Les employés pas assez préparés aux attaques par ingénierie sociale
D'après un rapport du DefCon

Le , par Gordon Fowler, Expert éminent sénior
Lors du DefCon du mois d'aout s'était déroulée une compétition d'ingénierie sociale, une forme d'attaque qui utilise la ruse et la manipulation pour soutirer des informations à une personne. Le rapport qui en découle vient d'être publié.

Le principe du concours était assez simple. Les participants avaient plusieurs semaines pour compiler des informations sur les sociétés qu'ils ciblaient. Ils pouvaient utiliser Google ou tout autre moyen d'enquêtes et de recherches classiques (réseaux sociaux, etc.), mais ne devait pas entrer en contact avec ces structures.

Ces données (nom des interlocuteurs, téléphones, fonction, etc.) étaient ensuite données au jury qui, dans un deuxième temps, supervisait l'attaque proprement dite en temps réel. Chaque participant disposait alors d'une vingtaine de minutes pour extirper le plus d'informations possible à son interlocuteur. Ces informations – ou drapeaux (flags) – ont ensuite été comptabilisés pour évaluer la résistance des sociétés à l'ingénierie sociale.

Un des objectifs ultimes des attaquants était d'arriver à faire cliquer l'interlocuteur sur un lien, pour l'amener à visiter une URL prédéfinie. Une action particulièrement dangereuse pour la sécurité de l'entreprise.

Parmi les grands noms visés, on trouvait Oracle, des compagnies aériennes ou des opérateurs de téléphonie américains.

Et surprise, si certaines ont mieux résisté que d'autres à la collecte de « flags », toutes ont succombé à l'attaque qui visait à faire cliquer leurs employés sur un lien potentiellement malicieux.

Le rapport note cependant qu'il serait hâtif de corréler la sécurité informatique générale d'une entreprise et ces résultats. L'ingénierie sociale repose en effet grandement sur la relation de confiance (ou plus exactement sur l'abus de confiance) entre deux personnes : l'attaquant, et l'attaqué manipulé. Certaines sociétés comme Oracle ont assez mal réussi à se défendre. Mais si l'attaquant avait appelé un autre service ou un autre jour, peut-être n'aurait-il eu aucune information notent par exemple les organisateurs du concours.

Quoi qu'il en soit, l'enseignement est clair : il faut sensibiliser les employés, tous les employés, à la sécurité et les entraîner à garder confidentielles les informations critiques. Autrement dit, presque toutes les informations internes de l'entreprise.

Les organisateurs appellent également cela cultiver « l'esprit critique » (pourquoi telle personne me demande-t-elle cela ?, qui est mon interlocuteur ?, etc.).

Ce qui dans les entreprises, demandent une volonté et que l'on y consacre du temps.

Le rapport « Social Engineering Capture the Flag Results, Defcon 19 » (PDF)

Et vous ?

Que vous inspire ce rapport ? Dans votre entreprise, êtes-vous préparé(e) à contrer les attaques par ingénierie sociale ? Comment ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de doublex doublex - Membre confirmé https://www.developpez.com
le 02/11/2011 à 23:13
Cela confirme ce que je pense. Le piratage, c'est 10% de technique, et 90% de "combines".
Avatar de Grimly_old Grimly_old - Membre averti https://www.developpez.com
le 02/11/2011 à 23:49
Mouai ... tant qu'on ne cherche pas le 0 défauts, ça va encore.
Avatar de sayce sayce - Membre averti https://www.developpez.com
le 03/11/2011 à 13:26
Il est clair que les gens en générale manque d'informations sur les dangers du net, que ce soit dans le monde de l'entreprise ou dans la vie privée.

Il est nécessaire à mon sens que chaque entreprise mette en place des formations pour préparer leurs employés à ces éventualités.

De même que les utilisateurs de net en générale devraient faire plus attention ce qui entrainerai à coups sur une baisse des profits que génère la cybercriminalité.
Avatar de fregolo52 fregolo52 - Expert confirmé https://www.developpez.com
le 04/11/2011 à 8:58
Citation Envoyé par Gordon Fowler  Voir le message
toutes ont succombé à l'attaque qui visait à faire cliquer leurs employés sur un lien potentiellement malicieux.

Ca veut dire quoi ? Qu'on n'est moins attentif que sur un webmail ?
Si l'attaque venait d'un "piratage" du nom de la DSI, comment faire pour déterminer que l'adresse est usurpée ? On ne va pas éplucher tous les headers des mails pour regarder les routes !!

Ce rapport montre que la "faille" utilisée pour aller sur le compte facebook d'Obama est encore plus d'actualité. On laisse des traces partout.
Avatar de gangsoleil gangsoleil - Modérateur https://www.developpez.com
le 07/11/2011 à 10:52
Citation Envoyé par fregolo52  Voir le message
Ca veut dire quoi ? Qu'on n'est moins attentif que sur un webmail ?

Cela veut dire qu'aujourd'hui, les entreprises ne voient dans la securite informatique que les attaques "classiques", comme on en voit dans les films ou comme peuvent en parler certains articles de presse generale (attaques sur Sony par exemple).

Et que c'est bien regrettable, car il existe de nombreuses autres formes de failles de securite que de mettre a jour un logiciel. Mais pour que les entreprises comprennent ca, il va falloir du temps.
Offres d'emploi IT
Consultant sap finance/controlling H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Architecte et intégrateur scade/simulink H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Ingénieur développement fpga (traitement vidéo) H/F
Safran - Ile de France - 100 rue de Paris 91300 MASSY

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil