« La cybersécurité est difficile (peut-être même impossible), mais imaginez un instant que vous avez réussi. Une cryptographie forte est appliquée là où cela est nécessaire, les protocoles de sécurité remplissent parfaitement leurs fonctions. Nous disposons à la fois de matériel et de logiciels fiables. Le réseau sur lequel nous opérons est également entièrement sécurisé. Formidable!
Malheureusement, cela ne suffit toujours pas. Ce merveilleux système ne peut rien faire d'utile qu'avec la participation des utilisateurs.
Les personnes sont souvent le maillon faible d'un système de mesures de sécurité, et ce sont elles qui les rendent constamment inefficaces.
En termes de sécurité, les calculs sont parfaits, les ordinateurs sont vulnérables, les réseaux sont mauvais et les gens sont tout simplement dégoûtants. »
(extrait de : "Secrets and Lies: Digital Security in a Networked World", par Bruce Schneier)
L'information est l'un des actifs les plus importants d'une entreprise.
Les informations peuvent constituer un secret commercial de l'entreprise, par exemple dans des circonstances existantes ou possibles, elles peuvent servir à augmenter les revenus, éviter des dépenses injustifiées ou aider à maintenir une position dominante sur le marché des biens, travaux, services ou apporter d'autres avantages commerciaux à l'entreprise. entreprise. Par conséquent, ces informations doivent être protégées.
Étant donné que les gens se déplacent potentiellement vers n'importe quelle entreprise pour travailler, l'influence du facteur humain se pose inévitablement sur tous les processus de l'organisation. Y compris le processus de protection des informations confidentielles.
Toute action humaine associée à une violation du régime de sécurité peut être divisée en deux grandes catégories : intentionnelle et non intentionnelle.
Les actions intentionnelles comprennent la vol d'informations provenant des employés, le changement informations ou les leurs destruction (sabotage). Ce dernier est un cas extrême et doit être traité de manière rétrospective, impliquant les corps de police.
Pour actions involontaires nous entendons, par exemple, la perte de supports de stockage, la destruction ou l'endommagement de données par négligence. La personne dans ce cas ne se rend pas compte que ses actions conduisent à une violation du régime du secret commercial.
Il en est de même pour les actions involontaires menées au profit de mauvaises personnes, souvent trompées par des techniques dites de "social engineering".
Dans de nombreux cas, un employé ne se rend pas compte que ses actions peuvent impliquer des violations du régime du secret commercial, mais en même temps, ceux qui le lui demandent savent clairement qu'il viole le régime.
Techniques d'ingénierie sociale
Toutes les techniques d'ingénierie sociale sont basées sur les particularités de la prise de décision humaine.
Il existe différentes techniques et types d’ingénierie sociale :
- Le prétexter c'est une action élaborée selon un scénario prescrit (prétexte). Par conséquent, la cible (victime) doit fournir certaines informations ou effectuer une certaine action. Ce type d'attaque est généralement utilisé par téléphone. Le plus souvent, cette technique n'est rien d'autre que de simples mensonges et nécessite quelques recherches préalables (par exemple, la personnalisation : connaître le nom du salarié, son poste, les noms des projets sur lesquels il travaille) afin d'assurer sa crédibilité lorsque l'on nous présenter à la cible.
- Le phishing: une technique visant à obtenir frauduleusement des informations confidentielles. Typiquement, l'attaquant envoie à la cible un e-mail, falsifié à partir d'une lettre officielle - d'une banque ou d'un système de paiement - demandant la "vérification" de certaines informations ou l'exécution de certaines actions. Cette lettre contient généralement un lien vers une fausse page Web, qui imite la page officielle, avec un logo et le contenu de l'entreprise, et contient un formulaire qui vous oblige à saisir des informations confidentielles, de votre adresse personnelle au code PIN de votre carte de crédit.
- cheval de Troie: Cette technique profite de la curiosité ou de la cupidité de la cible. L'attaquant envoie un e-mail contenant une pièce jointe avec une mise à jour antivirus majeure ou même de nouvelles preuves compromettantes contre un employé. Cette technique reste efficace tant que les utilisateurs cliquent aveuglément sur une pièce jointe.
- Pomme de route: cette méthode d'attaque est une adaptation d'un cheval de Troie et consiste en l'utilisation de supports physiques. Un attaquant peut placer un CD ou une carte mémoire, en effet, dans un endroit où le support peut être facilement trouvé (couloir, ascenseur, parking). Le véhicule est forgé en tant qu'officier et est accompagné d'une signature destinée à éveiller la curiosité.
