La messagerie Zimbra déployée par l’Université de Caen (Unicaen) constitue une cible récurrente de campagnes de phishing. Les portails webmail exposés sur Internet, combinés à une population d’utilisateurs hétérogène (étudiants, enseignants-chercheurs, administratifs), créent un périmètre d’attaque large. Nous détaillons ici les mécanismes de protection réellement efficaces sur l’instance Zimbra Caen, au-delà des conseils génériques.
Sessions CAS et expiration sur postes partagés Zimbra Caen
L’authentification Zimbra à Unicaen transite par un portail CAS avec expiration automatique après inactivité. Ce mécanisme coupe la session lorsqu’un utilisateur quitte un poste en salle informatique ou en bibliothèque sans se déconnecter manuellement.
A lire en complément : Sécuriser vos communications avec IA72 Webmail
Ce point est rarement mentionné, alors qu’il neutralise un vecteur d’attaque courant sur les campus : la réutilisation de sessions ouvertes. Un attaquant qui accède physiquement à un poste non verrouillé peut, sans cette expiration, consulter la boîte mail, modifier les règles de transfert ou exfiltrer des contacts.
Nous recommandons malgré tout de fermer explicitement la session Zimbra après chaque utilisation. L’expiration CAS protège contre l’oubli, pas contre un accès dans les minutes qui suivent le départ de l’utilisateur.
Lire également : Logiciel de protection contre les virus : comment sécuriser son ordinateur efficacement ?
Vérification d’URL en *.unicaen.fr* avant saisie d’identifiants
La majorité des campagnes de phishing visant Zimbra Caen reposent sur un schéma identique : un courriel demande de « vérifier » ou « réactiver » le compte, avec un lien vers une page imitant l’interface de connexion. La communication Unicaen insiste sur un réflexe unique : vérifier que l’URL appartient au domaine *.unicaen.fr* avant toute saisie d’identifiant.
Les pages frauduleuses utilisent des domaines proches (unicaen-support.org, zimbra-update.fr) ou des sous-domaines trompeurs (unicaen.phishing-domaine.com). La règle est simple : si le domaine principal (juste avant le .fr ou le .com) n’est pas « unicaen », la page est illégitime.
Indices complémentaires dans le mail frauduleux
- L’expéditeur affiche un nom familier mais l’adresse réelle (visible au survol) provient d’un domaine tiers, souvent avec des caractères aléatoires ou un hébergeur gratuit
- Le message évoque une urgence technique (quota dépassé, mise à jour serveur, suspension imminente) pour provoquer un clic réflexe sans vérification
- Les liens redirigent vers des URL non sécurisées (HTTP sans certificat) ou vers des domaines sans rapport avec l’infrastructure Unicaen
Un mail légitime de la DSI Unicaen ne demandera jamais de saisir un mot de passe via un lien intégré au message.
Mot de passe Zimbra et adresse de récupération sur Mon Compte Numérique
Depuis le renforcement du portail « Mon Compte Numérique », la DSI de Caen impose des règles de complexité de mot de passe et une activation initiale via une adresse personnelle de secours. Ce dispositif crée un risque spécifique que nous observons régulièrement.
Si l’adresse de récupération n’est pas maintenue à jour, l’utilisateur qui perd son mot de passe se retrouve dans une impasse. La seule issue est alors un passage physique au guichet DSI en présentiel, avec les délais que cela implique en période d’examens ou de rentrée.
Rotation du mot de passe et hygiène d’accès
Changer son mot de passe au moins une fois par semestre limite l’impact d’une fuite de credentials non détectée. Un identifiant compromis lors d’une campagne de phishing en octobre perd sa valeur si le mot de passe a été modifié en janvier.
L’identifiant unique Unicaen donne accès à Zimbra, mais aussi à l’ENT et aux plateformes pédagogiques. Une compromission du mot de passe Zimbra expose l’ensemble des services numériques rattachés à cet identifiant. La surface d’impact dépasse largement la messagerie.
Règles de filtrage et transfert automatique dans Zimbra
Un point technique souvent exploité après compromission d’un compte Zimbra : l’attaquant crée une règle de transfert automatique vers une adresse externe. Tous les messages entrants sont copiés silencieusement, même après changement de mot de passe.
Nous recommandons de vérifier périodiquement les filtres de messages dans les paramètres Zimbra (Préférences > Filtres). Toute règle de redirection non reconnue doit être supprimée immédiatement, suivie d’un changement de mot de passe.
Signaux d’une compromission active
- Des messages apparaissent dans le dossier « Envoyés » sans avoir été rédigés par le titulaire du compte, signe que l’attaquant utilise la boîte pour diffuser du phishing en interne
- Des contacts signalent la réception de messages inhabituels provenant de votre adresse Unicaen
- Des dossiers ou étiquettes inconnus apparaissent dans l’interface Zimbra, créés par des scripts automatisés pour trier les données exfiltrées
En cas de doute, la DSI Unicaen peut analyser les journaux de connexion pour identifier des accès depuis des adresses IP inhabituelles ou des localisations géographiques incohérentes.
Protection Zimbra Caen contre le phishing : ce qui dépend de l’utilisateur
Les mécanismes côté serveur (CAS, expiration de session, complexité de mot de passe) ne couvrent qu’une partie du risque. La compromission d’un compte Zimbra commence presque toujours par une action humaine : un clic sur un lien, une saisie d’identifiant sur une page frauduleuse.
Aucune couche technique ne protège contre la saisie volontaire d’un mot de passe sur un site tiers. C’est la raison pour laquelle la vérification systématique du domaine dans la barre d’adresse reste la mesure la plus efficace, devant tout filtre anti-spam ou antivirus.
Maintenir son adresse de récupération à jour, vérifier ses filtres de transfert une fois par mois et traiter toute demande de « réactivation » comme suspecte par défaut : ces trois habitudes réduisent de façon significative le risque de compromission sur Zimbra Caen.
