La sécurité, ce n'est pas que de la technogie

De nombreuses PME basent leur sécurité sur des suites logicielles plus ou moins reconnues. Si vous leur demandez si elles sont correctement sécurisées, elles arborent en général fièrement le nom de leur antivirus, leur serveur (linux et FreeBSD faisant bomber le torse) et bien entendu leur firewall (on rebombe le torse sur iptable). Pourtant, beaucoup d'entreprises négligent le principal... le comportement humain.

Il faut être poli paraît-il

Certaines PME (et grandes entreprises) verrouillent leurs accès via une carte à puce ou magnétique. C'est bien joli, mais voilà, la technique dite de "talonnage" permet de rentrer assez facilement dans un bâtiment protégé par carte. Si vous êtes une femme, c'est encore plus simple. Et comment ça marche ?

En général, le pirate se débrouille pour trouver une personne faisant partie de l'entreprise ciblée et se contente de la suivre. Comme beaucoup, lorsque quelqu'un prend la même porte que vous, vous la lui tenez... C'est aussi bête que ça et vous venez à cet instant de compromettre complètement l'accès au bâtiment. Cet exemple a été utilisé plusieurs fois dans des cas de piratage industriel et a prouvé son efficacité aux dépens de plusieurs entreprises.

C'est donc en jouant simplement sur les us et coutumes bien ancrés que quelqu'un peut s'introduire facilement presque n'importe où et une fois à l'intérieur, plusieurs autres techniques permettent, sans connaissances hallucinantes d'accéder à l'ensemble des données.

Bonjour, je suis du service informatique

La bonne vieille fausse carte du "service informatique" a fait également ses preuves. Pour faire simple, il suffit de montrer un badge estampillé service informatique avec si possible, le nom du sous-traitant joliment inscrit dessus (ou un nom high-tech qui sonne bien) au besoin. En fait, il suffit de vérifier comment fonctionne l'entreprise sur ce point afin de coller au mieux au profil du technicien habituel.

Grâce à ce stratagème, de nombreux pirates se sont carrément assis à la place de cadres, secrétaires et se sont bêtement mis à prendre les accès dont ils avaient besoin. Les plus doués ont même pu placer des clés wifi (avec une étiquette "ne pas toucher") un peu partout et n'avoir à revenir que pour les retirer. C'est incroyablement osé, mais aussi terriblement efficace.

Dans un registre un peu similaire, il y a quelques semaines, un client m'a appelé pour me demander si j'avais bien reçu les mots de passe sur un nouvel email parce que mon employé les avait demandés. Premièrement, je n'ai pas d'employés... Deuxièmement, je ne suis pas encore assez irresponsable pour demander un mot de passe par email. Je me déplace et je vais le prendre moi-même sur place.

La technique était simple. Un appel téléphonique "d'urgence" pour une maintenance rapide des serveurs qui risquaient de lâcher à tout moment. Paniqué, le responsable a directement lâché tous les renseignements par email. Les dégâts auraient pu être énormes. Et pourtant, il savait que ce cas de figure était impossible puisqu'il avait demandé lui-même à ce que les données soient redondantes, mais dans le feu de l'action, il a totalement oublié ce qu'il avait exigé.

Quel intérêt ?

On nous parle tous de phishing*, de virus, de malware et autres attaques. On oublie fréquemment le social engineering, pensant que ce type de procédé n'est bon que pour les films ou alors ne regarde que les entreprises conséquentes. C'est une erreur. Il suffit de voir comment le phishing, quand il est bien construit, fonctionne encore extrêmement bien, et ce, du particulier à l'entreprise.

Vous possédez des listes de clients, des contrats, des comptes bancaires répertoriés, des listes de fournisseurs ou de prix; hé bien tout à un prix justement. PME ou professions libérales peuvent intéresser quelqu'un.

Je pourrais imager ce propos en utilisant un avocat en droit familial. Ceux-ci possèdent en général une base de données des clients avec de nombreuses informations pour calculer les pensions alimentaires (nom, prénoms, numéros divers, impôts, etc.).

L'ensemble de ces informations permet de cloner rapidement une identité. En effet, au Québec par exemple, avec le numéro d'assurance sociale et quelques indications fiscales, on peut accéder au dossier complet d'un contribuable et donc obtenir de nombreuses informations personnelles. Une vraie cible de choix pour une branche particulière du marché noir.

Conclusion

Entre la secrétaire qui donne les mots de passe au technicien alarmiste au téléphone et l'employé bien élevé qui tient la porte d'entrée pour la personne qui le suivait, nous sommes en face de comportements qui peuvent mettre en péril la sécurité d'une compagnie.

Les entreprises devraient investir chez les consultants et former leurs employés (dirigeants inclus) face aux politiques de gestion du risque et actuellement, nous sommes loin de résultats très reluisants. Penser aux mots de passe complexes c'est très bien, mais les donner sans sourciller ruine complètement l'effort réalisé précédemment.

De plus, on peut ajouter au bilan le personnel qui s'échange les différents mots de passe de session, mais aussi  tous ces passwords qu'on ne change pas après le départ d'un employé. Ces petits exemples ne sont que des portes ouvertes et des brèches créées au sein d'une compagnie. Avoir des firewalls en béton armé et des serveurs à jour c'est bien, mais si c'est pour laisser n'importe qui s'assoir à son poste de travail, c'est un coup d'épée dans l'eau.

Le social engineering, élevé au rang de mythe pendant des années est pourtant une réalité. Il devient plus facile de se faire passer pour quelqu'un. Il devient plus facile d'abuser de la confiance de quiconque parce que tout le monde pense ne pas être assez crédule pour tomber dans le panneau... Aujourd'hui il existe très peu d'études sérieuses sur le sujet. Une chose dont on est sûr, de nombreux actes de piratages viennent de l'intérieur ou sont alors dus à un manque de vigilance de l'utilisateur. La technologie (failles diverses, exploit bugs, etc.) est plus rarement mise en cause que ce que l'on veut bien admettre, et ça, c'est plutôt inquiétant.

À l'ère du numérique, beaucoup trop de structures basent leur sécurité uniquement sur la technologie en ignorant complètement que même si vous êtes aussi blindé que le Pentagone, ça ne sert à rien si vous donnez les clés à tout le monde.

*phishing : hameçonnage ou filoutage (oui... c'est triste les traductions parfois). Technique  utilisée par un fraudeur consistant à récupérer chez la victime des informations personnelles telles que des mots de passe. Afin de pouvoir usurper l'identité  d'un individu pour différentes fins (vols d'argent, de comptes de jeux en ligne, etc.), le fraudeur utilise en général de faux emails et de faux sites rappelant des sites de confiance (banques, portails, etc.).