16.03.2021 - Le NCSC a reçu un nombre modéré d'annonces la semaine dernière, dont les plus fréquentes ont porté sur des courriels d'hameçonnage, des abonnements pièges et l'arnaque au faux support technique. Il a également reçu de nombreuses annonces concernant les failles de sécurité des serveurs Exchange que Microsoft a rendues publiques le 2 mars 2021. À noter en particulier: un courriel d'hameçonnage utilisant le nom du NCSC s'est révélé être une campagne de sensibilisation.
Failles de sécurité affectant les serveurs Microsoft Exchange
La semaine dernière a été marquée par les failles de sécurité affectant les serveurs Microsoft Exchange. Le NCSC a reçu diverses annonces d'entreprises concernées et a écrit à des centaines d'entreprises suisses afin de les avertir de manière proactive d'une éventuelle exploitation des vulnérabilités. Le NCSC leur a recommandé d'appliquer immédiatement les correctifs fournis par Microsoft, mais aussi d'analyser si les systèmes avaient déjà été compromis. Dès que les criminels ont eu connaissance de ces vulnérabilités, ils les ont exploitées.
Campagne de sensibilisation en utilisant le nom du NCSC comme expéditeur
Jeudi dernier, un cas particulier s'est produit. Le NCSC a reçu une annonce portant sur un courriel d'hameçonnage dans lequel son nom avait été utilisé comme expéditeur et qui demandait aux destinataires de cliquer sur un lien. Après une brève analyse, il s'est avéré que le courriel faisait partie d'une campagne de sensibilisation. Les auteurs de la campagne n'avaient cependant pas demandé l'accord du NCSC.
Précision:
Lors de la réalisation de campagnes de sensibilisation, certaines normes minimales doivent être respectées. Celles-ci peuvent être obtenues auprès du NCSC (incidents[at]ncsc.admin.ch). Si une campagne de sensibilisation utilise le nom ou le logo d'une autre entreprise ou organisation (dans le courriel ou sur la page d'hameçonnage), l'accord de cette entreprise ou organisation doit toujours être obtenu au préalable.
En outre, pour ce genre de campagnes, il ne faudrait jamais utiliser le nom d'une organisation d'intervention d'urgence ou d'une organisation étatique.