Cyber-sécurité – Ingénierie sociale: un risque majeur
Une bonne hygiène informatique est le meilleur remède contre les risques en matière de cyber-sécurité
Les êtres humains, comme nous le savons bien, sont imparfaits. Nos cerveaux sont régis par un mélange complexe d’émotions et (espérons-le) des processus de pensée rationnelle, ce qui nous rend vulnérables à ceux qui veulent nous exploiter. Cela signifie que nous pouvons être “piratés”.
Comment pirater un cerveau humain?
C’est très simple si vous comprenez le comportement humain. Les Bugs dans notre «matériel humain» peuvent être exploités en utilisant des moyens techniques et non-techniques. Les façons de procéder peuvent inspirer la peur ou la curiosité, mais ont comme objectif commun d’amener la cible à faire quelque chose qu’elle ne devrait logiquement pas faire
On dit souvent que le moyen le plus simple pour obtenir votre mot de passe ou pour pirater votre ordinateur est juste de vous le demander. Cela peut arriver dans le cadre d’une conversation apparemment normale ou lors d’un échange sur un réseau social, par exemple. Je pourrais par exemple vous envoyer une demande pour devenir mon ami sur Facebook et démarrer rapidement une conversation avec vous, au cours de laquelle je vous poserais des questions anodines à propos de vos amis et de votre famille. Il s’agit d’un échange tout à fait normal, du type de ce à quoi vous vous attendez, et au cours de cette conversation vous m’indiquerez, en toute naïveté, les prénoms de vos enfants ou quelle est votre équipe de football préférée – vous pourrez même me parler du barbecue que vous organisez le week-end prochain, avec des amis, pour fêter l’anniversaire de votre partenaire. Si, comme c’est souvent le cas, vous utilisez l’une quelconque de ces informations comme un mot de passe, date mémorable ou comme réponse à une question de sécurité vous permettant de récupérer votre mot de passe oublié, alors vous êtes désormais en grand danger.
Après une seule conversation avec vous, je dispose maintenant de beaucoup d’informations sensibles sur vous et cette information est de nature à être utilisée pour vous voler, commettre une fraude en votre nom, percer vos profils de réseaux sociaux et bien plus grave encore. Si c’était aussi facile pour moi, c’est simplement parce que vous l’avez rendu facile. Je vais continuer à échanger avec vous jusqu’à ce que j’obtienne ce que je veux. Cette technique relève de l’ingénierie sociale.
Qu’est ce l’ingénierie sociale ?
L’ingénierie sociale (« social engineering ») est une technique qui vise à accéder à des informations confidentielles ou à certains actifs (ordinateurs, réseau informatique, compte bancaire, comptes sur les réseaux sociaux, etc.) grâce à la manipulation des personnes qui y ont accès directement ou indirectement.
L’ingénierie sociale prend de nombreuses formes
Dans le domaine de la cyber-sécurité, ll y a beaucoup d’autres formes d’ingénierie sociale qui peuvent être plus difficiles à repérer. Les courriels d’hameçonnage en sont un bon exemple. Il est assez facile de concevoir un courriel qui semble provenir de votre banque. Le texte peut ressembler à quelque chose comme ceci: « Nous avons détecté une activité frauduleuse sur votre compte bancaire en ligne. Merci de cliquer sur le lien suivant pour changer votre mot de passe. » Ensuite, un lien est fourni. Le courriel semble légitime, il porte le logo de la banque et l’adresse email de l’expéditeur semble correcte. Si vous suivez ce lien vous aboutirez sur un site qui ressemble au site de votre banque et vous saisirez, en toute confiance, vos coordonnées afin de changer votre mot de passe.
Le problème est … que le courriel n’a pas été envoyé par votre banque, et le lien ne vous a pas dirigé sur la page web de votre établissement bancaire. Il vous a conduit sur un “faux” site web imitant
l’apparence et la convivialité du site de votre banque mais apprtenant, en fait, à des criminels, et vous venez de donner aux fraudeurs les informations de connexion lui permettant désormais accèder à votre banque en ligne. Vous l’avez fait parce que cela avait l’air réel et que vous aviez peur que quelqu’un puisse prendre votre argent sur votre compte mais vous êtes, en fait, tombé directement dans un piège. Parfois, les e-mails sont délivrés avec un numéro de téléphone à appeler qui vous amène sur un système vocal interactif, tout comme celui de votre banque. Vous êtes alors invité à entrer votre numéro de compte bancaire et votre code d’accès sans même vous rendre compte que vous donnez ces informations directement aux criminels.
L’échange est un autre moyen favori des fraudeurs. Donner quelque chose pour obtenir quelque chose. Souvent dénommé «hameçonnage vocal» ou «usurpation téléphonique», cette technique consiste, pour les criminels, à téléphoner à votre entreprise et à demander à être mis en relation avec certains membres du personnel. Le destinataire de l’appel s’entendra dire « Bonjour. Ici, le service IT de votre Entreprise » ou quelque chose de similaire, et, finalement, les criminels utiliseront les émotions de la personne qui est effrayée d’avoir effectivement un problème technique pour obtenir l’information souhaitée. Cette personne sera reconnaissante pour l’appel car elle croit que son interlocuteur est là pour l’aider. À ce stade, on peut lui demander de faire quelque chose sur son ordinateur. Elle peut être guidée vers un site web qui a été conçu pour dérober des informations d’accès et pourrait même infecter les systèmes de son entreprise par un code malveillant (virus ou vers par exemple). L’utilisateur n’en aura pas la moindre idée parce qu’en toute bonne foi, il croit qu’il est aidé par un membre de l’équipe informatique de son Entreprise.
