SÉCURITÉ DE L’INFORMATION Les techniques de fraudes évoluent avec la sophistication des mesures de protection.
Dans ce premier article d’une série de deux, nous examinons le mode opératoire et les qualités utilisées en ingénierie sociale. Dans un deuxième article qui sera publié la semaine prochaine, nous aborderons les moyens utilisés et les approches de protection.
À l’heure où l’économie requiert toute notre attention, l’information et l’intelligence des systèmes, des processus et des organisations qui l’utilise sont au cœur des stratégies de changement des entreprises. Ces changements s’accompagnent nécessairement de mesures de protection, mais on constate toutefois encore une approche par silos qui profite notamment à une résurgence de l’ingénierie sociale. Les moyens permettant de contrer cette dernière sont pourtant à la portée des entreprises, mais ils doivent s’intégrer à l’intérieur d’une approche holistique de la sécurité de l’information.
Le fait de manipuler des personnes (et groupe de personnes) ou des moyens de communication afin de contourner les dispositifs de sécurité en place.
Si on devait résumer ce qui caractérise l’ingénierie sociale, ce serait avant tout la force de persuasion utilisée à des fins d’exploitation [de la naïveté] des personnes. Bien sûr, il existe plusieurs variantes observées selon les contextes et les structures de gestion en place au sein des entreprises, mais je dirais que c’est essentiellement ce point qui rend la pratique de l’ingénierie sociale si menaçante…
S’appuyer sur la cupidité des personnes est également un facilitateur. Si on cherche à analyser un peu plus la situation, le manque évident de sensibilisation des employés et des gestionnaires en la matière ne contribue certainement pas à une prise de conscience collective du danger, ni d’ailleurs à le considérer individuellement (en d’autres termes : se sentir concerné et agir en tant qu’individu, de façon conséquente, et pour le bien commun de l’entreprise).
La réalité d’aujourd’hui fait que, à juger des efforts nécessaires afin d’atteindre leurs buts, les personnes malveillantes n’hésitent plus à avoir recours aux techniques souvent relativement simples d’ingénierie sociale. On assiste donc, en quelque sorte, à la résurgence d’un profil particulier de pirate, puisqu’il n’est plus nécessaire de maîtriser les nombreuses technologies informatiques pour accéder à des informations sensibles. On observe d’ailleurs que cette recrudescence de l’ingénierie sociale s’accompagne d’une augmentation des extorsions et des chantages, impliquant des sommes d’argent qui font prendre conscience aux entreprises de la valeur monétaire de leurs informations sur le marché.
Mode opératoire utilisé en ingénierie sociale
Il existe différentes approches utilisées en matière d’ingénierie sociale, mais on s’accorde généralement sur 5 grandes phases.
La phase d’étude et d’observation qui vise d’une part à gagner la confiance d’une personne ou d’un groupe de personnes (ensembles ou séparées), généralement sous une identité inventée, mais crédible, et d’autre part à observer les comportements, habitudes, activités et relations qui relient ces dernières.
La phase de stimulation qui vise à mettre en condition d’incident (la personne ou le groupe de personnes ciblées), et ainsi de tester les réactions en situation de crise et de saisir les différentes failles en terme d’interaction avec les groupes et les organisations concernés. En résumé, on cherche à déstabiliser afin de juger des réactions, de la cohérence, et de la rapidité de ces dernières. Cette phase est souvent très révélatrice des approches prises par les entreprises en matière de sécurité (ex. faible arrimage entre les mesures logiques et physiques), et l’absence de vision globale et intégrée de la sécurité dans laquelle chacun joue un rôle déterminé.
La phase d’ajustement et de consolidation qui vise à recueillir et consolider l’ensemble des informations et des faits observés. Ceci permet d’ajuster une stratégie d’investigation et d’établir des solutions de replis adéquates (le plan B en cas de problème).
La phase de réalisation du plan tel que défini dans la phase précédente. Cette dernière, en fonction du contexte, de la cible à atteindre, et des moyens nécessaires pour y parvenir, peut se faire en une seule ou plusieurs fois.
La phase de couverture qui vise à s’assurer d’une part qu’aucune trace ne permettra de nous compromettre, et d’autre part de laisser les moyens utilisés toujours disponibles pour de possibles futures tentatives (ex. lien social avec un groupe de personnes).
