• Home
  • Digital Tools

Digital Tools

For an overview of the tools on offer, visit the DSI and BR (Binet networks) website. 

This is a faster and more reliable solution than word-of-mouth, because the information provided changes constantly.


To find the DSI or BR website, enter “DSI Polytechnique” in your usual search engine or follow this link

Browse the “My services”, “I am a student” and “Security” menus, and do not hesitate to provide us with your feedback where necessary. 

Login details and Webmail

Logins will be allocated by École Polytechnique, the polytechnique.org association and the Binet network to each student of the Class of 2024. 
You will receive your École Polytechnique login details in August. In early September, the School will transmit information to the polytechnique.org association and the Binet network (BR) enabling the latter to create your accounts. The duration of this procedure is similar for international students. 
These login details are obviously strictly personal. You are personally bound to the School with regard to the proper use and safeguard of these details (see the École Polytechnique IT Charter here.. ) and with regard to your fellow students or graduates of École Polytechnique. 

NOTE: Polytechnique webmail

Link to Webmail 
IMPORTANT: When the School’s DSI (Information Systems Department) creates your account, it will also create your Polytechnique webmail.

Please note that henceforth this address will be used for all institutional communication. 

Any other addresses you have provided us with will be considered as back-up addresses only and used accordingly. 
While it is technically possible, you are strongly advised not to transfer your École Polytechnique inbox to a third-party inbox (Gmail, QQ or other).

On the scale of École Polytechnique, such transfers impact the reputation of the polytechnique.edu domain each time class or site mailing lists are used, with a consequent deterioration in the handling of emails from the School by the most common messaging services.

The Class of X24 was imported to Sigma in early August by the BR. Don’t forget to request the activation of your account, by logging into  https://sigma.binets.fr/app/forgotten-password with your academic login (which precedes @polytechnique.edu in your email address). You will receive an email enabling you to create your password. 

Please note that it is preferable to send your request prior to incorporation, as all information for students will be communicated via this platform!

The IT Charter

The aim of the IT Charter is to inform of the principles governing access to and the proper use of École Polytechnique’s IT resources. The Charter can be found in the annex of the in-house rules and applies de facto.
Link to the Charter: here.

 

 

Sensibilisation à la Sécurité des Systèmes Informatiques (SSI) - French only

Messages de sensibilisation SSI

Vous trouverez ci-dessous un ensemble de messages de sensibilisation à la sécurité numérique. Profitez de votre temps de formation humaine ou de formation linguistique pour en prendre connaissance, consolider vos connaissances en sécurité des systèmes d’information et parcourir les liens qui vous sont proposés.


Sommaire : 

Introduction

Les contenus trolls 

Le Règlement Général sur la Protection des Données (RGPD)

Les Arnaques aux noms de domaines

Le Phishing ou Hameçonnage

Les Attaques homographiques

 

Introduction :

Maintenant que vous êtes élèves à l’X votre identité numérique vient brutalement de prendre de la valeur pour ceux qui voudront vous la dérober, usurper vos identifiants ou accéder à votre messagerie et à votre carnet d’adresse ; Et attention la prochaine fois que vous vous connecterez à un Wifi gratuit, tous ne sont pas ce qu’ils prétendent être. 
Vous n’êtes naturellement pas des enfants MAIS votre réussite récente, la publication de votre nom au journal officiel au côté de ceux de tous les admis de la promotion X2024, font de vous une cible à forte valeur. 
Visionnez cette vidéo et transposez là à votre contexte ce ne sera pas du temps perdu. 
Ce film choc doit être vu par TOUS les parents

Pour vous mettre en bouche voici quelques vidéos presque humoristiques mais qui correspondent à du vécu … y compris dans votre École… y compris dans le cycle ingénieur : 

La cybersécurité a aussi son MOOC grand public proposé par l’ANSSI que dirige Vincent Strubel un camarade de la promotion 2000. Prenez le temps de regarder et faites le connaitre.
Cette formation propose des contenus pédagogiques, adaptés à des publics variés, non experts, afin qu’ils deviennent à leur tour acteurs de la sécurité du numérique dans un environnement professionnel. Ces bonnes pratiques sont évidemment applicables à titre personnel. Elle vous sauveront peut-être du prochain ransomware. 

Retenez que l'Ecole polytechnique ne vous demandera JAMAIS votre mot de passe par email ! Il y a également deux grands principes que vous devez appliquer : ne mettez jamais votre mot de passe de l'X si l'adresse du site ne contient pas .polytechnique.fr ou .polytechnique.edu et n'utilisez pas vos mots de passe personnels pour votre compte de l'X !

 

PIRATAGE DE COMPTES ETUDIANTS ET D’ACCÈS À DES PLATEFORMES PÉDAGOGIQUES
Mise en garde face aux virus dérobeurs («stealers»)

Les universités et établissements d’enseignement supérieur constatent depuis fin 2022 de nombreuses intrusions sur des accès distants. Les enquêtes ont montré que les faits sont liés à des usurpations de comptes d’étudiants, dont les identifiants ont été volés. 
Lors des investigations, des logiciels malveillants dérobeurs de mots de passe («stealers») ont été retrouvés sur des ordinateurs personnels d’étudiants.

QU’EST-CE QU’UN STEALER ?

Les virus informatiques de type « stealer » sont spécialisés dans le vol d’identifiants (mots de passe d’applications, de VPN, …), de portefeuilles de cryptomonnaies, de cookies de session et autres données stockées notamment dans les navigateurs Internet. Une fois exfiltrées, ces données sont utilisées par les cybercriminels à des fins frauduleuses ou malveillantes.

EXEMPLE DE MÉTHODES D’INFECTION

À titre d’illustration, les investigations ont montré que des stealers ont été introduits intentionnellement dans des logiciels contrefaits (versions non validées par les éditeurs légitimes). La version du logiciel disposant du virus est ensuite diffusée via des liens sur différentes plates-formes grand public comme les réseaux sociaux ou les messageries instantanées. Certains liens sont parfois même proposés dans les premiers résultats des moteurs de recherche. Les utilisateurs sont invités à installer des extensions promettant d’améliorer les performances d’un jeux vidéo ou de l’ordinateur, ou parfois de bénéficier gratuitement de logiciels habituellement payant. Dans certains cas, le site web ou le programme d’installation demande la désactivation de l’antivirus avant le téléchargement et l’installation du programme infecté, ce qui permet au stealer de ne pas être détecté.

De manière générale, les cybercriminels exploitent l’intérêt des internautes à obtenir des fichiers vidéo (films, séries), des logiciels piratés (« crackés ») ou encore des programmes permettant d’améliorer les performances dans les jeux vidéo, de l’ordinateur, etc.

LE RISQUE DES MOTS DE PASSE STOCKÉS DANS LES NAVIGATEURS

Il est très simple d’enregistrer dans son navigateur Internet ses mots de passe, ses adresses de messagerie, ses coordonnées de cartes bancaires, etc. 
Ils présentent cependant des risques importants face aux stealers qui cherchent à dérober ces informations.

 

 

Les contenus troll

L’idée de ce post est née du rapprochement temporel de deux événements : la création par la Kès du réseau social Sigma de la X2024 et la lecture d’un article relatant la condamnation du 3 juillet 2018 de deux personnes pour cyber harcèlement
Si tout se passe bien le seul point commun entre ces deux informations sera cette proximité chronologique ; mais permettez-nous d’attirer votre attention sur le fait que votre expérience individuelle du FB promo dépendra essentiellement de l’usage que vous déciderez d’en faire collectivement : ce pourra être un outil d’échange et d’information ou le théâtre d’interactions qui pourront être ressenties comme du harcèlement, parce qu’être tagué par 500 camarades n’est pas amusant longtemps (parlez-en à vos antiques)… 
Ne changez rien à vos habitudes, soyez bienveillants entre vous et surtout ne laissez pas les Trolls vous voler votre groupe FB.

X2024 Dans le monde du numérique, le terme "troll" désigne un élément malfaisant dont le but premier est de perturber le fonctionnement des forums de discussion en multipliant les messages sans intérêt, ou plus subtilement, en provoquant leur multiplication. Il peut s'agir d'un contenu tel qu'un message (par exemple sur un forum) ou un débat conflictuel dans son ensemble, ou encore de la personne qui en est à l'origine. 

Une discussion s’enflamme lorsque les échanges se multiplient entre les participants et que le ton monte. L’origine du conflit — si conflit il y a — n’est pas forcément un troll, ou tout du moins n’est pas forcément un troll « volontaire ». On parle de troll seulement lorsqu’il y a création d'une polémique allant au-delà de la volonté d’avancer dans une discussion.

Dans son refus d'aborder le fond, de privilégier la forme et de débattre sans fin de la gestion des forums, le troll a une propension inimaginable à se placer dans l'affectif. Ses messages deviennent un jeu subtil de connivences, de divisions, de recherche d'alliés et d'ennemis. Il se croit ou se prétend copain avec certaines personnes, alors que d'autres sont prétendues infréquentables et les persécute. En fin de compte, on obtient des messages très constructifs sur le thème : « Untel a raison parce qu'il est gentil, untel a tort parce qu'il est infréquentable ». 

 

Les contenus trolls se divisent en trois catégories distinctes

Le troll débutant
Appelé aussi "troll qui s'ignore", c'est une manière de "troller" par ignorance les règles de bonne conduite, sans véritable intention de nuire, c'est à dire poster un contenu sur n'importe quoi ou n'importe où. Exemple : « Est-ce que vous avez le numéro de téléphone du président de la République ? ». Toute personne qui répond au message d'un autre troll est à considérer comme un troll débutant. 

Le troll idiot
Persuadé d'avoir une opinion valable sur tout, d'être de bonne foi, et que ses propos intéressent quelqu'un d'autre que lui, le troll idiot prend l'apparence d'un message véritable. Exemple : « Bon je n'y connais rien, et je ne sais pas de quoi vous parlez, d'ailleurs je n'ai pas lu vos messages, c'était trop long ! :-))) mais il me semble que vous avez peut-être pas tout à fait tort ni raison ;o) ». Remarque : le troll idiot peut devenir un troll "méchant", puisqu'il est sûr de son bon droit.

Le troll méchant
Son but est, consciemment, de tuer les forums (déclencher des "flame wars"). Par amusement, parce que le sujet d'un forum lui déplaît, parce que les administrateurs du forum l'ont vexé, ou pour n'importe quelle autre raison, et même sans raisons apparentes de façon gratuite. Cette catégorie de trolls cumule toutes les caractéristiques détaillées plus haut des trolls débutant et idiot. Sans faire de cet article un débat sur la psychologie de cette personne, Un rapide profil de ce troll serait caractérisé par : 

  • la mauvaise foi à toute épreuve,
  • la faiblesse voir l'absence de concepts,
  • l'auto-dérision de façade,
  • les tics de langage et smileys,
  • la bassesse sans fin des propos tenus

 

Exemples de messages "troll" :

La provocation et l'insulte. Pour plus d'efficacité, consiste à utiliser une image qui insulte un autre groupe humain. Exemple : "vous réfléchissez comme des handicapés".
Le troll du Web : il conserve cet usage immodéré du message hors thème. Exemple, un forum dédié à la musique classique : "de toute façon c'est complètement ringard vis à vis du rock".
Les réponses systématiques. Toute réponse creuse à un message creux permet d'entretenir la dynamique du groupe. De fait, on constate le plus souvent que les victimes d'un troll, en répondant à son message et en se lançant dans d'interminables débats oiseux, deviennent à leur tour des trolls. Exemple : "les robots vont tuer l'humanité". "oui, et nous aurons plus de chômage", "oui, et c'est la faute des robots tueurs", etc. 

Les messages qui refusent systématiquement d'aborder le fond et privilégient la forme : « mais pourquoi tu me tutoies... », « moi je ne t'ai pas agressé alors pourquoi tu m'agresses » ; « t'as vu comment il m'a causé l'autre... tu trouves pas qu'il exagère ? » ; « purée, les fautes d'orthographe ! » ; « c'est nul de critiquer ton interlocuteur parce qu'il fait des fautes »...

Les messages qui commentent la gestion du forum au lieu de l'objet de la discussion : « on peut pas corriger ses messages ? » ; « je crois qu'on m'a sucré mon message, mais il est revenu » ; « ah ah, je vois comment vous fonctionnez sur ce forum ! ». 

Les conséquences peuvent parfois être qualifiées de cyber-harcèlement.
Lors de leur jugement le 03 juillet 2018, deux hommes accusés d'avoir proféré des menaces de viol et de mort contre la journaliste Nadia Daam après une chronique de station de radio Europe1 ont été condamnés chacun à 6 mois de prison avec sursis et 2000 euros d'amende pour préjudice moral. A l'origine, des menaces de viol et de mort à l'encontre de cette journaliste avaient été publiées sur le forum "18-25 ans" du site "jeuxvideo.com", depuis deux comptes différents. L'adresse IP retrouvée par les enquêteurs a permis d'identifier les auteurs. 

Quelques jours après ce jugement, une nouvelle menace de mort fut publiée sur ce même forum. Une nouvelle fois, l'auteur fut identifié, jugé puis condamné à six mois de prison avec sursis et 180 heures de travaux d'intérêts généraux. Il doit par ailleurs verser 5700€ de dommages et intérêts à Nadia Daam. Enfin, la justice lui a confisqué son ordinateur.
Pour prendre du recul sur ce jugement vous pouvez aussi écouter ce posdcast (de 3’52 à 32’) 

À noter cependant que selon le code pénal, une seule menace suffit pour risquer jusqu’à trois ans d’emprisonnement et 45 000 euros d’amende.

 

 

Conduite à tenir

La bonne pratique pour lutter contre un troll méchant consiste à ignorer ses messages - « Do not feed the troll ». Dans son refus d'aborder le fond, de privilégier la forme et de débattre sans fin de la gestion des forums, le troll a une propension inimaginable à se placer dans l'affectif. Ses messages deviennent un jeu subtil de connivences, de divisions, de recherche d'alliés et d'ennemis. Il se croit ou se prétend copain avec certaines personnes, alors que d'autres sont prétendues infréquentables et les persécute. En fin de compte, on obtient des messages très constructifs sur le thème : « Untel a raison parce qu'il est gentil, untel a tort parce qu'il est infréquentable ».

Une fois parfaitement identifié, et ses thèmes de discussion épuisés, le dernier sujet du troll est de se prétendre victime d'atteintes inadmissibles à sa liberté d'expression. Sujet qui, lui-même, ne sera jamais abordé sur le fond, mais sur la forme, la gestion des forums par les méchants administrateurs qui ne l'aiment pas, le manque de politesse des intervenants, etc.

Si l'on veut maintenir des forums actifs - les messages sont publiés dès qu'ils sont envoyés-, et pour éviter l’apparition d'un troll, il est nécessaire de s'organiser un minimum. Ainsi, les administrateurs de ces forums ont pour responsabilité de bloquer aussi rapidement que possible les dérives "trollesques".

Toutefois, rien ne réjouit plus le troll que les contradictions entre administrateurs. Aussi, ne jamais sembler donner raison au troll. Par exemple, proscrire tout message qui commence par « sur ce point tu as raison mais... » ; « la question est intéressante mais... ». Pour la bonne et simple raison que le troll ne suit jamais les règles de la discussion (définitions des termes, échanges d'arguments, réponses aux questions).