Exemple : un attaquant pourrait lancer un CD avec le logo d'une entreprise et un lien vers le site Web officiel de l'entreprise cible et l'étiqueter « Salaire de direction Q2010 XNUMX ». Le disque peut être laissé à l'étage de l'ascenseur ou dans le hall. Un employé peut sans le savoir prendre un disque et l'insérer dans un ordinateur pour satisfaire sa curiosité.
- Quiproquo: Un attaquant peut appeler un numéro aléatoire de l'entreprise et se présenter comme un employé du support technique demandant s'il y a des problèmes techniques. S'il y en a, dans le processus de « correction », la cible entre des commandes qui permettent à un attaquant de lancer un logiciel malveillant.
- Ingénierie sociale inversée.
Le but de la rétro-ingénierie sociale c'est faire en sorte que la cible se rende vers l'agresseur pour obtenir de l'"aide". Pour ce faire, un attaquant peut utiliser les techniques suivantes :
sabotage: crée un problème réversible sur l'ordinateur de la victime.
Publicité: L'attaquant glisse à la victime une annonce du type « Si vous avez des problèmes avec votre ordinateur, appelez ce numéro » (cela concerne principalement les employés qui sont en déplacement professionnel ou en vacances).
Cependant, nous pouvons limiter le pourcentage d'escroquerie et de vol de données sensibles qui pourraient compromettre notre image et notre vie quotidienne.
La défense la plus fondamentale contre l'ingénierie sociale est l'éducation. Car celui qui est prévenu est armé. Et l'ignorance, à son tour, ne dispense pas de responsabilité. Tous les employés de l'entreprise doivent être conscients des dangers de la divulgation d'informations et des moyens de l'empêcher.
De plus, les employés de l'entreprise doivent avoir des instructions claires sur la manière et les sujets à aborder avec un interlocuteur générique, les informations qu'ils doivent obtenir de lui pour une authentification précise de l'interlocuteur.
Voici quelques règles qui pourraient être utiles :
1. Tout Mot de passe utilisateur appartiennent à l'entreprise. Il convient d'expliquer à tous les salariés le jour de l'embauche que les mots de passe qui leur sont fournis ne peuvent être utilisés à d'autres fins, par exemple pour l'autorisation sur des sites Internet (on sait qu'il est difficile pour une personne de garder un œil sur tous mots de passe et codes d'accès, utilisez donc souvent le même mot de passe pour différentes situations).
Comment exploiter cette vulnérabilité en ingénierie sociale ? Supposons qu'un employé de l'entreprise soit victime de phishing. En conséquence, votre mot de passe sur un site Web particulier est devenu connu de tiers. Si ce mot de passe correspond à celui utilisé dans l'entreprise, il existe une menace potentielle pour la sécurité de l'entreprise.
En principe, il n'est même pas nécessaire qu'un salarié de l'entreprise soit victime de phishing. Rien ne garantit que le niveau de sécurité requis sera respecté sur les sites consultés. Il y a donc toujours une menace potentielle.
2. Tout le personnel doit être formé sur la façon de traiter i visiteurs. Des règles claires sont nécessaires pour établir l'identité du visiteur et de son accompagnateur. Un visiteur doit toujours être accompagné d'une personne de l'entreprise. Si un employé de l'entreprise rencontre un visiteur errant seul dans le bâtiment, alors il doit disposer des instructions nécessaires pour savoir correctement à quoi le visiteur était destiné dans cette partie du bâtiment et où se trouve son escorte.
3. Il devrait y avoir une règle pour corriger divulgation uniquement les informations réellement nécessaires par téléphone et en personne, ainsi qu'une procédure pour vérifier si la personne qui demande quelque chose est un véritable employé de l'entreprise. Ce n'est un secret pour personne que la plupart des informations sont obtenues par un attaquant lors d'une communication directe avec les employés de l'entreprise. Nous devons également tenir compte du fait que dans les grandes entreprises, les employés peuvent ne pas se connaître, de sorte qu'un attaquant peut facilement prétendre être un employé qui a besoin d'aide.
Toutes les mesures décrites sont assez simples à mettre en œuvre, mais la plupart des employés oublient ces mesures et le niveau de responsabilité qui leur est attribué lors de la signature des obligations de confidentialité.
L'entreprise dépense donc d'énormes ressources financières pour assurer la sécurité de l'information par des moyens techniques qui peuvent malheureusement être facilement contournés si les employés ne prennent pas de mesures pour contrecarrer les ingénieurs sociaux et si les services de sécurité ne contrôlent pas périodiquement le personnel de l'entreprise.
Image : Pluribus One / Web