on ne sait qui.
L'adresse
https://universitedauphine.sharepoint.com/sites/support-numérique/sites.pages ... commence par https://, mais ne renvoie pas vers l'Université de Poitiers...
L'adresse
http://onemarks-esperampara.co.in/cas.univ-poitiers.fr/
commence par http:// et ne renvoie pas vers l'Université de Poitiers...
Autres commentaires sur le message du 8/10/2017
Réseaux sociaux :