{"id":282,"date":"2015-08-29T14:30:10","date_gmt":"2015-08-29T13:30:10","guid":{"rendered":"http:\/\/www.ab-consulting.fr\/blog\/?p=282"},"modified":"2015-10-06T19:14:02","modified_gmt":"2015-10-06T18:14:02","slug":"cyber-securite-ingenierie-sociale","status":"publish","type":"post","link":"http:\/\/www.ab-consulting.fr\/blog\/non-classifiee\/cyber-securite-ingenierie-sociale","title":{"rendered":"Cyber-s\u00e9curit\u00e9 – Ing\u00e9nierie sociale: un risque majeur"},"content":{"rendered":"
\n
\n

Une bonne hygi\u00e8ne informatique est le meilleur rem\u00e8de contre les risques en mati\u00e8re de cyber-s\u00e9curit\u00e9<\/b><\/i><\/i><\/p>\n

\"Cyber-s\u00e9curit\u00e9<\/a><\/p>\n

\n
\n

Les \u00eatres humains, comme nous le savons bien, sont imparfaits. Nos cerveaux sont r\u00e9gis par un m\u00e9lange complexe d’\u00e9motions et (esp\u00e9rons-le) des processus de pens\u00e9e rationnelle, ce qui nous rend vuln\u00e9rables \u00e0 ceux qui veulent nous exploiter. Cela signifie que nous pouvons \u00eatre \u201cpirat\u00e9s\u201d.<\/em><\/p>\n<\/blockquote>\n

Comment pirater un cerveau humain?<\/h2>\n

C\u2019est tr\u00e8s simple si vous comprenez le comportement humain. Les Bugs dans notre \u00abmat\u00e9riel humain\u00bb peuvent \u00eatre exploit\u00e9s en utilisant des moyens techniques et non-techniques. Les fa\u00e7ons de proc\u00e9der peuvent inspirer la peur ou la curiosit\u00e9, mais ont comme objectif\u00a0commun\u00a0d\u2019amener la cible \u00e0 faire quelque chose qu\u2019elle ne devrait logiquement pas faire<\/p>\n

On dit souvent que le moyen le plus simple pour obtenir votre mot de passe ou pour pirater votre ordinateur est juste de vous le demander. Cela peut arriver dans le cadre d\u2019une conversation apparemment normale ou lors d\u2019un \u00e9change sur un r\u00e9seau social, par exemple. Je pourrais par exemple vous envoyer une demande pour devenir mon ami sur Facebook et d\u00e9marrer rapidement une conversation avec vous, au cours de laquelle je vous poserais des questions anodines \u00e0 propos de vos amis et de votre famille. Il s\u2019agit d\u2019un \u00e9change tout \u00e0 fait normal, du type de ce \u00e0 quoi vous vous attendez, et au cours de cette conversation vous m\u2019indiquerez, en toute na\u00efvet\u00e9, les pr\u00e9noms de vos enfants ou quelle est votre \u00e9quipe de football pr\u00e9f\u00e9r\u00e9e – vous pourrez m\u00eame me parler du barbecue que vous organisez le week-end prochain, avec des amis, pour f\u00eater l’anniversaire de votre partenaire. Si, comme c\u2019est souvent le cas, vous utilisez l\u2019une quelconque de ces informations comme un mot de passe, date m\u00e9morable ou comme r\u00e9ponse \u00e0 une question de s\u00e9curit\u00e9 vous permettant de r\u00e9cup\u00e9rer votre mot de passe oubli\u00e9, alors vous \u00eates d\u00e9sormais en grand danger.<\/p>\n

Apr\u00e8s une seule conversation avec vous, je dispose maintenant de beaucoup d’informations sensibles sur vous et cette information est de nature \u00e0 \u00eatre utilis\u00e9e pour vous voler, commettre une fraude en votre nom, percer vos profils de r\u00e9seaux sociaux et bien plus grave encore. Si c\u2019\u00e9tait aussi facile pour moi, c\u2019est simplement parce que vous l\u2019avez rendu facile. Je vais continuer \u00e0 \u00e9changer avec vous jusqu’\u00e0 ce que j\u2019obtienne ce que je veux. Cette technique rel\u00e8ve de l’ing\u00e9nierie sociale.<\/p>\n

\n

Qu\u2019est ce l\u2019ing\u00e9nierie sociale ?<\/em><\/strong><\/p>\n

L’ing\u00e9nierie sociale (\u00ab\u00a0social engineering\u00a0\u00bb) est une technique qui vise \u00e0 acc\u00e9der \u00e0 des informations confidentielles ou \u00e0 certains actifs (ordinateurs, r\u00e9seau informatique, compte bancaire, comptes sur les r\u00e9seaux sociaux, etc.) gr\u00e2ce \u00e0\u00a0la manipulation des personnes qui y ont acc\u00e8s directement ou indirectement.<\/em><\/p>\n<\/blockquote>\n

L’ing\u00e9nierie sociale prend de nombreuses formes<\/h2>\n

Dans le domaine de la cyber-s\u00e9curit\u00e9, ll y a beaucoup d’autres formes d’ing\u00e9nierie sociale qui peuvent \u00eatre plus dif\"Cyber-s\u00e9curit\u00e9ficiles \u00e0 rep\u00e9rer. Les courriels d’hame\u00e7onnage en sont un bon exemple. Il est assez facile de concevoir un courriel qui semble provenir de votre banque. Le texte peut ressembler \u00e0 quelque chose comme ceci: \u00ab\u00a0Nous avons d\u00e9tect\u00e9 une activit\u00e9 frauduleuse sur votre compte bancaire en ligne. Merci de cliquer sur le lien suivant pour changer votre mot de passe. \u00a0\u00bb Ensuite, un lien est fourni. Le courriel semble l\u00e9gitime, il porte le logo de la banque et l’adresse email de l’exp\u00e9diteur semble correcte. Si vous suivez ce\u00a0lien vous aboutirez sur un site qui ressemble au site de votre banque et vous saisirez, en toute confiance, vos coordonn\u00e9es afin de changer votre mot de passe.<\/p>\n

Le probl\u00e8me est … que le courriel n’a pas \u00e9t\u00e9 envoy\u00e9 par votre banque, et le lien ne vous a pas dirig\u00e9 sur la page web de votre \u00e9tablissement bancaire. Il vous a conduit sur un \u201cfaux\u201d site web imitant
\nl’apparence et la convivialit\u00e9 du site de votre banque mais apprtenant, en fait, \u00e0 des criminels, et vous venez de donner aux fraudeurs les informations de connexion lui permettant d\u00e9sormais\u00a0acc\u00e8der \u00e0 votre banque en ligne. Vous l’avez fait parce que cela avait l’air r\u00e9el et que vous aviez peur que quelqu’un puisse prendre votre argent sur votre compte mais vous \u00eates, en fait, tomb\u00e9 directement dans un pi\u00e8ge. Parfois, les e-mails sont d\u00e9livr\u00e9s avec un num\u00e9ro de t\u00e9l\u00e9phone \u00e0 appeler qui vous am\u00e8ne sur un syst\u00e8me vocal interactif, tout comme celui de votre banque. Vous \u00eates alors invit\u00e9 \u00e0 entrer votre num\u00e9ro de compte bancaire et votre code d’acc\u00e8s sans m\u00eame vous rendre compte que vous donnez ces informations directement aux criminels.<\/p>\n

L\u2019\u00e9change est un autre moyen favori des fraudeurs. Donner quelque chose pour obtenir quelque chose. Souvent d\u00e9nomm\u00e9 \u00abhame\u00e7onnage vocal\u00bb ou \u00abusurpation t\u00e9l\u00e9phonique\u00bb, cette technique consiste, pour les criminels,\u00a0\u00a0\u00e0 t\u00e9l\u00e9phoner \u00e0 votre entreprise et \u00e0 demander \u00e0 \u00eatre mis en relation avec certains membres du personnel. Le destinataire de l’appel s\u2019entendra dire \u00ab\u00a0Bonjour. Ici, le service IT de votre Entreprise\u00a0\u00bb ou quelque chose de similaire, et, finalement, les criminels utiliseront les \u00e9motions\u00a0de la\u00a0personne qui est effray\u00e9e d\u2019avoir effectivement un probl\u00e8me technique pour obtenir l\u2019information souhait\u00e9e. Cette personne sera reconnaissante pour l’appel car\u00a0elle croit que son interlocuteur est l\u00e0 pour l\u2019aider. \u00c0 ce stade, on peut lui\u00a0demander de faire quelque chose sur son\u00a0ordinateur. Elle\u00a0peut \u00eatre guid\u00e9e vers un site web qui a \u00e9t\u00e9 con\u00e7u pour d\u00e9rober des informations d’acc\u00e8s et pourrait m\u00eame infecter les syst\u00e8mes de son\u00a0entreprise par un code malveillant (virus ou vers par exemple). L’utilisateur n\u2019en aura pas la moindre id\u00e9e parce qu’en toute bonne foi, il croit qu’il est aid\u00e9 par un membre de l’\u00e9quipe informatique de son Entreprise.<\/p>\n

La r\u00e9sultante est que votre organisation pourrait d\u00e9penser une fortune pour acqu\u00e9rir un \u00e9quipement technologique destine \u00e0 att\u00e9nuer le cyber-risque, mais qu\u2019elle reste compl\u00e8tement vuln\u00e9rable parce qu\u2019elle n\u2019a pas \u00e9duqu\u00e9 son personnel ou adress\u00e9 le changement des comportements habituels.<\/p>\n

\n

Ashley Madison un site extra-conjugal, qui revendique plus de 40 millions d’utilisateurs dans le monde, a \u00e9t\u00e9 la victime d\u2019un piratage informatique au mois de juillet qui met en \u00e9vidence des graves faiblesses au niveau de la cyber-s\u00e9curit\u00e9. Les auteurs du vol des donn\u00e9es r\u00e9clamaient la suppression pure et simple de la plateforme, sous peine de publier les informations d\u00e9rob\u00e9es. Le piratage de Ashley Madison est particuli\u00e8rement sensible, d\u2019autant plus que certains des utilisateurs du site travaillent dans de grandes Entreprises notamment Fran\u00e7aises. D’autres sont actuellement en poste aupr\u00e8s d’institutions publiques(notamment un d\u00e9put\u00e9 rep\u00e9r\u00e9), on trouve \u00e9galement des employ\u00e9s de l’administration fran\u00e7aise, avec des comptes rattach\u00e9s au minist\u00e8re de l’Int\u00e9rieur, \u00e0 la culture, \u00e0 la mairie de la capitale et diverses autres municipalit\u00e9s.<\/span><\/p>\n

Mais surtout, il appara\u00eet que le site contient de nombreux faux profils de belles femmes qui sont en fait utilis\u00e9s par des hommes afin d\u2019attirer plus d\u2019utilisateurs. A l\u2019heure actuelle la situation vire au drame : Divorces, suicides, vols de fonds\u2026 les utilisateurs craignent que leur vie extra conjugale ne soit divulgu\u00e9e publiquement. Les cons\u00e9quences sont d\u2019ores et d\u00e9j\u00e0 d\u00e9sastreuses. On recense d\u00e9j\u00e0 des victimes atteintes de traumatisme et deux suicides aux Etats-Unis pourraient \u00eatre li\u00e9s \u00e0 la publication de leurs informations personnelles.<\/p>\n

La liste publi\u00e9e sur le net d\u00e9montre \u00e0 quel point les internautes prennent trop peu de pr\u00e9cautions quant \u00e0 l’usage de leurs donn\u00e9es. On y trouve par exemple des e-mails avec des num\u00e9ros de portable en pr\u00e9fixe. Les noms des utilisateurs et les mots de passe des comptes pirat\u00e9s \u00e9taient, semble-t-il, stock\u00e9s sans \u00eatre crypt\u00e9s dans un fichier utilis\u00e9 par l\u2019\u00e9quipe assurance qualit\u00e9 de l\u2019entreprise. 765.607 noms d\u2019utilisateurs et mots de passe associ\u00e9s ont ainsi \u00e9t\u00e9 retrouv\u00e9s!<\/span><\/p>\n

Parmi les 25 mots de passe les plus utilis\u00e9s, certaines combinaisons sont c\u00e9l\u00e8bres pour leur manque de s\u00e9curisation\u00a0: 120.511\u00a0utilisateurs ont choisi le c\u00e9l\u00e8bre \u00ab\u00a0123456\u00a0\u00bb et 39.448\u00a0se sont cru malins en employant\u00a0\u00ab password\u00a0\u00bb.<\/p>\n

Mais certains abonn\u00e9s du site ont aussi fait preuve de plus d’imagination:\u00a0950 ont ainsi choisi le mot de passe \u00ab\u00a0chatte\u00a0\u00bb, alors que d\u2019autres combinaisons populaires telles que \u00ab\u00a0696969\u00a0\u00bb (943 fois), \u00ab\u00a0baisemoi\u00a0\u00bb (902 fois), \u00ab\u00a0\u00e9changiste\u00a0\u00bb (699 fois), \u00ab\u00a0vastefaireenculer\u00a0\u00bb (645 fois) ou \u00ab\u00a0trouducul\u00a0\u00bb (445 fois) sont tout aussi populaires.<\/p>\n

