IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les employés pas assez préparés aux attaques par ingénierie sociale
D'après un rapport du DefCon

Le , par Gordon Fowler

5PARTAGES

1  0 
Lors du DefCon du mois d'aout s'était déroulée une compétition d'ingénierie sociale, une forme d'attaque qui utilise la ruse et la manipulation pour soutirer des informations à une personne. Le rapport qui en découle vient d'être publié.

Le principe du concours était assez simple. Les participants avaient plusieurs semaines pour compiler des informations sur les sociétés qu'ils ciblaient. Ils pouvaient utiliser Google ou tout autre moyen d'enquêtes et de recherches classiques (réseaux sociaux, etc.), mais ne devait pas entrer en contact avec ces structures.

Ces données (nom des interlocuteurs, téléphones, fonction, etc.) étaient ensuite données au jury qui, dans un deuxième temps, supervisait l'attaque proprement dite en temps réel. Chaque participant disposait alors d'une vingtaine de minutes pour extirper le plus d'informations possible à son interlocuteur. Ces informations – ou drapeaux (flags) – ont ensuite été comptabilisés pour évaluer la résistance des sociétés à l'ingénierie sociale.

Un des objectifs ultimes des attaquants était d'arriver à faire cliquer l'interlocuteur sur un lien, pour l'amener à visiter une URL prédéfinie. Une action particulièrement dangereuse pour la sécurité de l'entreprise.

Parmi les grands noms visés, on trouvait Oracle, des compagnies aériennes ou des opérateurs de téléphonie américains.

Et surprise, si certaines ont mieux résisté que d'autres à la collecte de « flags », toutes ont succombé à l'attaque qui visait à faire cliquer leurs employés sur un lien potentiellement malicieux.

Le rapport note cependant qu'il serait hâtif de corréler la sécurité informatique générale d'une entreprise et ces résultats. L'ingénierie sociale repose en effet grandement sur la relation de confiance (ou plus exactement sur l'abus de confiance) entre deux personnes : l'attaquant, et l'attaqué manipulé. Certaines sociétés comme Oracle ont assez mal réussi à se défendre. Mais si l'attaquant avait appelé un autre service ou un autre jour, peut-être n'aurait-il eu aucune information notent par exemple les organisateurs du concours.

Quoi qu'il en soit, l'enseignement est clair : il faut sensibiliser les employés, tous les employés, à la sécurité et les entraîner à garder confidentielles les informations critiques. Autrement dit, presque toutes les informations internes de l'entreprise.

Les organisateurs appellent également cela cultiver « l'esprit critique » (pourquoi telle personne me demande-t-elle cela ?, qui est mon interlocuteur ?, etc.).

Ce qui dans les entreprises, demandent une volonté et que l'on y consacre du temps.

Le rapport « Social Engineering Capture the Flag Results, Defcon 19 » (PDF)

Et vous ?

Que vous inspire ce rapport ? Dans votre entreprise, êtes-vous préparé(e) à contrer les attaques par ingénierie sociale ? Comment ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de
https://www.developpez.com
Le 03/11/2011 à 13:26
Il est clair que les gens en générale manque d'informations sur les dangers du net, que ce soit dans le monde de l'entreprise ou dans la vie privée.

Il est nécessaire à mon sens que chaque entreprise mette en place des formations pour préparer leurs employés à ces éventualités.

De même que les utilisateurs de net en générale devraient faire plus attention ce qui entrainerai à coups sur une baisse des profits que génère la cybercriminalité.
2  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 07/11/2011 à 10:52
Citation Envoyé par fregolo52 Voir le message
Ca veut dire quoi ? Qu'on n'est moins attentif que sur un webmail ?
Cela veut dire qu'aujourd'hui, les entreprises ne voient dans la securite informatique que les attaques "classiques", comme on en voit dans les films ou comme peuvent en parler certains articles de presse generale (attaques sur Sony par exemple).

Et que c'est bien regrettable, car il existe de nombreuses autres formes de failles de securite que de mettre a jour un logiciel. Mais pour que les entreprises comprennent ca, il va falloir du temps.
2  0 
Avatar de fregolo52
Expert confirmé https://www.developpez.com
Le 04/11/2011 à 8:58
Citation Envoyé par Gordon Fowler Voir le message
toutes ont succombé à l'attaque qui visait à faire cliquer leurs employés sur un lien potentiellement malicieux.
Ca veut dire quoi ? Qu'on n'est moins attentif que sur un webmail ?
Si l'attaque venait d'un "piratage" du nom de la DSI, comment faire pour déterminer que l'adresse est usurpée ? On ne va pas éplucher tous les headers des mails pour regarder les routes !!

Ce rapport montre que la "faille" utilisée pour aller sur le compte facebook d'Obama est encore plus d'actualité. On laisse des traces partout.
0  0 
Avatar de doublex
Membre confirmé https://www.developpez.com
Le 02/11/2011 à 23:13
Cela confirme ce que je pense. Le piratage, c'est 10% de technique, et 90% de "combines".
1  2 
Avatar de Grimly_old
Membre averti https://www.developpez.com
Le 02/11/2011 à 23:49
Mouai ... tant qu'on ne cherche pas le 0 défauts, ça va encore.
0  2