Social engineering : la faille de sécurité entre la chaise et le clavier

Sécurité : Au début du mois de mars, la CNIL alertait sur de faux appels passés en son nom par des cybercriminels. Pour ceux-ci en effet, la phase de reconnaissance passe souvent par la pratique du social engineering, afin de récupérer le maximum d’informations nécessaires à l’attaque.

Pour certaines entreprises, c’est rarement une bonne nouvelle de recevoir un coup de fil de la CNIL. Mais ce qui est encore plus désagréable, c’est de réaliser après avoir raccroché que la personne à qui vous venez de révéler tout l’organigramme de l’entreprise n’avait rien à voir avec la CNIL. Au début du mois de mars, la CNIL alertait en effet sur Twitter sur de faux appels passés en son nom. Selon la Commission, plusieurs coups de fil lui ont été signalés au début du mois de mars par les entreprises. Les interlocuteurs se font en effet passer pour des agents de l’autorité afin de récupérer diverses informations sur l’entreprise en question.

Un scénario qui ne surprend pas Laurent Marechal, spécialiste solution pour McAfee. « Est-ce que c’est surprenant ? Non, clairement pas. Parce qu’on se rend compte que le social engineering est à la base de nombreuses attaques informatiques plus complexes. » Pour les attaquants, le but est évidemment de récupérer le maximum d’informations de valeur sur l’entreprise, afin de pouvoir ensuite mettre au point une arnaque qui paraisse crédible aux yeux des personnes visées, que cela soit par mail, par téléphone, ou même en face à face.

« Cette phase de recherche et de collectes de données sur l’entreprise, c’est la phase initiale des attaques par social engineering. Cela permet de créer ce qu’on appelle un hook, ou un scénario basé sur les informations qu’ils sont capables de récupérer » poursuit Laurent Marechal. Un exemple de « hook » bien connu, celui de l’arnaque au président : apprendre qu’un dirigeant de l’entreprise est en déplacement pour négocier un contrat, puis profiter de cette information pour passer un coup de fil au service de comptabilité afin de demander un virement urgent en se faisant passer pour le dirigeant en question par exemple. Si l’arnaque au président est un danger globalement connu de la plupart des entreprises, ce type de technique peut être décliné et incorporé à des scénarios bien plus complexes, visant par exemple à parfaire un mail de phishing afin de récupérer les identifiants d’un employé particulier.

Pas tous égaux face à la menace


Pour faire face à cette menace, les solutions sont multiples, mais la sensibilisation des employés reste la pierre angulaire de toutes les mesures envisageables. « L’éducation passe par des séminaires, de l’information, etc. On peut aussi décider de mettre en place des politiques permettant de favoriser les bonnes réactions à avoir : par exemple chez McAfee, nous avons un pôle dédié à ce cas de figure. Si nous avons le moindre doute sur un appel où un mail, nous pouvons contacter ce pôle et ils procéderont à la contre-vérification et lèveront le doute sur le contact » explique Laurent Marechal. Un accent mis sur l’éducation des employés et qui doit rester central, mais qui ne doit pas faire oublier les mesures purement technologiques telles que le filtrage des e-mails ou du trafic web des employés afin de limiter de possibles attaques. Bien évidemment, mieux vaut faire cela dans les règles de l’art, sous peine de recevoir un coup de fil courroucé de la CNIL, la vraie cette fois.

Que faire d’ailleurs si l’on a un doute sur un coup de fil passé au nom de la CNIL ? La Commission nous explique que la vigilance est de mise, car ses employés peuvent effectivement contacter l’entreprise pour demander les coordonnées d’une personne en particulier. « En cas de doute, il suffit de noter l’identité, la fonction et le numéro de téléphone de la personne se présentant comme un agent de la CNIL, et de vérifier en contactant le standard de la Commission (01 53 73 22 22) avant toute réponse » précise la Commission. En cas de doute, il peut être intéressant de contacter les autorités : le C3N dispose ainsi d’une adresse mail permettant de signaler des comportements potentiellement criminels. Les cybercriminels s’attaquent rarement à une seule et unique cible, et les groupes spécialisés tels que le C3N sont sûrement les plus capables d’identifier une vague de phishing ou d’arnaque au président sévissant en France.

Mais si cela paraît évident sur le papier, on sait que dans la réalité ce genre de choses est moins évident à gérer. Le social engineering est une spécialité pour certains cybercriminels, et il est parfois complexe de reconnaître un appel douteux : « Une fois le coup de fil passé, la plupart du temps le but du jeu est de conserver le climat de confiance, afin d’éviter que l’entreprise mette en place d’éventuelles contre-mesures qui viendraient faire obstacle aux attaquants » précise Laurent Marechal.

Difficile d’évaluer l’ampleur exacte du phénomène : la CNIL ne donne aucun chiffre sur le nombre d’escroqueries de ce type qui lui sont remontées. Aux US néanmoins, selon des données compilées par le site social-engineer.org, plus de 3 milliards de dollars ont été dérobés en 216 via différentes attaques impliquant l’utilisation d’ingénierie sociale. Mieux vaut donc prévenir que guérir.

Social engineering : la faille de sécurité entre la chaise et le clavier

Source : L’article << Social engineering : la faille de sécurité entre la chaise et le clavier >> est extrait de ZDNet

Une sélection d'articles qui pourraient vous intéresser ...

rester-informer
Ne manquez plus rien!
Abonnez-vous dès maintenant aux infos de SOSVirus et recevez chaque mois, le meilleur de la sécurité informatique : news, tutos, hacking, alerte ransomware, spam alerte ...

By | 2017-04-14T18:30:03+00:00 avril 14th, 2017|Actualité|0 Comments

Leave A Comment