IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les employés pas assez préparés aux attaques par ingénierie sociale


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Inscrit en
    juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 3 407
    Points : 148 705
    Points
    148 705
    Par défaut Les employés pas assez préparés aux attaques par ingénierie sociale
    Les employés pas assez préparés aux attaques par ingénierie sociale
    D'après un rapport du DefCon


    Lors du DefCon du mois d'aout s'était déroulée une compétition d'ingénierie sociale, une forme d'attaque qui utilise la ruse et la manipulation pour soutirer des informations à une personne. Le rapport qui en découle vient d'être publié.

    Le principe du concours était assez simple. Les participants avaient plusieurs semaines pour compiler des informations sur les sociétés qu'ils ciblaient. Ils pouvaient utiliser Google ou tout autre moyen d'enquêtes et de recherches classiques (réseaux sociaux, etc.), mais ne devait pas entrer en contact avec ces structures.

    Ces données (nom des interlocuteurs, téléphones, fonction, etc.) étaient ensuite données au jury qui, dans un deuxième temps, supervisait l'attaque proprement dite en temps réel. Chaque participant disposait alors d'une vingtaine de minutes pour extirper le plus d'informations possible à son interlocuteur. Ces informations – ou drapeaux (flags) – ont ensuite été comptabilisés pour évaluer la résistance des sociétés à l'ingénierie sociale.

    Un des objectifs ultimes des attaquants était d'arriver à faire cliquer l'interlocuteur sur un lien, pour l'amener à visiter une URL prédéfinie. Une action particulièrement dangereuse pour la sécurité de l'entreprise.

    Parmi les grands noms visés, on trouvait Oracle, des compagnies aériennes ou des opérateurs de téléphonie américains.

    Et surprise, si certaines ont mieux résisté que d'autres à la collecte de « flags », toutes ont succombé à l'attaque qui visait à faire cliquer leurs employés sur un lien potentiellement malicieux.

    Le rapport note cependant qu'il serait hâtif de corréler la sécurité informatique générale d'une entreprise et ces résultats. L'ingénierie sociale repose en effet grandement sur la relation de confiance (ou plus exactement sur l'abus de confiance) entre deux personnes : l'attaquant, et l'attaqué manipulé. Certaines sociétés comme Oracle ont assez mal réussi à se défendre. Mais si l'attaquant avait appelé un autre service ou un autre jour, peut-être n'aurait-il eu aucune information notent par exemple les organisateurs du concours.

    Quoi qu'il en soit, l'enseignement est clair : il faut sensibiliser les employés, tous les employés, à la sécurité et les entraîner à garder confidentielles les informations critiques. Autrement dit, presque toutes les informations internes de l'entreprise.

    Les organisateurs appellent également cela cultiver « l'esprit critique » (pourquoi telle personne me demande-t-elle cela ?, qui est mon interlocuteur ?, etc.).

    Ce qui dans les entreprises, demandent une volonté et que l'on y consacre du temps.

    Le rapport « Social Engineering Capture the Flag Results, Defcon 19 » (PDF)

    Et vous ?

    Que vous inspire ce rapport ? Dans votre entreprise, êtes-vous préparé(e) à contrer les attaques par ingénierie sociale ? Comment ?

  2. #2
    Membre confirmé

    Homme Profil pro
    Mâle reproducteur chez Amazon
    Inscrit en
    mars 2006
    Messages
    207
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Mâle reproducteur chez Amazon

    Informations forums :
    Inscription : mars 2006
    Messages : 207
    Points : 463
    Points
    463
    Par défaut
    Cela confirme ce que je pense. Le piratage, c'est 10% de technique, et 90% de "combines".
    Pour vivre heureux, vivons cachés. Proverbe alien.

  3. #3
    Membre averti
    Inscrit en
    mars 2008
    Messages
    283
    Détails du profil
    Informations forums :
    Inscription : mars 2008
    Messages : 283
    Points : 374
    Points
    374
    Par défaut
    Mouai ... tant qu'on ne cherche pas le 0 défauts, ça va encore.

  4. #4
    Invité
    Invité(e)
    Par défaut
    Il est clair que les gens en générale manque d'informations sur les dangers du net, que ce soit dans le monde de l'entreprise ou dans la vie privée.

    Il est nécessaire à mon sens que chaque entreprise mette en place des formations pour préparer leurs employés à ces éventualités.

    De même que les utilisateurs de net en générale devraient faire plus attention ce qui entrainerai à coups sur une baisse des profits que génère la cybercriminalité.

  5. #5
    Expert confirmé Avatar de fregolo52
    Homme Profil pro
    Développeur C
    Inscrit en
    août 2004
    Messages
    2 364
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur C

    Informations forums :
    Inscription : août 2004
    Messages : 2 364
    Points : 5 286
    Points
    5 286
    Par défaut
    Citation Envoyé par Gordon Fowler Voir le message
    toutes ont succombé à l'attaque qui visait à faire cliquer leurs employés sur un lien potentiellement malicieux.
    Ca veut dire quoi ? Qu'on n'est moins attentif que sur un webmail ?
    Si l'attaque venait d'un "piratage" du nom de la DSI, comment faire pour déterminer que l'adresse est usurpée ? On ne va pas éplucher tous les headers des mails pour regarder les routes !!

    Ce rapport montre que la "faille" utilisée pour aller sur le compte facebook d'Obama est encore plus d'actualité. On laisse des traces partout.

  6. #6
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    mai 2004
    Messages
    9 945
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : mai 2004
    Messages : 9 945
    Points : 27 238
    Points
    27 238
    Par défaut
    Citation Envoyé par fregolo52 Voir le message
    Ca veut dire quoi ? Qu'on n'est moins attentif que sur un webmail ?
    Cela veut dire qu'aujourd'hui, les entreprises ne voient dans la securite informatique que les attaques "classiques", comme on en voit dans les films ou comme peuvent en parler certains articles de presse generale (attaques sur Sony par exemple).

    Et que c'est bien regrettable, car il existe de nombreuses autres formes de failles de securite que de mettre a jour un logiciel. Mais pour que les entreprises comprennent ca, il va falloir du temps.
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

Discussions similaires

  1. Réponses: 23
    Dernier message: 16/10/2015, 00h23
  2. Réponses: 22
    Dernier message: 20/10/2014, 08h44
  3. Les employés IT pas assez qualifiés
    Par Sarah Mendès dans le forum Débats sur le développement - Le Best Of
    Réponses: 40
    Dernier message: 31/03/2012, 10h37
  4. Les employés IT pas assez qualifiés
    Par Sarah Mendès dans le forum Hardware
    Réponses: 1
    Dernier message: 14/03/2012, 22h23
  5. vulnérabilité Python et Ruby aux attaques par timing
    Par eyquem dans le forum Général Python
    Réponses: 1
    Dernier message: 19/07/2010, 15h45

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo