Logo ETI Quitter la lecture facile

Attention, l’homme reste le maillon faible de la sécurité

Posté le par La rédaction dans Informatique et Numérique

En matière de sécurité informatique, l'homme est souvent le maillon faible du dispositif. Comment faire pour éviter que des mots de passe soient exploités par un tiers pour voler des données sensibles. Voici quelques règles à respecter.

Vous souhaitez piller le coffre fort d’une banque. Trois scénarii s’offrent à vous.La brute force. Lourdement armés avec vos acolytes, vous rentrez dans la banque et vous vous faites remettre le contenu du coffre. C’est assez efficace, mais complexe et dangereux. Il faut monter une bande avec des rôles, obtenir des armes, et l’attaque à main armée est lourdement sanctionnée en cas d’arrestation. Et puis, si vous dérapez, les dommages collatéraux risquent d’alourdir encore la peine.La patience ou méthode Spaggiari. Vous louez un local en face de la banque, et grâce à des plans détaillés de la voirie, des réseaux et de la banque, vous creusez un tunnel qui vous amène au coffre. C’est très long et cela demande d’obtenir pas mal d’informations qui plus est fiables.Le maillon faible. Vous obtenez les clés du coffre auprès du Directeur et vous vous servez rapidement et sans violence.A vous de choisir. Pour voler une information précieuse chez un concurrent qui se trouve protégée par un mot de passe, c’est pareil.Vous attaquez le système en brute force afin d’obtenir le mot de passe convoité. Il faut disposer d’un peu d’outils informatiques et de savoir faire. Vous risquez d’être repéré, et vous enfreignez clairement la loi (loi Godfrain).Vous sniffez un volume suffisant de trafic Wi-Fi (protégé en WPA car votre cible est un peu prudente) pour casser les codes et obtenir le sésame. Il faut un peu plus de matériel, plus de connaissances, un peu de patience et éventuellement un peu de chance.Vous prenez votre téléphone et avec un peu d’ingénierie sociale, de pouvoir de conviction, vous obtenez le mot de passe de l’administrateur réseau. Peu coûteux, assez efficace en général, voire non répréhensible suivant les cas.

MICE vous sourit
Mais comment faire pour obtenir le mot de passe ? Nos amis britanniques ont formalisée la chose à la grande époque de la guerre froide dans l’approche MICE.Cet acronyme donne les méthodes de base pour obtenir des informations sensibles depuis une source chez l’adversaire :M = Money = Acheter les informations en cash à Moscou. L’argent reste une valeur sûre.I = Ideology = Convaincre un agent britannique de la supériorité du communisme sur le système capitaliste. Pratique très efficace à une certaine époque.C = Constraint = Exercer une pression psychologique, voire physique, pour soutirer les informations. Cas de la vidéo compromettante en charmante compagnie.E = Ego =  » Ton chef ne reconnait pas ta valeur. Exfiltrer des informations très sensibles démontrera tes capacités « . Nous sommes tous des talents en manque de reconnaissance.

Son application au vol de données
Comment traduire cette méthode afin d’obtenir le mot de passe de son propriétaire, de son assistante, de l’administrateur réseau ?M = Proposez un dédommagement monétaire ou en nature en échange du mot de passe recherché. La somme ne sera pas forcément disproportionnée. Une enquête conduite en Angleterre a montré qu’une majorité d’employés étaient prêts à échanger leur mot de passe contre une tablette de chocolat. Même en informatique, la gourmandise est un vilain défaut.I = Si vous attaquez un groupe pétrolier, dites que vous œuvrez pour une association écologiste. Vous avez une chance de convaincre un employé si vous racontez une belle histoire dans laquelle il passera pour le sauveur de l’humanité. Et puis une fois le forfait commis, il y a peu de chance qu’il aille s’épancher auprès du DRH.C = En vous renseignant sur la vie du Directeur, vous découvrirez que certains aspects de sa vie personnelle ou professionnelle ne sont pas avouables. Échangez votre silence contre son mot de passe et votre promesse de rester discret sur son utilisation. Un vol d’information bien conduit laisse peu de trace.E = Créez un lien dans un salon ou sur le Net avec l’administrateur du réseau. Manifestez votre admiration sur ses compétences et laissez lui comprendre qu’il est mal considéré, mal reconnu, mal payé par son employeur. Et qu’une petite vengeance qui ne sera pas découverte sera de vous confier un mot de passe.

Les contre-mesures
La sensibilisation. Réalisez des campagnes de sensibilisation auprès de vos employés. Ces dernières peuvent être périodiques ou au cas par cas, générales ou bien cibler une population spécifique. Dans tous les cas soyez concret dans vos exemples. Un commercial qui perd son fichier clients au profit d’un concurrent risque de perdre son bonus de ventes. Rappel à la loi. Rappelez qu’il ne faut pas se rendre complice d’un délit. Le vol d’information n’en est pas forcément un, mais les conséquences peuvent conduire devant le juge. Un financier qui perd des données avant publication des comptes d’un grand groupe peut être accusé de délit d’initié. La compromission d’informations soumises au secret défense n’est pas une plaisanterie.Rendre la sécurité ludique. Lors de ces campagnes, ne pas hésiter à utiliser des jeux, des affiches amusantes, des vidéos d’autodérision. Faites un quizz et mettez en valeur les champions, voire récompensez les avec un iPod ou une invitation au restaurant.Test d’intrusion. Vous pouvez faire appel à une société externe spécialisée pour réaliser des tests d’ingénierie sociale. Ils peuvent porter sur les hôtesses de l’accueil ou le support informatique de l’entreprise. Bien souvent les contrôles sont faibles et un simple appel téléphonique au support permet de faire réinitialiser le mot de passe à sa valeur par défaut : « user = nom, password = nom ». Et comme l’objectif du support est de dépanner en un minimum de temps, les procédures de contrôle du requérant sont inexistantes ou inappliquées. Attention toutefois à ne pas détourner ces méthodes. Il s’agit de sensibiliser aux méthodes d’attaques et de mesurer les faiblesses afin d’y remédier. Pas de stigmatiser les employés.Prendre des mesures techniques. Vous pouvez renforcer les contrôles de base, par exemple en fournissant une carte à puce pour l’identification. Complétée d’un code porteur, il sera difficile pour un employé de dire que l’on a usurpé son identité à l’insu de son plein gré. Se faire voler son composant matériel et son code, c’est soit énormément de laisser aller proche de la faute professionnelle, soit de la complicité. On peut aussi enrichir cette carte avec un coffre fort numérique qui permettra au porteur d’y placer en toute sécurité son code d’accès Internet personnel, son identifiant Facebook, son compte cantine… autant d’informations personnelles qui le rendront plus attentif à son équipement d’identification.Maintenant, à vous de jouer pour renforcer le maillon faible de votre sécurité.Par Eric Wiatrowski, Lead Auditor – Security Management System

Posté le par La rédaction


Réagissez à cet article

Commentaire sans connexion

Pour déposer un commentaire en mode invité (sans créer de compte ou sans vous connecter), c’est ici.

Captcha

Connectez-vous

Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.

INSCRIVEZ-VOUS
AUX NEWSLETTERS GRATUITES !