Piratage de l'esprit humain
L'ingénierie sociale est aujourd'hui un risque supérieur à bien d'autres menaces.
PublicitéDans une scène du film « Les Associés », le personnage principal, joué par Nicolas Cage, discute avec l'actrice Alison Lohman. L'échange est à peu près le suivant :
Alison Lohman : Tu n'as pas l'air malhonnête.
Nicolas Cage : C'est pourquoi je suis un si bon arnaqueur.
Cette conversation capte une vérité fondamentale inhérente à toutes les escroqueries, qu'elles soient pratiquées dans le monde numérique ou le monde physique : amener quelqu'un à baisser sa garde par un stratagème habile facilite la vie d'un voleur. Dans le jargon des pirates, cela s'appelle l'ingénierie sociale.
L'ingénierie sociale consiste à pirater l'esprit humain, ce qui, à bien des égards, est beaucoup plus facile à faire que de trouver une nouvelle faille logicielle et l'utiliser comme une passerelle d'accès à l'entreprise. Ces failles, appelées zero-days, peuvent coûter des dizaines de milliers de dollars dans l'économie souterraine des pirates. Cet argent peut être économisé si l'on amène un individu à installer un virus informatique sur sa propre machine en abusant de sa crédulité. Après tout, pourquoi prendre la peine de crocheter une serrure si vous pouvez convaincre quelqu'un de vous laisser entrer chez lui.
Alors, quelle est la clé d'une attaque d'ingénierie sociale réussie ? Il s'agit du leurre, qui peut aller d'un message sur Facebook qui attire l'attention sur une célébrité à des e-mails au sujet de l'activité de votre entreprise. L'une des cyberattaques les plus médiatisées de l'année 2011, celle dont a été victime RSA, s'est produite lorsqu'un employé a ouvert un e-mail intitulé : « Plan de recrutement 2011 ». Lorsque l'employé a ouvert la pièce jointe, il a déclenché une série d'événements qui a entraîné le piratage de données. Si le piratage d'un système repose sur la connaissance des failles de programmation, le piratage de l'esprit humain requiert un autre type de connaissance : il s'agit plus précisément de savoir sur quel type d'e-mail ou de lien la victime est la plus susceptible de cliquer.
Un moyen de connaître ces informations consiste à cibler les personnes en fonction de leur emploi et de leurs centres d'intérêt, et il n'existe peut-être pas de meilleure source de données sur ces sujets que les réseaux sociaux. La consultation d'un profil LinkedIn peut dévoiler la carrière et le poste actuel d'un employé. Un coup d'oeil à ses comptes Facebook peut fournir des informations sur ses amis et ses loisirs. Les réseaux sociaux ont considérablement renforcé leurs contrôles de confidentialité au cours de ces dernières années, mais de nombreux utilisateurs ne les exploitent pas toujours efficacement ou les rendent involontairement inefficaces en entrant en relation avec des personnes qu'ils ne connaissent pas vraiment. Des études ont montré que le faux profil classique sur Facebook a en moyenne 726 « amis », soit plus de cinq fois plus qu'un utilisateur typique du site.
PublicitéLe piratage de l'esprit humain revêt également d'autres formes. Par exemple, l'optimisation du référencement est l'une des techniques préférées des pirates. Le référencement d'un site Web vise à améliorer son classement sur les moteurs de recherche tels que Google. Dans de bonnes mains, il est parfaitement légitime ; dans de mauvaises mains, il augmente la probabilité que les internautes accèdent à un site malveillant. Il existe également des techniques beaucoup moins sophistiquées, telles qu'une conversation téléphonique à l'ancienne qui incite quelqu'un à ne pas se tenir sur ses gardes.
Selon une étude réalisée récemment par Dimensional Research à la demande de Check Point, 43 % des 853 responsables informatiques interrogés dans le monde ont déclaré avoir été ciblés par des attaques d'ingénierie sociale. Cette étude a également révélé que les nouveaux employés sont les plus ciblés par les attaques : 60 % des entreprises sondées ont déclaré que les derniers employés recrutés présentaient un risque élevé d'attaques par ingénierie sociale. Malheureusement, le niveau de formation semble ne pas être adapté aux menaces : 26 % seulement des personnes interrogées suivent une formation continue et 34 % des entreprises ne prennent aucune mesure pour sensibiliser les employés. En revanche, les comportements évoluent et un plus grand nombre d'entreprises sensibilisent les employés aux menaces pour la sécurité ainsi qu'aux techniques d'ingénierie sociale auxquelles ils sont exposés.
La formation est un élément clé de la défense contre les attaques, mais le processus commence par l'application de règles judicieuses pour protéger les données. Il s'agit notamment de contrôler qui accède à quelles informations et de définir des règles applicables et en adéquation avec les opérations de l'entreprise. À partir de là, les employés doivent être informés sur ces règles, qui doivent ensuite être testées sur eux. Il est donc indispensable de partager les informations sur les attaques détectées pour que les employés puissent mieux comprendre comment ils sont ciblés. Souvent, la prudence est mère de sûreté : si un e-mail vous demande des informations privées, contactez le prétendu expéditeur pour vous assurer qu'il est légitime.
En outre, les réseaux et terminaux doivent être protégés par l'application des meilleures pratiques et l'installation des derniers correctifs de sécurité, mais la lutte contre le piratage de l'esprit humain requiert avant tout des changements d'attitude plutôt que des armes technologiques. S'il existe un antivirus pour l'esprit humain, il doit être mis à jour en tenant compte des règles appliquées dans l'entreprise et de la façon dont les pirates ciblent leurs victimes. Il est primordial d'intégrer ces informations dans un programme de formation pour éviter un vol de données et passer une nuit tranquille.
Article rédigé par
Thierry Karsenti, Directeur Technique Europe Check Point Software Technologies
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire