Lors du DefCon du mois d'aout s'était déroulée une compétition d'ingénierie sociale, une forme d'attaque qui utilise la ruse et la manipulation pour soutirer des informations à une personne. Le rapport qui en découle vient d'être publié.
Le principe du concours était assez simple. Les participants avaient plusieurs semaines pour compiler des informations sur les sociétés qu'ils ciblaient. Ils pouvaient utiliser Google ou tout autre moyen d'enquêtes et de recherches classiques (réseaux sociaux, etc.), mais ne devait pas entrer en contact avec ces structures.
Ces données (nom des interlocuteurs, téléphones, fonction, etc.) étaient ensuite données au jury qui, dans un deuxième temps, supervisait l'attaque proprement dite en temps réel. Chaque participant disposait alors d'une vingtaine de minutes pour extirper le plus d'informations possible à son interlocuteur. Ces informations – ou drapeaux (flags) – ont ensuite été comptabilisés pour évaluer la résistance des sociétés à l'ingénierie sociale.
Un des objectifs ultimes des attaquants était d'arriver à faire cliquer l'interlocuteur sur un lien, pour l'amener à visiter une URL prédéfinie. Une action particulièrement dangereuse pour la sécurité de l'entreprise.
Parmi les grands noms visés, on trouvait Oracle, des compagnies aériennes ou des opérateurs de téléphonie américains.
Et surprise, si certaines ont mieux résisté que d'autres à la collecte de « flags », toutes ont succombé à l'attaque qui visait à faire cliquer leurs employés sur un lien potentiellement malicieux.
Le rapport note cependant qu'il serait hâtif de corréler la sécurité informatique générale d'une entreprise et ces résultats. L'ingénierie sociale repose en effet grandement sur la relation de confiance (ou plus exactement sur l'abus de confiance) entre deux personnes : l'attaquant, et l'attaqué manipulé. Certaines sociétés comme Oracle ont assez mal réussi à se défendre. Mais si l'attaquant avait appelé un autre service ou un autre jour, peut-être n'aurait-il eu aucune information notent par exemple les organisateurs du concours.
Quoi qu'il en soit, l'enseignement est clair : il faut sensibiliser les employés, tous les employés, à la sécurité et les entraîner à garder confidentielles les informations critiques. Autrement dit, presque toutes les informations internes de l'entreprise.
Les organisateurs appellent également cela cultiver « l'esprit critique » (pourquoi telle personne me demande-t-elle cela ?, qui est mon interlocuteur ?, etc.).
Ce qui dans les entreprises, demandent une volonté et que l'on y consacre du temps.
Le rapport « Social Engineering Capture the Flag Results, Defcon 19 » (PDF)
Et vous ?
Que vous inspire ce rapport ? Dans votre entreprise, êtes-vous préparé(e) à contrer les attaques par ingénierie sociale ? Comment ?
Les employés pas assez préparés aux attaques par ingénierie sociale
D'après un rapport du DefCon
Les employés pas assez préparés aux attaques par ingénierie sociale
D'après un rapport du DefCon
Le , par Gordon Fowler
Une erreur dans cette actualité ? Signalez-nous-la !