L’ingénierie sociale comme canal privilégié des attaques

Le mythe du petit génie de 14 ans qui arrive à faire sauter tous les systèmes de sécurité du Pentagone, bien qu’il puisse exister, ne reflète pas aujourd’hui la réalité des intrusions.

En effet la plupart des intrusions sont aujourd’hui le fait d’ingénierie sociale.

Avant d’aller plus loin et d’exposer les différentes formes qu’elle peut prendre, il convient d’abord de bien définir l’ingénierie sociale comme « une manipulation mentale visant à obtenir des informations confidentielles ».

Comment donc peut-on être manipulé au point de de permettre à des pirates de déjouer des systèmes de sécurités plus ou moins évolués ?

Le cadeau empoisonné

Ma mère me disait souvent de ne jamais accepter de bonbons si un inconnu m’en proposait dans la rue.

Ce précieux conseil peut s’appliquer aussi au sujet qui nous concerne. Effet, il faut se méfier des objets connectés (clés USB ou autres) distribués gratuitement par des inconnus, car certains le sont dans le but d’infecter un ordinateur et/ou un réseau.

Le post-it sur  l’écran

Cette situation peut vous paraître désuète mais on constate encore que des utilisateurs inscrivent leurs mots de passe en clair sur un bout de papier facilement accessible (post-it, sous-main, carnet rangé dans un tiroir ouvert…).

Une des parades simples à ce type de négligence, est de soumettre les accès aux interfaces à une authentification supplémentaire au login et mot de passe.

SafeBrands a notamment mis en place un système d’authentification additionnel pour le traitement des opérations sensibles via l’interface client selon deux modes :
– Le filtrage IP (afin qu’on ne puisse se connecter que depuis une machine et/ou un réseau bien identifié
– Déblocage par code adressé par SMS.

Informations personnelles réseaux sociaux

Les réseaux sociaux sont une source d’information importantes pour qui veut soutirer des informations confidentielles.

En effet, on peut y trouver :
– des dates de naissances (que l’on trouve encore aujourd’hui dans la grande majorité des mots de passe)
– l’identité de vos collaborateurs afin de se faire passer pour l’un d’entre eux,
– des adresse e-mail
– des informations personnelles familiales
– ….

Toutes ses informations concourent à mettre en confiance les victimes d’une fraude au président ou toute autre type d’attaque consistant à usurper une identité pour arriver à ses fins.

Par conséquent, il convient pour une entreprise, d’identifier les personnes exposées en leur sein (Direction technique, comptabilité ….) afin de les sensibiliser sur l’utilisation des réseau sociaux afin que les informations sensibles ne soient pas accessibles.

Verrouillage du poste du travail

Un autre aspect à ne pas négliger dans la préservation de ses données personnelles, c’est l’accès à son poste de travail.

Aujourd’hui la plupart des entreprises privilégient des open-space parfois immenses, de sorte que des centaines de personnes ont un accès physique à votre poste de travail.

A qui n’est-il pas arrivé qu’un plaisantin change le fond d’écran ou le message d’absence pendant qu’on s’est absenté ?

Ainsi, il convient de verrouiller systématiquement son poste de travail quand on n’est pas devant afin d’éviter qu’une personne plus malintentionnée qu’un collègue farceur prenne le contrôle de votre machine.

Travail en public

Dans le train, dans un café, dans un aéroport, une personne peut toujours regarder par dessus votre épaule et savoir qui vous êtes et ce que vous faites en un clin d’œil en lisant la signature de l’e-mail que vous être en train d’écrire.

Il convient là encore de changer ses habitudes et d’être vigilant à ce que votre écran ne soit visible que par vous (contre un mur, filtres d’écran …)

Tous ces exemples mettent en lumière le fait que l’efficacité des systèmes de sécurité les plus sophistiqués passe, en premier lieu, par une vigilance et une éducation des utilisateurs.