Les principales menaces en entreprise : #1 l’ingénierie sociale


Pour le mois de septembre, F-Secure décrypte chaque semaine pour vous les principales menaces auxquelles sont exposées les entreprises. Cette semaine c’est l’ingénierie sociale !

Bonnes Pratiques, Confidentialité // 03/09/2015

EN QUOI CA CONSISTE ?

L’ingénierie sociale (ou Social Ingineering dans la langue de Shakespeare) n’est pas une attaque informatique à proprement parler puisqu’elle n’a rien de numérique. Cela consiste à duper les employés d’une entreprise pour leur soutirer des informations confidentielles ou sensibles à leur insu, en utilisant des objets ou des services fréquemment employés par les utilisateurs. L’ingénierie sociale repose donc sur les comportements supposés que les utilisateurs auront face à une situation bien précise. Rien de révolutionnaire sur la forme donc, mais l’ingénierie sociale peut porter de graves préjudices financiers aux entreprises.

QUELLES FORMES PREND-ELLE ?

L’ingénierie sociale peut se présenter sous des formes très variées :

  • Des liens sur les réseaux sociaux aux titres aguicheurs. Peut-être avez-vous récemment vu des offres pour acheter des Ray Ban à très bas prix  sur le profil Facebook d’un de vos amis ? Ou encore un lien dirigeant vers une vidéo racoleuse avec un titre du type « ce qu’il va faire ensuite va vous… » ? Ces liens redirigent en général vers des sites frauduleux qui installent des virus de type Cheval de Troie ou Backdoor à l’insu des utilisateurs.
  • Des QR codes redirigeant vers des sites malicieux, collés sur des dossiers de chaises ou sur des tables pendant des salons par exemple. Ici, c’est l’ennui qui devient le pire ennemi de la sécurité.
  • La récupération d’informations professionnelles des cadres et dirigeants d’entreprise via LinkedIn pour usurper leur identité et tromper les employés.
  • Un appel téléphonique provenant d’une personne mal intentionnée, se faisant passer pour un administrateur informatique et demandant à l’utilisateur son login et son mot de passe.
  • Une clé USB ou une carte SD abandonnées dans la rue contenant des logiciels malveillant, même si cette forme d’ingénierie sociale est plus ancienne et de moins en moins utilisée.

QUELLES SONT LES CONSÉQUENCES ?

L’impact est généralement financier pour les entreprises concernées : que ce soit par la revente des données volées sur le marché noir (qu’on appelle aussi le « dark web ») ou par l’utilisation des données usurpées dans un but frauduleux.

Récemment, nous avons rencontré une entreprise qui utilisait un antivirus gratuit. Le responsable des achats a un jour reçu un email contenant un lien sur lequel il a cliqué. Comme le site ne s’adressait visiblement pas à lui il a fermé la page et repris son travail.

Quelques jours plus tard, il reçoit un email de sa banque lui indiquant que sa société venait d’effectuer un virement bancaire de 100 000€ vers la Pologne. Evidemment ce n’était pas le responsable des achats qui avait effectué ce virement et heureusement, sa banque a tout de suite bloqué l’opération bancaire. La tentative a donc échoué pour deux raisons : parce que la banque a constaté que l’entreprise n’avait jamais travaillé avec la Pologne auparavant, et que le montant était très important. Si celui-ci avait été plus faible, le mal aurait certainement été fait.

Comment est-ce arrivé ? Il a suffi à un cybercriminel de récupérer les coordonnées du responsable des achats, lui envoyer un mail avec un lien pour le rediriger vers un site qui, en exploitant une faille de vulnérabilité, a automatiquement installé un Cheval de Troie sur son ordinateur. Le Cheval de Troie a ensuite transmis les informations bancaires de la société à un serveur contrôlé par un pirate.

COMMENT S’EN PRÉMUNIR ?

Comme l’ingénierie sociale s’évertue à exploiter les erreurs humaines, votre meilleure ligne de défense restera toujours des employés bien formés et sensibilisés aux bons comportements à adopter en entreprise pour vous prémunir des attaques informatiques. Concernant l’ingénierie sociale, vous pourriez, par exemple, mettre en place une politique de sécurité composée de règles et processus stricts comme : ne jamais donner d’informations personnelles ou confidentielles (login, mots de passe, coordonnées bancaires), communiquer les informations sensibles (fichiers RH, comptable…) par téléphone ou par email mais uniquement lorsque l’interlocuteur se trouve en face de vous.

Il ne faut pas non plus oublier que l’Ingénierie Sociale repose énormément sur la notion de confiance. Il se peut donc qu’un utilisateur utilise un service web (par exemple) auquel il fait confiance et qui est normalement sûr, mais sur lequel un hacker a exploité un faille de sécurité ou une vulnérabilité pour leur installer un malware. Objectivement ils n’ont commis aucune faute et cette mésaventure peut arriver à tout le monde : nous utilisons tous des services en lesquels nous avons une confiance presque aveugle : réseaux sociaux, navigateurs web, encyclopédies en ligne etc… Mais ces derniers sont aussi vulnérables et peuvent devenir des vecteurs d’infection.

En complément de la sensibilisation des utilisateurs il est donc nécessaire de mettre en place des solutions techniques, comme par exemple :

  • Mettre en place un antivirus (si cela n’est déjà fait) pour bloquer les Chevaux de Troie ou autres malware
  • Protéger l’accès et la navigation sur le web pour empêcher certains comportements à risque
  • Mettre en place une politique de gestion des correctifs (Patch Management) car la suite logique de l’Ingénierie Sociale, c’est l’exploitation des failles de sécurité.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s