\"mots<\/a><\/p>\n

\n<\/blockquote>\n

Qui sont les pirates?<\/h2>\n

Ils peuvent \u00eatre n’importe qui: des pirates, des espions, des employ\u00e9s m\u00e9contents, des escrocs, des courtiers de l’information et des gens ordinaires, et ils sont bons dans ce qu’ils font. Ils ont ma\u00eetris\u00e9 l’art de recueillir des informations et ils sont pleinement conscients que leurs victimes ne sont pas aussi inform\u00e9es qu\u2019elles devraient l’\u00eatre. Ils savent que c\u2019est l\u00e0 une t\u00e2che facile et qui paie bien.<\/p>\n

Quels sont les moyens de pr\u00e9vention?<\/h2>\n

Comment pouvons-nous nous d\u00e9fendre contre cette menace quotidienne? Comment pouvons-nous nous emp\u00eacher de devenir une autre victime de la cybercriminalit\u00e9? Tout simplement: en \u00e9tant inform\u00e9 et conscient des dangers en mati\u00e8re de cyber-s\u00e9curit\u00e9.<\/p>\n

\n

Les entreprises s\u2019appuient trop souvent sur les technologies de s\u00e9curit\u00e9 et ignorent l\u2019impact qu\u2019un \u00abbouclier humain\u00bb peut avoir sur la s\u00e9curit\u00e9.<\/em><\/strong><\/p>\n<\/blockquote>\n

Les organisations doivent mettre en \u0153uvre des programmes de formation et de sensibilisation continus, et devraient reconna\u00eetre et traiter leur plus grand risque: leurs propres employ\u00e9s. Tout le personnel doit \u00eatre mis au courant de la fa\u00e7on dont ils peuvent \u00eatre cibl\u00e9s par les pirates et ils devraient \u00eatre sensibilis\u00e9s sur combien il est facile d\u2019obtenir des informations. Les gens qui comprennent les risques et les m\u00e9thodes utilis\u00e9es pour exploiter les vuln\u00e9rabilit\u00e9s humaines sont mieux \u00e9quip\u00e9s pour les combattre. Ne laissez pas votre organisation tomber sous le coup de l’ing\u00e9nierie sociale; \u00e0 la place, faire en sorte que vos employ\u00e9s sachent exactement ce qu’ils peuvent faire pour l\u2019\u00e9viter.<\/p>\n

Cyber-s\u00e9curit\u00e9: les premiers pas<\/h2>\n

Utiliser des certificats \u00e9lectroniques pour \u00e9viter le phishing, installer un logiciel antivirus et le maintenir \u00e0 jour, enseigner \u00e0 votre personnel comment v\u00e9rifier que les appelants et les e-mails sont l\u00e9gitimes. Assurez-vous que votre r\u00e9seau emp\u00eache l’utilisation de sites non autoris\u00e9s. Surtout formez votre personnel!!<\/p>\n

Quelques exemples de formations en cyber-s\u00e9curit\u00e9 propos\u00e9es par AB Consulting:<\/p>\n

ISO 27002 Foundation<\/strong><\/a> : les bonnes pratiques fondamentales en s\u00e9curit\u00e9 de l’information. Cette formation s’adresse \u00e0 l’ensemble du personnel des entreprises.
\nISO 27001 Foundation<\/strong><\/a> : les fondamentaux d’un syst\u00e8me de gestion de la s\u00e9curit\u00e9 en Entreprise. Cette formation s’adresse \u00e0 toute personne concern\u00e9e par un projet de certification ISO 27001 de son Entreprise.
\nISO 27001 Praticien<\/strong><\/a> : Pratique d’impl\u00e9mentation d’un syst\u00e8me de gestion de la s\u00e9curit\u00e9 en Entreprise. Cette formation s’adresse \u00e0 toute personne impliqu\u00e9e dans la pr\u00e9paration \u00e0 la certification ISO 27001 de son Entreprise.
\nRESILIA Foundation<\/strong><\/a> : les fondamentaux de la cyber-r\u00e9silience des Entreprises ou comment anticiper les cyber-attaques et se remettre en ordre de marche apr\u00e8s avoir subi un attaque en mati\u00e8re de cyber-s\u00e9curit\u00e9. Cette formation s’adresse \u00e0 toute personne du d\u00e9partement Informatique.<\/p>\n

Ce sont l\u00e0 les premiers pas, simples \u00e0 mettre oeuvre, pour r\u00e9duire tr\u00e8s sensiblement les risques en mati\u00e8re de cyber-s\u00e9curit\u00e9.<\/p>\n<\/div>\n<\/div>\n<\/div>\n

Partager\u00a0:<\/h3>