Cybercriminalité: l’U de M vulnérable aux attaques

La crise des courriels haineux qui a secoué la population universitaire en 2017 a fait office d’électrochoc. Depuis, l’Université de Moncton redouble d’efforts pour renforcer la sécurité informatique de son réseau.

Pendant l’hiver 2017, une série de courriels malveillants et haineux ont été envoyés aux étudiants et au personnel de l’Université de Moncton. Des images de nature pornographique visant une étudiante ont été étalées à la vue de tous ceux qui ont ouvert le courriel.

L’institution avait peiné à bloquer les messages de l’agresseur qui utilisait plusieurs identités et des serveurs des différents pays.

Cette situation malheureuse a conduit l’Université de Moncton à mettre sur pied un groupe de travail sur la cybersécurité. Le comité doit remettre son rapport au début de l’année 2020.

Son président, le professeur en gestion de l’information Sid Ahmed Selouani, assure que l’institution n’a pas attendu ces recommandations pour prendre les devants.

L’université s’est notamment employée à perfectionner ses plans d’urgence et les couches de sécurité de son système informatique, en collaboration avec le Réseau informatique éducatif du Nouveau-Brunswick et de l’Île-du-Prince-Édouard.

«Il y a régulièrement des analyses, des audits qui sont faits pour s’assurer que les risques soient minimaux et qu’on s’adapte aux menaces. Nous avons progressé, on s’aligne sur les meilleures protections du moment. Toutes les institutions sont au début d’une époque où on doit protéger notre système informatique à tous les niveaux», dit-il.

Les tentatives d’intrusion par l’envoi de courriels malveillants sont monnaie courante. Lors de la crise des courriels, le directeur de la direction générale des technologies, André Lee, affirmait que l’université intercepte plusieurs milliers de courriels frauduleux par jour.

Environ la moitié du volume de courriel serait constituée de pourriels bloqués par le système informatique.

Face à cela, étudiants et employés doivent faire preuve de vigilance, insiste Sid Ahmed Selouani.

«Le plus souvent, les risques viennent de l’interne. Ça ne sert à rien d’avoir le système de protection le plus performant du monde, si les personnes ne sont pas informées des bonnes pratiques. Tout commence par la sensibilisation», souffle l’universitaire.

«On parle ici du partage d’informations personnelles, des façons de se prémunir des courriels malicieux, des pages internet avec hameçonnage, de créer un mot de passe robuste ou de sauvegarder ses données de façon sécuritaire avec un accès limité.»

Les universités sont la cible privilégiée de l’espionnage industriel, mentionne M. Selouani. Leur caractère ouvert les rend particulièrement vulnérables.

«Il y a toujours des visiteurs, des stagiaires, des personnes invitées, des étudiants qui vont et viennent. Lorsque vous avez plus de gens qui accèdent à vos systèmes, vous faites aussi face à plus de risques», souligne-t-il.

«L’université se doit de diffuser le savoir, les informations, être ouverte et préserver la liberté académique. Elle ne peut pas trop restreindre les échanges. Il y a donc un compromis entre maintenir la sécurité et permettre la mission de l’université.»

Quelques conseils

Plusieurs indices permettent de reconnaître un courriel frauduleux:

  • On vous incite à poser un geste rapide en misant sur l’urgence;
  • On affirme qu’un problème est survenu dans votre compte;
  • On vous laisse croire que vous avez obtenu un profit ou un avantage;
  • Pour confirmer la validité d’un courriel pour lequel vous avez des doutes, communiquez avec l’institution financière aux coordonnées officielles que vous obtiendrez d’autres sources que ce courriel;
  • N’acceptez pas qu’un inconnu prenne le contrôle à distance de votre ordinateur;
  • Ne fournissez jamais vos informations personnelles (numéro de carte de débit ou de crédit, mot de passe Accès D, NIP, etc.);
  • Utilisez un logiciel antivirus à jour;
  • Installez un logiciel coupe-feu efficace;
  • Mettez à jour vos logiciels d’exploitation;
  • Évitez d’effectuer des transactions importantes (comme des virements bancaires) sur des ordinateurs ou des réseaux publics;
  • Ne partagez jamais vos informations de crédit au téléphone, par SMS, dans les médias sociaux ou par courriel;
  • Ne faites confiance qu’à des détaillants et des sites reconnus.