Discussion :

[Gordon Fowler]

Les employés pas assez préparés aux attaques par ingénierie sociale
D'après un rapport du DefCon


Lors du DefCon du mois d'aout s'était déroulée une compétition d'ingénierie sociale, une forme d'attaque qui utilise la ruse et la manipulation pour soutirer des informations à une personne. Le rapport qui en découle vient d'être publié.

Le principe du concours était assez simple. Les participants avaient plusieurs semaines pour compiler des informations sur les sociétés qu'ils ciblaient. Ils pouvaient utiliser Google ou tout autre moyen d'enquêtes et de recherches classiques (réseaux sociaux, etc.), mais ne devait pas entrer en contact avec ces structures.

Ces données (nom des interlocuteurs, téléphones, fonction, etc.) étaient ensuite données au jury qui, dans un deuxième temps, supervisait l'attaque proprement dite en temps réel. Chaque participant disposait alors d'une vingtaine de minutes pour extirper le plus d'informations possible à son interlocuteur. Ces informations – ou drapeaux (flags) – ont ensuite été comptabilisés pour évaluer la résistance des sociétés à l'ingénierie sociale.

Un des objectifs ultimes des attaquants était d'arriver à faire cliquer l'interlocuteur sur un lien, pour l'amener à visiter une URL prédéfinie. Une action particulièrement dangereuse pour la sécurité de l'entreprise.

Parmi les grands noms visés, on trouvait Oracle, des compagnies aériennes ou des opérateurs de téléphonie américains.

Et surprise, si certaines ont mieux résisté que d'autres à la collecte de « flags », toutes ont succombé à l'attaque qui visait à faire cliquer leurs employés sur un lien potentiellement malicieux.

Le rapport note cependant qu'il serait hâtif de corréler la sécurité informatique générale d'une entreprise et ces résultats. L'ingénierie sociale repose en effet grandement sur la relation de confiance (ou plus exactement sur l'abus de confiance) entre deux personnes : l'attaquant, et l'attaqué manipulé. Certaines sociétés comme Oracle ont assez mal réussi à se défendre. Mais si l'attaquant avait appelé un autre service ou un autre jour, peut-être n'aurait-il eu aucune information notent par exemple les organisateurs du concours.

Quoi qu'il en soit, l'enseignement est clair : il faut sensibiliser les employés, tous les employés, à la sécurité et les entraîner à garder confidentielles les informations critiques. Autrement dit, presque toutes les informations internes de l'entreprise.

Les organisateurs appellent également cela cultiver « l'esprit critique » (pourquoi telle personne me demande-t-elle cela ?, qui est mon interlocuteur ?, etc.).

Ce qui dans les entreprises, demandent une volonté et que l'on y consacre du temps.

Le rapport « Social Engineering Capture the Flag Results, Defcon 19 » (PDF)

Et vous ?

Que vous inspire ce rapport ? Dans votre entreprise, êtes-vous préparé(e) à contrer les attaques par ingénierie sociale ? Comment ?

[doublex]

Cela confirme ce que je pense. Le piratage, c'est 10% de technique, et 90% de "combines".

[Grimly_old]

Mouai ... tant qu'on ne cherche pas le 0 défauts, ça va encore.

[Invité]

Il est clair que les gens en générale manque d'informations sur les dangers du net, que ce soit dans le monde de l'entreprise ou dans la vie privée.

Il est nécessaire à mon sens que chaque entreprise mette en place des formations pour préparer leurs employés à ces éventualités.

De même que les utilisateurs de net en générale devraient faire plus attention ce qui entrainerai à coups sur une baisse des profits que génère la cybercriminalité.

[fregolo52]

toutes ont succombé à l'attaque qui visait à faire cliquer leurs employés sur un lien potentiellement malicieux.

Ca veut dire quoi ? Qu'on n'est moins attentif que sur un webmail ?
Si l'attaque venait d'un "piratage" du nom de la DSI, comment faire pour déterminer que l'adresse est usurpée ? On ne va pas éplucher tous les headers des mails pour regarder les routes !!

Ce rapport montre que la "faille" utilisée pour aller sur le compte facebook d'Obama est encore plus d'actualité. On laisse des traces partout.

[gangsoleil]

Ca veut dire quoi ? Qu'on n'est moins attentif que sur un webmail ?

Cela veut dire qu'aujourd'hui, les entreprises ne voient dans la securite informatique que les attaques "classiques", comme on en voit dans les films ou comme peuvent en parler certains articles de presse generale (attaques sur Sony par exemple).

Et que c'est bien regrettable, car il existe de nombreuses autres formes de failles de securite que de mettre a jour un logiciel. Mais pour que les entreprises comprennent ca, il va falloir du temps.