+33 (0)1.34.16.10.50 
Twitter et Facebook font désormais partie de nos vies privée et professionnelle. Mais jusqu’où peut-on aller sans se griller ?
L’ingénierie sociale (ou social engineering en anglais) est une forme d’acquisition déloyale d’information et d’escroquerie, utilisée en informatique pour obtenir d’autrui, un bien, un service ou des informations clefs. Cette pratique exploite les failles humaines et sociales de la structure cible, à laquelle est lié le système informatique visé. Utilisant ses connaissances, son charisme, l’imposture ou le culot, le hacker abuse de la confiance, de l’ignorance ou de la crédulité des personnes possédant ce qu’il tente d’obtenir. Dans son ouvrage L’art de la supercherie, Kevin Mitnick a théorisé et popularisé cette pratique de manipulation qui utilise principalement les “failles humaines” d’un système informatique comme “effet de levier”, pour briser ses barrières de sécurité.
Le 28 janvier 2013, 7ème journée européenne de la protection des données personnelles et de la vie privée, est l’occasion pour toutes les autorités européennes de rappeler le droit élémentaire de chacun à la protection de ses données personnelles. Cette année, la CNIL profite de l’évènement pour publier une série de fiches pratiques destinées à accompagner les salariés et les employeurs dans leur gestion des données personnelles au travail. Recrutement, contrôle des horaires, de l’utilisation d’internet et de la messagerie, géolocalisation, vidéosurveillance : quel est le cadre légal ? Quelles sont les erreurs à éviter ? Quels sont les droits des employés ?
Les entreprises s’appuient trop souvent sur les technologies de sécurité et ignorent l’impact qu’un «pare-feu humain» peut avoir sur la sécurité, explique le spécialiste renommé Hugh Thompson (Blue Coat Systems), dans un entretien accordé à Searchsecurity.com. Hugh Thompson explique que les attaques par ingénierie sociale rendent la tâche très difficile aux employés dès lors qu’il faut faire le tri entre messages légitimes et messages conçus pour les amener à lâcher des données sensibles.- Nous observons constamment une composante d’ingénierie sociale dans les violations de données. Dans certains cas, les attaquants n’ont pas même besoin d’exploiter une vulnérabilité : ils poussent les employés à la faute. N’est-ce pas un échec de l’instruction ?
Hugh Thompson : C’est le point faible de la sécurité de nos jours. Le facteur humain. Si vous êtes un attaquant et que vous cherchez à vous infiltrer dans une organisation, entendez-vous passer des semaines, voire des mois, à chercher une vulnérabilité spécifique inconnue dans ses systèmes ou allez-vous privilégier l’ingénierie sociale ? Identifiez des employés spécifiques puis récupérez des informations sur les réseaux sociaux avant de leur passer un coup de fil ou de leur expédier un e-mail ! C’est évidemment le plus simple.
[...]
- Les équipes chargées de la sécurité IT échouent-elles à créer une culture de la sécurité ? Cela prend-il du temps à développer au sein d’une organisation ?
Hugh Thompson : C’est un sujet de controverse dans l’industrie. Je suis un optimiste et un formateur. De mon côté, je crois donc fermement que chacun peut s’améliorer en matière de sécurité. En apportant à chacun les bonnes opportunités d’instruction, les bonnes formations au bon moment… avec le temps, il est possible de s’améliorer et de renforcer sa résilience en cas d’attaque.
[...]
- À quoi ressemble cette voie dangereuse ?
Hugh Thompson : Vous renoncez à améliorer l’hygiène de sécurité des personnes; vous ne misez plus que sur des outils tiers ou sur des contrôles censés compenser. Je pense plus que jamais que c’est ce pare-feu humain, ces processus et ces pensées qui vous traversent l’esprit avant que vous ne cliquiez sur quelque chose ou installiez une extension de navigateur Web inconnue qui deviennent de plus en plus importants.
[...]
- Les smartphones et autres terminaux mobiles compliquent-ils les stratégies de sécurité des entreprises ?
Hugh Thompson : Ce mouvement vers plus de choix pour les personnes est un mouvement de notre temps. Cela ne concerne pas que l’IT; cela touche aussi la sécurité. Pensez à toutes les manières dont vous pouvez aujourd’hui partager un fichier avec un collègue. Vous pouvez utiliser un système d’entreprise, accessible via un VPN, par exemple. Ou encore utiliser quelque chose comme Dropbox : c’est toujours là à portée de main; un simple dossier. Et pas besoin de lancer son VPN pour y accéder…
[...]
Nous observons beaucoup d’efforts sur ces trois fronts. Mais je pense que l’approche qui va gagner sera celle consistant à permettre aux utilisateurs de faire leurs choix tandis que les responsables de la sécurité, en coulisses, s’attacheront à apporter à tout cela un niveau de sécurité raisonnable.
Par Valéry Marchive pour lemagit.fr
En savoir plus :
L’intelligence économique. De prime abord, un joli concept bien neuf qui sonne un peu toc. Une variation de la prose de Monsieur Jourdain, sur le mode, tout le monde en fait… sans le savoir ! Mais, à regarder les exemples vrais sélectionnés par les experts-comptables et la Direccte Centre dans leur plaquette de sensibilisation, mettre en pratique cette politique est visiblement indispensable.
Selon une étude américaine de 2011, les attaques contre les grandes sociétés sont restées minoritaires. Sur 885 incidents signalés, 75% concernaient des entreprises de moins de 1000 salariés, détaille le rapport publié jeudi. Pour MELANI, les PME sont plus vulnérables car elles sont moins sensibilisées à la sûreté de l’information.
“Gmail m’annonce que des attaques menées par des États tenteraient de s’infiltrer dans mon compte ou mon ordinateur.” C’est la mauvaise surprise qu’ont constatée hier Noah Schactman, journaliste pour le blog Danger Room de Wired, et un expert en antiterrorisme Daveed Gartenstein-Ross du think-tank américain Foundation for Defense of Democracies, avant de la partager sur Twitter.
Pour Antonino Mannisi et Stéphane Koch, 2 spécialistes réputées de la sécurisation des données, il y a aussi les méthodes plus «classiques» : microphones installés dans votre chambre d’hôtel, perquisition de vos bagages en votre absence, belles femmes rencontrées «par hasard» au bar de l’hôtel auxquelles on parle trop.
Les talibans utiliseraient par exemple des photos de profil Facebook de femmes pour demander les soldats de la coalition en amis et obtenir des renseignements sur les troupes. Le Telegraph explique qu’une majorité des personnes interrogées dans le rapport de la défense australienne étaient trop confiantes envers leurs contacts Facebook et divulguaient trop d’informations.