Pour ceux qui veulent consulter les ressources précédentes, vous pouvez y accéder ici : 
- Message de sensibilisation SSI (juillet-août)

 

Message proposé en septembre-octobre sur IncorpoX2017 : 

Le message vous est proposé car les exemples sont toujours intéressants

Pour renouveler la sensibilisation, voici de nouveaux documents et vidéos que nous avons remarqués : 

En changeant de registre, et avant de partir dans les forces ou en période de formation humaine civile, pensez à lire et faire lire à votre entourage immédiat le guide sur l’usage des réseaux sociaux édité par le ministère des Armées.
« Ce document prend en compte l’évolution du contexte sécuritaire ainsi que la place toujours plus importante des réseaux sociaux. Le guide rappelle aussi les enjeux et les règles liés à la préservation de la sécurité des opérations ainsi que l’image du ministère.
Ce guide est destiné à tous les militaires et civils de la Défense, ainsi qu’à leur entourage (famille, amis, collègues, etc.). Il permet à chacun de connaître les bonnes pratiques numériques afin de protéger sa famille, son entourage et ses collègues. » 
Vous trouverez beaucoup de conseils de bon sens dans ce guide, mais ne les balayez pas parce qu’ils vous apparaitraient simplistes et n’y voyez pas non plus un contenu anxiogène. Il faut juste lire ces pages et les faire lire à vos proches. Après c’est à vous de prendre vos responsabilités.
 

Le RGPD, règlement général sur la protection des données

Une obligation légale 
Depuis l'entrée en vigueur du RGPD le 25 mai 2018, vos sites, réseaux sociaux ou applications préférées vous demandent d'accepter leurs conditions générales d'utilisation en conformité avec ce règlement.

Qu'est-ce que RGPD ? 
RGPD signifie "Règlement Général Protection Données", en anglais GDPR (General Data Protection Regulation). C'est la nouvelle réglementation européenne qui a pour but d'ouvrir de nouveaux droits aux citoyens et de responsabiliser les entreprises concernant le traitement des données personnelles. 
Ce règlement permet aux organisations de changer la façon dont ils gèrent les données personnelles des individus avec qui elles interagissent soit, les employés, les clients, les partenaires, etc. 
Exemple : vous pouvez télécharger le registre Facebook de vos données personnelles : https://www.facebook.com/help/212802592074644

 

Pourquoi le RGPD alors qu'il y avait déjà une loi sur le traitement des données personnelles ? Petit historique ... 
Il y avait en effet une loi de 1978 qui traitait déjà bien les données personnelles. D'ailleurs, la France avait intégré dans cette loi un bon nombre de points clefs du RGPD mis en place aujourd'hui. Cependant la Commission européenne a constaté que la législation entrée en vigueur courant 1995 avait besoin d'une actualisation afin d'être aux normes concernant les évolutions qui pourrait y avoir. Bruxelles a donc proposé un nouveau règlement dès 2012. 
Son entrée en vigueur s'est faite en deux phases. Le 14 avril 2016 il y a eu l'adoption définitive du texte par le parlement puis quelques jours après soit le 27 avril, il y a eu sa promulgation au Journal officiel. Mais son application a dû être décalée de deux ans c'est-à-dire au 25 mai 2018. Ce décalage a simplement permis aux législations nationales et aux entités qui s'occupent de la collecte et du traitement des données personnelles de s'y préparer.

Qu'est-ce qu'une donnée personnelle ? 
Une donnée personnelle est une information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement (i.e par inférence). Il peut s'agir d'un nom, d'une adresse IP (statique ou dynamique), d'un numéro de téléphone ou encore d'une adresse, etc. 

Quel est le rapport avec le RGPD ? 
Le RGPD prévoit un certain nombre de droits : 

  • Le droit de savoir ce qu'une entreprise fait avec vos données personnelles qu'elle collecte
  • Le droit d'accès à vos données
  • Le droit de s'opposer à la récolte de vos données
  • Le droit de corriger ses données
  • Le droit à l'oubli et de faire supprimer vos données
  • Le droit de regard en cas de décisions automatisées (exemples : autoriser le partage de vos données avec une autre société, autoriser leur publication sur Internet)
  • Le droit à la portabilité de vos données (exemple : transfert de vos emails d'un hébergeur à un autre)
  • Le droit d'information en cas de mise en péril ou d'atteinte à vos données (exemples : fuite de vos données, modifications frauduleuses)

Le RGPD renforce également certains droits qui existaient déjà. Citons la mise à disposition pour les internautes d'une information claire, simple et facilement accessible sur l'utilisation de vos données par ses exploitants. Citons également l'interdiction, sauf exceptions, de l'utilisation de certaines données qualifiées de "sensibles" au sens RGPD : origine ethnique, opinions politiques, convictions religieuses, données de santé, orientation sexuelle... 

Les conséquences : 

La portabilité des données 
Elle vous permet de récupérer vos données communiquées à une plateforme et de les transmettre à une autre. Par exemple, si vous changez de boite mail. 

Le droit de savoir 
Vous devez être en mesure de savoir pourquoi vos données sont collectées, de connaître le traitement qui en est fait et la durée de leur conservation. Ces informations sont en général à retrouver dans les rubriques « Mentions légales » ou « Conditions générales d'utilisation » des espaces web. Idéalement, l'accès à ces pages vous est automatiquement proposé lors de votre première visite sur un site, ou lorsque ce dernier a modifié ses conditions d'utilisation. 
Vous avez également le droit d'être informé en cas de piratage de vos données, sauf dans certaines situations, comme lorsque vos données étaient protégées par un système de cryptographie. 

Le droit de s'opposer, de contester 
Vous avez possibilité de lancer une action de groupe par le biais d'une association ou d'un organisme actif dans le domaine de la protection des données, dès lors que vous considérez que vos données ont été utilisées en contradiction avec la loi en vigueur. 
Voici une vidéo qui résume les principes du RGPD et ses répercussions dans votre vie quotidienne : https://youtu.be/iMD3pWAFXEY 

Quelles sont vos obligations si vous êtes responsable d'un binet ? 
Le règlement général sur la protection des données garantit de façon inédite des droits et des recours pour les internautes face à la collecte et l'exploitation de leurs données personnelles. Le RGPD a donc également un impact sur l'activité des associations étudiantes, qui doivent respecter cette règlementation. Pour en savoir plus, la CNIL propose un guide pratique de sensibilisation au RGPD, accessible ici : https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-guide-rgpd-tpe-pme.pdf 

Les sanctions du RGPD 
Depuis le 25 mai 2018, toute personne morale (entreprise, association, etc.) ne respectant pas le RGPD peut être sanctionnée. Le RGPD inflige alors des amendes qui peuvent aller jusqu'à vingt millions d'euros ou quatre pourcents du chiffre d'affaires de l'entreprise. 
Deux semaines à peine après sa mise en place effective, la première sanction tombe, et c'est Optical Center qui écope ainsi d'une amende de 250 000 euros. La CNIL a ainsi sanctionné une "fuite de données conséquente" successive à la découverte d'une faille de sécurité datant de 2017. Des internautes pouvaient ainsi accéder à des centaines de factures d'autres clients ainsi qu'à certaines données sensibles comme leurs données de santé ou encore leurs numéros de sécurité sociale.

Ce que le RGPD ne couvre pas 
De manière générale chacun d'entre nous a la liberté et la responsabilité de s'assurer de la protection de ses données personnelles, partout où nous les déposons (sur nos devices, dans un cloud, une application etc.). Il nous appartient de nous assurer qu'à tout moment, ce que nous considérons comme notre sphère privée puisse bénéficier des garanties de sécurité attendues. Le RGPD ne pourra vous couvrir d'une erreur de votre part ayant abouti à rendre public certaines de vos données personnelles. En particulier, les réseaux sociaux constituent ainsi une mine d'informations personnelles, que les utilisateurs peu scrupuleux publient de manière plus ou moins consciente. 
En voici une illustration : cliquer ici 

La vigilance est donc requise, puisque nous avons peu ou prou des traces numériques laissées dans toutes nos communications faites sur Internet. 

10 recommandations pour sécuriser le télétravail à l’attention des professionnels. 
Souvent contraint durant la crise sanitaire, le télétravail a pris un essor considérable ces derniers mois. Comment mettre en place le télétravail dans des conditions acceptables de sécurité pour son organisation ? C’est à cette question que cybermalveillance.gouv.fr répond avec ses 10 recommandations pratiques et concrètes à l’attention des entreprises, associations et collectivités. 
Sécurisation du télétravail

Message proposé en septembre-octobre sur IncorpoX2017 (actualisé) :
La gestion des mots de passe : des bonnes pratiques recommandées et d'autres déconseillées ! Et si utiliser votre compte Facebook pour accéder à d’autres services numériques est une alternative intéressante, cet article d’octobre 2018 n’en mérite pas moins TOUTE VOTRE ATTENTION The Facebook hack exposes an internet-wide failure 

 

Les Arnaques aux noms de domaine

Parmi les nombreuses arnaques sur le web, le marché des nom de domaines n'échappe pas à la règle.
Les pratiques commerciales relatives au marché des noms de domaine sont assez méconnues du grand public. Ainsi, bon nombre d'utilisateurs ne sont pas assez méfiant lorsqu'une autre instance que leur bureau d'enregistrement - ou "registrar" - habituel les contactent en entament un démarchage.

L’Afnic (Association française pour le nommage Internet en coopération) définit cette menace par "slamming", aussi nommé "scam" comme une pratique illicite qui consiste à inciter les propriétaires de noms de domaine à renouveler leur abonnement chez un autre registrar - sous peine de suppression.
Cette menace prend plusieurs formes, que nous détaillons ci-dessous.

Les arnaques au renouvellement
Dans ce type d’arnaques, des entreprises frauduleuses se font passer pour un registrar et envoient des mails aux entreprises ou particuliers. Ces mails contiennent un avis d’expiration et invitent donc le destinataire à procéder au renouvellement de son nom de domaine dans les plus bref délais.
Est joint un coupon avec un avis de renouvellement. Le destinataire peut donc régler son dû directement par mail en retournant l’avis de renouvellement.
Une version papier existe également reprenant les codes des courriers officiels.
Le problème est qu’il s’agit en réalité d’un transfert. Un renouvellement de nom de domaine s’effectue au sein du même registrar que celui dans lequel vous aviez préalablement enregistré votre domaine. Un transfert est le fait de transférer votre domaine de votre actuel registrar à un nouveau. Les coûts sont, dés lors, bien plus élevés.
Dans le meilleur des cas, il s’agit d’un transfert vers ce nouveau registrar. Mais dans le pire des cas, le destinataire aura “juste” perdu de l’argent. Ainsi, il devra malgré tout s’acquitter des frais de renouvellement auprès de son registrar actuel afin maintenir son nom de domaine en vigueur.
Ces “slammer” misent tout sur une ressemblance quasi parfaite avec un mail officiel de renouvellement provenant d'un registrar. Ils détiennent bien souvent des données personnelles et exactes du destinataire qu’ils tentent d’escroquer. De nombreux facteurs qui mettent une personne non avertie en confiance.

Les propositions de ventes de noms de domaine parasites
Le but est de faire croire à une tierce personne qu’une autre s’apprête à acheter, ou détient déjà, un nom de domaine similaire au sien. Le slammer indique avoir stoppé l’enregistrement desdits noms de domaine afin de laisser l’opportunité à cette tierce personne de les enregistrer en premier moyennant une rémunération exorbitante.
Mais pensez-vous, en y réfléchissant bien, que cela soit réaliste ? Evidemment non et la meilleure chose à faire dans ce type de cas, c’est de ne pas répondre et éventuellement d’enregistrer les noms de domaine proposés auprès de votre registrar habituel (à condition que vous trouviez un intérêt dans ces noms de domaine)
A noter que de nombreuses entreprises sont sensibles à ce type de démarche puisqu’elles veulent se prémunir de toute tentative de “cybersquatting”*. 

Les inscriptions aux annuaires
C'est le troisième type d'arnaque slamming. Celle-ci consiste à proposer à la victime d’inscrire son nom de domaine dans un annuaire supposé augmenter miraculeusement son SEO**, et donc de façon significative le trafic sur son site. Bien évidemment, ce “service” n’est pas gratuit et avoisine souvent les 500$, ce qui est irraisonnable.
En effet, si vous mordez à l’hameçon, vous aurez du mal à voir si cela a été fait et l’éventuel ROI (retour sur investissement); de son coté le slammer n’aura soit rien à faire (si ce n’est d’encaisser votre redevance), soit vous inscrire dans un annuaire qui existe, mais qui n’aura aucun impact sur votre SEO. 

 

Recommandations
Afin de vous prémunir contre toute tentative de slamming, voici quelques conseils : 

  1. Souvenez-vous que votre nom de domaine est géré par un seul et unique registrar. Vous avez donc forcément enregistré votre domaine auprès de cet unique registrar, autrement dit aucune autre instance ne peut vous demander de le renouveler.
  2. Vérifiez que le processus de gestion des noms de domaine, et notamment la chaîne de métiers (voir schéma ci-dessous) est bien respecté.
  3. En cas de doute, contactez votre fournisseur de domaines pour en savoir plus. Dans tous les cas, ne prenez pas de décisions dans l’urgence

* La démarche de cybersquatting consiste à vouloir utiliser le trafic de certaines entreprises en le détournant vers une Url ressemblant en tout point à l'url officielle de ces même entreprises. 
** Le Search Engine Optimization, optimisation pour les moteurs de recherche - ou référencement naturel -, est l'ensemble de techniques visant à favoriser la compréhension de la thématique et du contenu d’une ou de l’ensemble des pages d’un site web par les moteurs de recherche. Le but est donc d’améliorer la visibilité des sites web qu’il prend en charge en leur faisant gagner des places sur les moteurs de recherche. 

 

Le "phishing" ou hameçonnage

Qu’est-ce-que le hameçonnage ?
Le hameçonnage, également connu sous le terme anglophone « phishing », est une pratique malveillante permettant à un fraudeur de se procurer des informations sensibles, telles que des mots de passe, codes d’accès bancaires, des numéros de cartes bancaires, etc. Il s’en sert ensuite pour voler des données à ses victimes, polluer la messagerie d'autres utilisateurs (spam), ou accéder à certains services et applications en utilisant un même mot de passe. 

 

Comment les fraudeurs procèdent-ils ?

Les fraudeurs procèdent tout simplement en envoyant un courriel frauduleux à une liste de personnes, qui ressemblera à un courriel venant d'un service interne à l'Ecole polytechnique, ou d'une société/institution qui semble légitime : faux e-mails de compagnies d'électricité, du Trésor Public, de la Direction des systèmes d‘information de l’X, de fournisseurs d'accès Internet, etc. 

Comment trompent-ils leurs victimes ?

Les caractéristiques des e-mails envoyés par les fraudeurs sont toujours les suivantes : 

  • Dans de rares cas, ils vous demandent de répondre au courriel avec certaines informations sensibles (mots de passe, coordonnées bancaires, etc.) ;
  • Dans la plupart des cas, ils vous demandent de cliquer sur un lien qui vous mènera vers un faux site, reproduisant par exemple l’aspect d'un site officiel. Ce faux site sera une copie du véritable site, permettant au fraudeur de vous faire croire que vous allez transmettre ces informations sur le "vrai" site.

Les fraudeurs ne manquent pas d'imagination : ils utilisent des arguments persuasifs dans leur courriel, qui peuvent notamment être : 

  • Un problème de sécurité : sous prétexte d’un problème de sécurité, le courriel vous demande vos identifiants, vos coordonnées bancaires, etc., sans quoi votre compte sera clôturé.
  • Un problème de facturation : le courriel vous indique un virement bancaire ou un achat en ligne et vous invite à aller vérifier sur le site en cliquant sur un lien.
  • Un courriel généré automatiquement à tous les contacts d’un compte qui vient d’être piraté. Il est classique que les auteurs de ces courriels aient recueilli des informations sur votre environnement (l’Ecole polytechnique, la Kès, etc.).pour personnaliser le mail que vous recevrez. Parfois il ne font même pas cet effort et malgré cela un certain nombre d’utilisateurs se font piéger. a titre indicatif, chaque mois, une moyenne de 3 personnes sont piégés.

La vigilance est de mise !

  • Votre direction des systèmes d’information (DSI, ASR dans les laboratoires, etc.) ne vous demandera jamais de lui communiquer vos identifiants, ni vos coordonnées de carte bancaire.
  • La même fraude peut se produire par téléphone (il s’agit alors de « vishing ») : aucun service informatique ne vous demandera jamais vos informations sensibles, tels que mots de passe, par téléphone.
  • Si vous recevez un courriel qui contient des fautes d'orthographe ou grammaticales grossières, il s'agit probablement d'une escroquerie. Cela s'explique par le fait que souvent les fraudeurs ne sont pas français et maîtrisent mal la langue. Ils utilisent souvent des outils de traduction sur Internet. Cela s’explique aussi par le fait que l’imperfection de ces courriels - parfois volontaire - constitue une sorte de filtre : si le piège est grossiers, ceux qui y tombent sont soit naïfs soit vraiment pas vigilants, dans les deux cas ce sont de cibles idéales pour la suite.
  • En cas de doute connectez vous directement sur le site que vous connaissez plutôt que de suivre un lien inséré dans le corps d’un courriel.
  • Vous pouvez également contacter l'expéditeur prétendant vous avoir envoyé un tel courriel, afin de vérifier qu'il est bien l'auteur du courriel reçu.
  • Si vous pensez avoir été piégé, contactez contactez au plus tôt par ordre :

- Le binet réseaux (root [_at] eleves.polytechnique.fr)
- Le Service Desk de la DSI (support [ at_] polytechnique.fr), ou poste 44.44
- Le RSSI de l'Ecole polytechnique (rssi [_at ]polytechnique.fr) 

Certains de vos camarade se font piéger régulièrement et offrent leurs contacts (leur section, leur binet, leur promo, etc.) à tout hacker opportuniste. A bon entendeur... 

 

Comment puis-je limiter les risques de recevoir un courriel de phishing des fraudeurs ?

Votre adresse de courriel reçoit probablement tous les jours des "spam" : des courriels non sollicités, à propos de sujets divers et variés. Les bonnes pratiques consistent à :

  • Ne pas ouvrir les courriels qui proviennent d'expéditeurs que vous ne connaissez pas.
  • Ne jamais répondre à un courriel si vous avez un doute quelconque sur ce dernier. Encore une fois, si quelqu'un vous demande de communiquer vos identifiants par courriel, il s'agit d'une tentative de phishing.

 

Comment les fraudeurs ont-ils eu mon adresse courriel ? Me connaissent-ils ?

Les fraudeurs ne vous connaissent pas. Pour eux vous êtes juste une adresse courriel parmi des milliers d'autres. Les fraudeurs collectent des milliers (voir des millions) d'adresses courriel qu'ils trouvent sur Internet par certaines méthodes : 

  • Certains sites mal conçus stockent votre adresse courriel en clair sur Internet. Cela peut être par exemple un forum sur lequel vous avez fait un commentaire et pour lequel vous avez donné votre adresse de courriel.
  • Votre adresse de courriel est directement accessible sur Internet. Cela peut être le cas si vous avez mis votre curriculum vitae sur Internet, ou encore un réseau social par exemple.
  • Certains fraudeurs sont aussi hackers. Ils réussissent à accéder à des bases de données de certains sites Internet mal sécurisés (un forum de particuliers, un site commercial, cela peut être tout et n'importe quoi, du moment qu'il y a des personnes inscrites avec des adresses de courriel). Ces bases de données peuvent contenir votre adresse email.

Une bonne solution pour éviter de recevoir trop de spam, donc de courriels de phishing consiste à utiliser plusieurs adresses courriel.
Le principe est le suivant : vous disposez d'une adresse courriel principale, que vous ne communiquez jamais sur Internet, et qui vous sert exclusivement à votre correspondance privée et/ou professionnelle.
En parallèle, vous créez une ou plusieurs adresses courriel qui vous serviront à communiquer lors de vos inscriptions sur des forums, des sites d'achats, etc.

Il existe même des adresses dites "jetables", à utiliser ponctuellement, et qui n'existent que quelques heures ou quelques jours.
Le site jetable.org propose ce service. Il en existe d'autres, accessibles via votre moteur de recherche préféré.

Un exemple réel de tentative d'hameçonnage déjoué :

 

 

Et voici un autre exemple de phishing qui piège malheureusement énormément de personnes, dont beaucoup d'X...

 

Les attaques homographiques

Les emails frauduleux de type "phishing" constituent le vecteur d'attaque le plus répandu, en faisant appel à la crédulité de leurs victimes. Leurs conséquences sont multiples : vol de données, exécution de taches non sollicitées, etc. 

Le scénario du phishing semble plutôt bien rodé, et avec un peu d'attention, il semble assez aisé de les identifier. Cependant, les attaquant ne manquent pas d'imagination, et ne cessent d'améliorer leur niveau d'expertise en la matière.

Il y a une dizaine d'années, l'ICANN a autorisé l’enregistrement de noms de domaine en s'appuyant sur un certain nombre d'alphabets différents de l'alphabet latin, sur la base des caractères unicodes. La syntaxe de codage "punycode" permet de convertir une chaîne unicode en une chaine de caractères ASCII équivoque pour un utilisateur.

Cependant, si cette décision une bonne idée répondant à l'ouverture de l'Internet au monde entier, elle a eu un impact réel en cybersécurité. En effet, certains caractères ASCII sont difficiles à discerner d’autres caractères plus courants.

Par exemple, si vous enregistrez le nom de domaine « xn--80ak6aa92e.com », celui-ci s’affichera dans votre navigateur comme ceci : « аpple.com ». Cela ne se voit pas au premier coup d’œil, mais ce que vous pensez être le « a » d’Apple (en ASCII : U+0061) est en fait le caractère cyrillique « а » (Code ASCII : U+0430).

 

Nous voyons déjà l'intérêt pour un attaquant d’utiliser cette technique dans un lien de type phishing, connue sous le nom d'attaque homographique, ou encore attaque "unicode". Il est alors aisé de falsifier tous les noms de domaine que l'on souhaite à l'aide de tables de caractères unicodes, telles que celle-ci : https://www.irongeek.com/homoglyph-attack-generator.php 

L'ensemble des navigateurs les plus courants sont désormais capables d'indiquer une telle falsification, par affichage du nom de domaine décodé. Fait exception à cette règle le navigateur Firefox qui ne fait pas la distinction entre les noms de domaine corrects et ceux falsifiés. Pour corriger cette faille, voici la manipulation à réaliser :

Entrez dans le champ d’URL : 
about:config 
Puis cherchez la clé : 
network.IDN_show_punycode Et mettez là à TRUE.

Ainsi, les noms de domaines exotiques s’afficheront dans Firefox au format punycode, ce qui vous évitera de tomber dans le panneau.

L'ensemble des bonnes pratiques relatives à tout lien de type phishing reste également applicable : 

  • vérification du certificat numérique
  • vérification du contenu des emails, y compris l'entête
  • bon sens quant au contenu des emails et les sollicitations demandées: saisie de mots de passe, informations personnelles demandées, etc.

 

The student IT association - Binet Réseau

Binet Réseau is the École Polytechnique student organization which oversees the student network (shadow IT), i.e., server maintenance, creation of new services and development (network and website applications).

We have three key tasks:

  • Student support: when a student of the School encounters IT issues, they must contact us first. We help students to configure their Internet access and we also respond to all other queries.
     
  • Training: we organize evening events on a regular basis to share with students what we have learned from the latest technologies in use on the BR (Linux, Django, React, Git, etc).
     
  • Service maintenance and development: the hidden part of the iceberg. We operate ten or so servers which enable us to provide students with various services. In particular, we work closely with the DSI to manage their Internet access from the caserts.

In the event of an urgent IT problem or query, you can call on PaniX: https://panix.binets.fr

Polytechnique.org

The Association

Polytechnique.org is a non-profit association, separate from the Kès and AX, founded in 2000 by students and volunteer graduates.

Its aim is to implement IT services for École Polytechnique’s student and graduate community, to foster class life, that of Polytechnique clubs (X groups, binets, etc.) and the community as a whole.

Services

The minimum service associated with the website is a lifelong email address, but since its creation the association has developed several other tools:

  • Lifelong email addresses and redirection (via www.polytechnique.org). 
    By activating your Polytechnique.org account, you can avail of Polytechnique email addresses of the type first name. last name, class@polytechnique.org. All these addresses can redirect your choice of one or more of your personal addresses. Contrary to @polytechnique.edu addresses which are valid solely for the duration of studies, you keep your @polytechnique.org address for life. 
  • A centralized authentication service provides you with easy access to a certain number of useful websites throughout your studies and after: 
    • The AX website (ax.polytechnique.org)
    • WikiX (in memory of X students)
    • JTX (the X TV news site: binet-jtx.com)
    • Wats4U (job and internship-seeking website)
    • - …
  • Hosting services for groups and binets, and specifically domain names and emailing lists
  • A Google Apps account allowing you to make use of Google web applications (Gmail, Google Calendar, Google Docs, and much more).

How does it work?

To activate your account: 
-> You must authorize the School to transmit your contact details to the Polytechnique.org association (the School’s Pégase software), as of the incorporation period, so we can create your Xorg account. 
-> Then, in late September, once we have uploaded the file transmitted by the DSI, go to the following website to activate your account: https://www.polytechnique.org/register

It’s best to activate this account as soon as possible when registration opens, so you can rapidly avail of a permanent address to transmit to your contacts, and sign up for the highly-popular events organized by AX.

If you would like to learn more about the association’s other services or find out how to use them, go to the documentation page: https://www.polytechnique.org/Xorg/Xorg.

These highly useful tools provide access to certain services from the start of your studies, and will later allow you to stay in contact with the Polytechnique community. Join the 25,000 classmates already signed up!

If you encounter any difficulties, contact: contact@polytechnique.org. We will do our very best to help you.