Une nouvelle récente m'a fait comprendre à quel point les émotions et les pensées humaines peuvent être (ou sont) utilisées au profit des autres. Presque chacun d'entre vous connaît Edward Snowden, le lanceur d'alerte de la NSA qui fouille dans le monde entier. Reuters a rapporté qu'il avait eu environ 20 à 25 NSA à lui remettre leurs mots de passe pour avoir récupéré des données qu'il avait divulguées plus tard [1]. Imaginez à quel point votre réseau d'entreprise peut être fragile, même avec le meilleur logiciel de sécurité!
Qu'est-ce que l'ingénierie sociale?
La faiblesse humaine, la curiosité, les émotions et d’autres caractéristiques ont souvent été utilisées pour extraire des données illégalement - qu’il s’agisse de toute industrie. L’industrie informatique lui a cependant donné le nom d’ingénierie sociale. Je définis l'ingénierie sociale comme:
“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”
Voici une autre ligne de la même nouvelle [1] que je veux citer:Les agences de sécurité ont du mal à croire que le type dans le prochain compartiment pourrait ne pas être fiable“. J'ai un peu modifié la déclaration pour l'adapter au contexte. Vous pouvez lire l'article complet en utilisant le lien dans la section Références.
En d'autres termes, vous ne contrôlez pas totalement la sécurité de vos organisations, car l'ingénierie sociale évolue beaucoup plus rapidement que les techniques permettant de la gérer. L'ingénierie sociale peut ressembler à appeler quelqu'un qui dit que vous êtes un support technique et lui demander ses identifiants de connexion. Vous devez avoir reçu des courriels de phishing concernant les loteries, les riches du Moyen-Orient et d’Afrique désirant des partenaires commerciaux, ainsi que des offres d’emploi pour vous demander vos coordonnées.
Contrairement aux attaques de phishing, l’ingénierie sociale est une interaction directe entre personnes. L'ancien (phishing) utilise un appât, c'est-à-dire que les «pêcheurs» vous offrent quelque chose en espérant que vous tomberez amoureux de celui-ci. L'ingénierie sociale consiste davantage à gagner la confiance des employés internes afin qu'ils divulguent les détails de l'entreprise dont vous avez besoin.
Lis: Méthodes populaires d'ingénierie sociale.
Techniques d'ingénierie sociale connues
Ils sont nombreux et utilisent tous des tendances humaines élémentaires pour accéder à la base de données de toute organisation. La technique d'ingénierie sociale la plus utilisée (probablement obsolète) consiste à appeler et à rencontrer des gens et à leur faire croire qu'ils proviennent d'un support technique ayant besoin de vérifier votre ordinateur. Ils peuvent également créer de fausses cartes d'identité pour établir la confiance. Dans certains cas, les coupables se font passer pour des fonctionnaires.
Une autre technique bien connue consiste à employer votre personne en tant qu'employé dans l'organisation cible. Maintenant, puisque ce con est votre collègue, vous pouvez lui faire confiance avec les détails de l'entreprise. L'employé externe peut vous aider avec quelque chose, donc vous vous sentez obligé, et c'est à ce moment-là qu'ils peuvent faire le maximum.
J'ai aussi lu des articles sur des personnes utilisant des cadeaux électroniques. Une clé USB de fantaisie livrée à l'adresse de votre entreprise ou un stylo lecteur dans votre voiture peut prouver des catastrophes. Dans un cas, quelqu'un a laissé délibérément des clés USB dans le parking comme appâts [2].
Si le réseau de votre entreprise dispose de bonnes mesures de sécurité sur chaque nœud, vous en êtes béni. Autrement, ces nœuds constituent un passage facile pour les programmes malveillants - dans ce cadeau ou clés «stylo oubliées» - vers les systèmes centraux.
En tant que tel, nous ne pouvons pas fournir une liste complète des méthodes d'ingénierie sociale. C’est une science fondamentale combinée à l’art au sommet. Et vous savez qu’aucun d’eux n’a de frontière. Les ingénieurs en ingénierie sociale continuent de faire preuve de créativité tout en développant des logiciels qui peuvent également mal utiliser des périphériques sans fil pour accéder au Wi-Fi de l'entreprise.
Lis: Qu'est-ce qu'un logiciel malveillant d'ingénierie sociale?
Empêcher l'ingénierie sociale
Personnellement, je ne pense pas qu’il existe un théorème que les administrateurs puissent utiliser pour empêcher les piratages de l’ingénierie sociale. Les techniques d'ingénierie sociale ne cessant de changer, il est donc difficile pour les administrateurs informatiques de garder une trace de ce qui se passe.
Bien sûr, il est nécessaire de garder un œil sur l'actualité de l'ingénierie sociale afin d'être suffisamment informé pour prendre les mesures de sécurité appropriées. Par exemple, dans le cas de périphériques USB, les administrateurs peuvent bloquer des lecteurs USB sur des nœuds individuels, ce qui ne les autorise que sur le serveur doté d'un système de sécurité amélioré. De même, le Wi-Fi nécessiterait un meilleur cryptage que celui fourni par la plupart des FAI locaux.
Former les employés et effectuer des tests aléatoires sur différents groupes d’employés peut aider à identifier les points faibles de l’organisation. Il serait facile de former et de mettre en garde les personnes les plus faibles. La vigilance est la meilleure défense. L'accent doit être mis sur le fait que les informations de connexion ne doivent pas être partagées, même avec les chefs d'équipe, quelle que soit la pression exercée. Si un chef d’équipe doit accéder à la connexion d’un membre, il peut utiliser un mot de passe principal. Ce n’est qu’une suggestion pour rester en sécurité et éviter les intrusions de l’ingénierie sociale.
Au-delà des programmes malveillants et des pirates informatiques, le personnel informatique doit également s'occuper de l'ingénierie sociale. Lors de l'identification des méthodes de violation de données (telles que la rédaction de mots de passe, etc.), les administrateurs doivent également s'assurer que leur personnel est suffisamment intelligent pour identifier une technique d'ingénierie sociale permettant de l'éviter complètement. Selon vous, quelles sont les meilleures méthodes pour prévenir l'ingénierie sociale? Si vous avez rencontré un cas intéressant, partagez-le avec nous.
Téléchargez cet ebook sur les attaques de l'ingénierie sociale publié par Microsoft et découvrez comment vous pouvez détecter et prévenir de telles attaques dans votre organisation.
Références
[1] Reuters et Snowden ont persuadé des employés de la NSA d'obtenir leurs informations de connexion
[2] Boing Net, lecteurs de stylo utilisés pour propager des logiciels malveillants.
