Tromper pour faire révéler les secrets

Imaginez que vous soyez au support informatique d’une grande entreprise, et que vous soyez inquiet pour votre emploi. Une nuit que vous êtes de garde, vous recevez un appel venant d’un numéro que vous ne connaissez pas. La personne vous dit : "C'est Paul Tron. Mon portable n’a plus de batterie. Je vous appelle avec celui de mon épouse. Réinitialisez mon mot de passe immédiatement ! Il y a une très grosse affaire en cours."

Ce n’est pas la procédure normale pour la réinitialisation de mot de passe, mais Paul Tron est un directeur connu pour être impatient et difficile. Ne pas agir rapidement pourrait vous coûter votre poste. Vous réinitialisez le mot de passe sur le champ. Il se trouve que ce message venait d’un hacker, et que vous venez de lui donner accès au compte e-mail de Paul.

Tromper les gens pour leur faire révéler les mots de passe et divulguer des informations confidentielles d’une organisation est appelé "ingénierie sociale" en sécurité de l’information. Et c'est un énorme problème que de nombreuses organisations tentent de contrer par des formations de sécurité obligatoires. Mais personne ne sait si ces formations sont efficaces avant qu'il ne soit trop tard.

Les pirates utilisent les informations sur la structure de l’entreprise et les contacts des personnes, disponibles sur les médias sociaux comme LinkedIn, pour cartographier les connexions entre les employés et ainsi choisir les meilleures cibles contre lesquels dérouler leurs scénarii.

De plus, les frontières entre le monde professionnel et le monde personnel sont rendues floues, alors, il faut amener tous les acteurs de la vie d’une organisation à comprendre que les attaquent viennent de partout et qu'ils peuvent être approchés dans leur vie privée pour obtenir des informations professionnelles.

C’est pourquoi les entreprises ont vraiment besoin d’une manière d'identifier les employés les plus vulnérables aux attaques d'ingénierie sociale. Car contre ce type de piratage, les solution purement technique demeurent une réponse insuffisante.

Des professionnels formés à l’art de la confidentialité ayant une vision complète d’une organisation peuvent orchestrer les audits, suivre le résultat de campagnes de sensibilisation, analyser l'efficacité de différents programmes de formation de sécurité, voir où les besoins en formation sont nécessaires, trouver les endroits où améliorer la confidentialité.

Concevoir et effectuer des campagnes de phishing, à la fois par e-mail et sur les réseaux sociaux, pour voir comment les employés réagissent est une solution à laquelle une majorité de gens s'opposent, car c’est entrer de plain-pied dans la vie privée des individus, et ils craignent des abus. Eh oui, il y aura toujours des risques.

Cependant, il y a beaucoup d'outils de sécurité qui peuvent être utilisés à mauvais escient. Mais ce genre de solution dérange bien plus que des outils classiques tels que Metasploit qui cible un ordinateur au lieu d’une personne. On n’a aucune empathie pour une machine.

Oui, cela soulève des questions importantes touchant la vie privée. Oui, il faut recueillir des informations sur les employés en dehors du travail et utiliser ces informations. Mais cela devient une partie importante de la sécurité des organisations d'aujourd'hui.

Bien sûr, un hacker engagé sera toujours capable de trouver de nouvelles astuces pour contourner ces efforts, mais cela réduira tout de même le nombre des attaques réussies.

Il y a un besoin réel de protéger les acteurs d’une organisation contre les attaques d'ingénierie sociale par des business analystes spécialisés dans la confidentialité, apportant des garanties. Une garantie pourrait être la création d’un conseil éthique et vie privée.