La résultante est que votre organisation pourrait dépenser une fortune pour acquérir un équipement technologique destine à atténuer le cyber-risque, mais qu’elle reste complètement vulnérable parce qu’elle n’a pas éduqué son personnel ou adressé le changement des comportements habituels.
Ashley Madison un site extra-conjugal, qui revendique plus de 40 millions d’utilisateurs dans le monde, a été la victime d’un piratage informatique au mois de juillet qui met en évidence des graves faiblesses au niveau de la cyber-sécurité. Les auteurs du vol des données réclamaient la suppression pure et simple de la plateforme, sous peine de publier les informations dérobées. Le piratage de Ashley Madison est particulièrement sensible, d’autant plus que certains des utilisateurs du site travaillent dans de grandes Entreprises notamment Françaises. D’autres sont actuellement en poste auprès d’institutions publiques(notamment un député repéré), on trouve également des employés de l’administration française, avec des comptes rattachés au ministère de l’Intérieur, à la culture, à la mairie de la capitale et diverses autres municipalités.
Mais surtout, il apparaît que le site contient de nombreux faux profils de belles femmes qui sont en fait utilisés par des hommes afin d’attirer plus d’utilisateurs. A l’heure actuelle la situation vire au drame : Divorces, suicides, vols de fonds… les utilisateurs craignent que leur vie extra conjugale ne soit divulguée publiquement. Les conséquences sont d’ores et déjà désastreuses. On recense déjà des victimes atteintes de traumatisme et deux suicides aux Etats-Unis pourraient être liés à la publication de leurs informations personnelles.
La liste publiée sur le net démontre à quel point les internautes prennent trop peu de précautions quant à l’usage de leurs données. On y trouve par exemple des e-mails avec des numéros de portable en préfixe. Les noms des utilisateurs et les mots de passe des comptes piratés étaient, semble-t-il, stockés sans être cryptés dans un fichier utilisé par l’équipe assurance qualité de l’entreprise. 765.607 noms d’utilisateurs et mots de passe associés ont ainsi été retrouvés!
Parmi les 25 mots de passe les plus utilisés, certaines combinaisons sont célèbres pour leur manque de sécurisation : 120.511 utilisateurs ont choisi le célèbre « 123456 » et 39.448 se sont cru malins en employant « password ».
Mais certains abonnés du site ont aussi fait preuve de plus d’imagination: 950 ont ainsi choisi le mot de passe « chatte », alors que d’autres combinaisons populaires telles que « 696969 » (943 fois), « baisemoi » (902 fois), « échangiste » (699 fois), « vastefaireenculer » (645 fois) ou « trouducul » (445 fois) sont tout aussi populaires.
Qui sont les pirates?
Ils peuvent être n’importe qui: des pirates, des espions, des employés mécontents, des escrocs, des courtiers de l’information et des gens ordinaires, et ils sont bons dans ce qu’ils font. Ils ont maîtrisé l’art de recueillir des informations et ils sont pleinement conscients que leurs victimes ne sont pas aussi informées qu’elles devraient l’être. Ils savent que c’est là une tâche facile et qui paie bien.
Quels sont les moyens de prévention?
Comment pouvons-nous nous défendre contre cette menace quotidienne? Comment pouvons-nous nous empêcher de devenir une autre victime de la cybercriminalité? Tout simplement: en étant informé et conscient des dangers en matière de cyber-sécurité.
Les entreprises s’appuient trop souvent sur les technologies de sécurité et ignorent l’impact qu’un «bouclier humain» peut avoir sur la sécurité.
Les organisations doivent mettre en œuvre des programmes de formation et de sensibilisation continus, et devraient reconnaître et traiter leur plus grand risque: leurs propres employés. Tout le personnel doit être mis au courant de la façon dont ils peuvent être ciblés par les pirates et ils devraient être sensibilisés sur combien il est facile d’obtenir des informations. Les gens qui comprennent les risques et les méthodes utilisées pour exploiter les vulnérabilités humaines sont mieux équipés pour les combattre. Ne laissez pas votre organisation tomber sous le coup de l’ingénierie sociale; à la place, faire en sorte que vos employés sachent exactement ce qu’ils peuvent faire pour l’éviter.
Cyber-sécurité: les premiers pas
Utiliser des certificats électroniques pour éviter le phishing, installer un logiciel antivirus et le maintenir à jour, enseigner à votre personnel comment vérifier que les appelants et les e-mails sont légitimes. Assurez-vous que votre réseau empêche l’utilisation de sites non autorisés. Surtout formez votre personnel!!
Quelques exemples de formations en cyber-sécurité proposées par AB Consulting:
ISO 27002 Foundation : les bonnes pratiques fondamentales en sécurité de l’information. Cette formation s’adresse à l’ensemble du personnel des entreprises.
ISO 27001 Foundation : les fondamentaux d’un système de gestion de la sécurité en Entreprise. Cette formation s’adresse à toute personne concernée par un projet de certification ISO 27001 de son Entreprise.
ISO 27001 Praticien : Pratique d’implémentation d’un système de gestion de la sécurité en Entreprise. Cette formation s’adresse à toute personne impliquée dans la préparation à la certification ISO 27001 de son Entreprise.
RESILIA Foundation : les fondamentaux de la cyber-résilience des Entreprises ou comment anticiper les cyber-attaques et se remettre en ordre de marche après avoir subi un attaque en matière de cyber-sécurité. Cette formation s’adresse à toute personne du département Informatique.
Ce sont là les premiers pas, simples à mettre oeuvre, pour réduire très sensiblement les risques en matière de cyber-sécurité.
6 thoughts on “Cyber-sécurité – Ingénierie sociale: un risque majeur”