On savait que les utilisateurs étaient le maillon faible de la sécurité informatique.
Mais personne ne l'aurait imaginé à ce point ! Lors d'un Defcon – le rassemblement annuel des hackers – une équipe de pirates a tenté d'extorquer des informations confidentielles à 135 employés de 17 grandes entreprises américaines telles que Cisco, Coca-Cola, Google, Ford, Pepsi, Symantec, Wal-Mart, etc.
Les pirates se sont simplement fait passer pour des consultants qui menaient une enquête interne ou pour des prestataires. On appelle cette approche le "social engineering" car elle exploite l'aspect humain et social de la structure à laquelle est lié le système informatique visé.
Résultat ? 96 % des personnes contactées par e-mail ou par téléphone ont livré leurs secrets ! Sur les 135 salariés interrogés, seules cinq femmes n'ont pas craché le morceau. Elles ont même raccroché au bout de 15 secondes. Les femmes semblent donc plus fiables que les hommes pour garder les secrets de l'entreprise !
Cette situation est particulièrement grave car les informations recueillies permettent aux pirates de contourner les défenses logicielles mises en place par le département informatique. Les informations récoltées allaient de la version du système d'exploitation au navigateur utilisé, en passant par l'antivirus installé sur les postes de travail.
On sait ainsi que plus de la moitié des entreprises attaquées utilisent une ancienne version d'un navigateur web. Bon nombre de postes de travail ont donc potentiellement été infectés par des chevaux de Troie ou des spyware car la plupart des interlocuteurs ont accepté de se connecter sur les sites web douteux indiqués par les hackers...
Ou ont données leurs codes d'accès pour des portails métiers hébergé en mode SAS, sans double authentification.
Cette expérience prouve, encore une fois, la nécessité de former les salariés à la sécurité informatique en leur faisant prendre conscience des conséquences de leurs actes.
Sylvain Bonnet Passemar
--------------------------------------------------------------------
Adresse du blog : https://blogs.mediapart.fr/sp-0/blog
Passionné d'informatique, de nouvelle technologie, et de société de l'information, j'édite ce blog qui traite de sujet de sécurité informatique. Le but de ce blog est de s’adresser auprès d’un public varié : direction, utilisateur, informaticien. C’est pour cela qu’il est hébergé sur un site généraliste. La sécurité, c’est une en premier lieu une organisation, et non un rôle purement technique. J'ai commencé ma carrière dans la presse informatique dans les années 90, puis un long passage très intéressant comme informaticien en salle des marchés et banque d'investissement, puis une administration internationale.