Qualités utilisées en ingénierie sociale
Voici quelques-unes des qualités qui sont mises en pratique par ceux qui exercent les techniques d’ingénierie sociale. Les connaître permet d’être alerte à leur manifestation.
Développer une excellente mémoire visuelle. Vous êtes souvent amené à observer « à la volée » différentes configurations de locaux, des attitudes, des habitudes (les petits défauts qui en disent long), mais également l’état des salles de réunion, les bureaux, les écrans d’ordinateur, etc.
Être indiscret… Juste ce qu’il faut. Inutile de dire que bon nombre d’entreprises ne disposent pas de suffisamment de salles de réunion, ce qui a, par exemple, amené naturellement les employés à réaliser leurs réunions autour d’un café au sein de la foire alimentaire de l’édifice de bureau. Il vous suffit donc de vous installer confortablement et d’écouter discrètement les conversations de ces groupes de personnes qui ne prennent aucunement conscience qu’elles parlent trop fort ou que leur entourage proche est constitué de parfaits inconnus.
Être très curieux, audacieux et créatif, mais pas imprudent. Je dis souvent à mes collègues que ça prend un bon vendeur pour infiltrer les organisations… Et je suis proche de la réalité. En fait, on s’aperçoit qu’il est facile d’atteindre son but lorsqu’on joue pleinement son rôle avec une attitude ne laissant pas de place au doute, à l’hésitation (ex. se faire passer pour un technicien de photocopieur). En fait, c’est paradoxal, mais il faut partir du principe que ce qui est le plus évident paraît souvent le moins suspect (ex. partir avec le bac à recyclage contenant toutes les informations confidentielles… en l’absence de déchiqueteuses disponibles, beaucoup d’informations sensibles se retrouvent dans ces fameux bacs verts).
Être organisé et avoir le sens du détail. La réussite tient souvent aux petits détails, on ne le dira jamais assez. Par exemple, envoyer un courriel sous l’identité d’un collègue de travail avec de fausses informations dans le but de préparer les phases subséquentes.
Être opportuniste. Il ne faut pas hésiter à saisir toutes les opportunités qui se présentent à vous lorsque vous êtes dans « le château fort », sans éveiller les soupçons bien entendu. Ceci va de la récupération d’un document dans une poubelle, dans une salle de réunion, un mot de passe rentré sur un ordinateur, etc. (tout est bon à prendre, notamment dans les premières phases).
Choisir le bon moment. D’une façon générale, il est également important de planifier soigneusement la période pendant laquelle on agit. En effet, certaines situations particulières sont malheureusement propices au vol, notamment lorsque les bureaux sont moins fréquentés qu’à l’habitude (ex. alerte pandémique, période de vacances, télétravail). En temps normal, on néglige déjà l’importance des fraudes commises de l’intérieur de l’entreprise, mais beaucoup d’études démontrent qu’en période de crise économique les suspicions et les tentations de commettre des actes malveillants contribuent à une augmentation significative des incidents.
Chaque organisation à ses faiblesses. Que ce soit les petites ou les grandes organisations, chacune à son talon d’Achille. Toutefois, en matière d’ingénierie sociale, les grandes entreprises restent les plus vulnérables, car il est très difficile de connaître tout le monde et d’agir de façon coordonnée à la grandeur de son organisation, ce qui laisse autant d’opportunités à saisir pour les personnes malveillantes. Une grande faiblesse réside toujours dans le manque de conscience collective des employés à l’égard de la protection de leur entreprise et des biens qui la constitue (ex. Combien de fois vous a-t-on regardé bizarrement lorsque vous avez demandé aux personnes de vous montrer leur carte d’accès avant de les laisser rentrer derrière vous?).
Note : il n’est pas rare qu’on parle d’un groupe d’individus malveillants, plutôt que d’une seule personne, ce qui dépend essentiellement de la complexité et des moyens nécessaires.
La semaine prochaine : les moyens utilisés et les façons de se protéger. À suivre…
Michel Fossé est directeur Services-Conseils, Sécurité & Continuité des Affaires chez IBM Canada.
