Les pannes de logiciels sont toujours préoccupantes, d’autant plus lorsque le problème met en cause la sécurité de milliers d’ordinateurs. C’est pourquoi le marché regorge d’entreprises spécialisées dans la détection des défaillances des systèmes et, le cas échéant, dans la proposition de solutions. SafeStack est l’un d’entre eux, mais la société a travaillé sur une approche différente du sujet : un logiciel qui trouve des “défauts humains”.
Si vous parlez à un expert en sécurité numérique, vous découvrirez probablement tre des histoires d’organisations qui, même en adoptant des procédures de protection sophistiquées dans leurs systèmes, ont été confrontées à un ou plusieurs cas de vulnérabilités dues à des erreurs humaines.
Nous pouvons commencer par l’utilisation traditionnelle de mots de passe faibles, comme “123456” et “mot de passe”. Mais aujourd’hui, il est relativement facile de mettre en œuvre des politiques qui obligent l’utilisateur à créer des mots de passe mélangeant lettres majuscules et minuscules, chiffres, caractères spéciaux, de toute façon. La négligence dans la gestion des autorisations d’accès est un autre problème courant, mais il existe aussi des moyens très efficaces de le traiter.
Sommaire
Le plus gros problème réside dans les attaques dites d'”ingénierie sociale”. L’expression peut même sembler être un concept très sophistiqué, mais il n’est pas nécessaire d’aller trop loin. Si nous examinons le contexte plus général, nous verrons que l’ingénierie sociale n’est rien d’autre que l’utilisation de méthodes de persuasion.
Dans le domaine des technologies de l’information, l’ingénierie sociale est utilisée depuis un certain temps, bien avant que l’accès à Internet ne se généralise. Les exemples les plus emblématiques viennent peut-être du célèbre hacker Kevin Mitnick, qui a utilisé tant de ces techniques au début de sa “carrière” que le sujet a fini dans un livre : en France, l’art de la tromperie.
Mitnick appelait les entreprises s’il se faisait passer pour une personne importante et les contactait par courrier électronique, par exemple, pour obtenir des informations confidentielles. De nos jours, le courrier électronique est toujours l’un des moyens d’emploi les plus importants pour l’ingénierie sociale, mais il partage l’espace avec les réseaux sociaux.
Quel que soit le support utilisé, l’objectif est toujours d’explorer un aspect émotionnel qui nous rend vulnérables, comme la vanité, la curiosité et la peur. C’est le cas du type qui accède à Facebook sur l’ordinateur de l’entreprise, mais qui est attiré par la photo d’une belle jeune femme et dit que “vous ne croyez pas en ce qu’elle va faire”. Ou le type qui reçoit une prétendue assignation par e-mail et qui, effrayé, mord à l’hameçon : cliquez sur la pièce jointe pour savoir de quoi il s’agit.
Ces exemples peuvent même vous sembler gérables, mais les pratiques d’escroquerie par hameçonnage restent répandues car ces attaques fonctionnent tout simplement. Il y a toujours quelqu’un qui clique sur un lien suspect, il y a toujours quelqu’un qui exécute le fichier joint.
Pour échapper au problème, de nombreuses entreprises investissent dans la formation à la sécurité, mais cela ne résout pas toujours le problème. La personne peut même être capable d’identifier les courriels malveillants envoyés en masse, mais si elle est une cible isolée, elle peut ne se rendre compte du piège que tardivement.
C’est l’histoire, par exemple, d’un envahisseur qui se fait passer pour un membre haut placé de l’entreprise pour convaincre un employé d’entrer un mot de passe. Les arguments peuvent être les plus variés, allant de la correction d’un soi-disant “âne” de la personne (la peur) à l’admiration pour son travail (la vanité).
Lors de la dernière conférence Black Hat sur la sécurité, Laura Bell, PDG de SafeStack, l’a bien résumé : “Les gens sont la voie qui offre le moins de résistance [aux attaques] et nous devons faire quelque chose à ce sujet.
AVA
La solution proposée par la société de Bell est un système appelé AVA. Le logiciel est capable d’évaluer les systèmes de l’entreprise, mais en se basant sur le contexte humain : les autorisations dont dispose chaque employé, la fréquence de leurs communications, les liens qu’ils établissent dans les réseaux sociaux, etc.
Sur la base de cette analyse, AVA peut envoyer de faux messages ou courriels d’hameçonnage au nom des patrons pour évaluer comment les employés font face à ce type d’approche. L’idée n’est pas d’offrir une évaluation individuelle de chaque personne, mais de permettre à l’entreprise d’identifier les canaux et les situations qui laissent plus de place aux attaques d’ingénierie sociale.
Il s’agit d’un contrôle continu. Des ruptures peuvent survenir à tout moment. Si les employés décrivent un projet dans lequel ils travaillent sur leur profil LinkedIn, par exemple, ils peuvent involontairement exposer des informations qui font d’eux des cibles potentielles pour un étranger intéressé par cette idée.
Si l’AVA fonctionne ? Bell et l’équipe sont confiants, mais il est encore trop tôt pour se prononcer. Le logiciel O a été testé dans des petites entreprises et des organismes publics en Nouvelle-Zélande, mais il est encore en cours de développement. C’est un travail de longue haleine. Il n’y a pas que des aspects techniques à prendre en compte, mais aussi des questions juridiques et éthiques. Les employés ne savent pas qu’ils sont testés, il est donc nécessaire d’évaluer dans quelle mesure cela peut être fait sans porter atteinte aux lois et aux droits.
