La sécurité des systèmes d'information est une problématique qui se pose dans les entreprises de tout type. Et ce n'est pas un géant de la Silicon Valley qui prétendra le contraire. Pour tester, et par la même sensibiliser ses collaborateurs aux risques de cyber-attaques, l'entreprise Facebook a choisi « la manière forte »...

La sécurité informatique reste l’une des préoccupations majeures des organisations. On recense chaque mois de nouveaux cas de cybercriminalité mettant en avant de nombreuses failles. Les exemples ne manquent pas.

En 2012, de nombreuses entreprises, de la banque à l’assurance en passant par les industries, et même le secteur public, ont été confrontées à des attaques de social engineering.

L’ingénierie sociale (ou social engineering) est une forme d’acquisition déloyale d’information et d’escroquerie utilisée en informatique pour obtenir d’autrui un bien, un service ou des informations clés.

Plus de 90% des piratages ciblés proviennent d'attaques par "spear phishing". Selon Trend Micro (éditeur de logiciels de sécurité informatique), le spear phishing prend de plus en plus d'ampleur et les attaques sont de plus en plus difficiles à déjouer. Les entreprises doivent donc, plus que jamais, se prémunir faces à ces nouvelles menaces.

« Une définition, pas si simple »

L’ingénierie sociale au sens de la sécurité des systèmes d’information (SSI) consiste en une série de techniques visant à amadouer, duper ou tromper une personne cible en vue d’obtenir d’elle une information ou un comportement qu’elle n’aurait pas donnée ou qu’elle n’aurait pas eu sans la mise en œuvre de ces techniques.

A pas confondre avec son homonyme désignant la réalisation de travaux dans les domaines des politiques sociales et de l’intervention sociale. Celle-ci est d’autant plus forte que l’ingénierie sociale au sens de la SSI ne s’adresse pas qu’aux seuls professionnels de la SSI mais bien évidemment également, et au premier chef, aux professionnels des ressources humaines (RH), eux-mêmes déjà familiarisés avec cette appellation justement dans le domaine des politiques sociales.

Voilà donc un sujet qui commence bien mal, engendrant une confusion amenant la majorité des professionnels de la SSI à conserver la terminologie anglo-saxonne.

An interesting article on how a young boy became one of the most important social engineer of his time.

Toute bonne formation à la lutte contre l'ingénierie sociale explique, bien entendu, aux participants :

• les enjeux liés à cette lutte;
• les mécanismes mis en oeuvre lors des attaques;
• quels sont les indices qui doivent nous alerter;
• les réflexes à adopter et les comportements de protection à avoir.

Cependant si vous voulez obtenir la meilleure implication de vos collaborateurs dans cette lutte, il y a deux messages essentiels à bien leur faire passer et comprendre :

Un article d'ExtremeTech relate une expérience incroyable de piratage du cerveau humain réalisée par des chercheurs des universités d'Oxford et de Genève et de l'université de Californie (Berkeley). Présentée à la conférence Usenix Security, elle a été réalisée à partir d'un équipement d'interfaçage cerveau/ordinateur. Il s'agit d'un dispositif composé de deux parties :

MarkMonitor, Inc, une société qui développe des logiciels de protection Internet, a été victime récemment d'une attaque de Social Engineering basique.

Le groupe de pirate UGNazi affirme avoir pu accéder au compte Google de la société en faisant une simple réinitialisation du mot de passe.

Comment ont-ils pu réinitialiser le mot de passe sans le connaître ?

Ça se passe en Allemagne mais contrairement au nuage radioactif de Tchernobyl, ce nouveau cheval de Troie ne saura s'arrêter aux frontières de l'Hexagone :

"The security vendor Trusteer is warning banks to look out for a sophisticated Trojan capable of emptying the account of an online customer.

The criminal scheme perpetrated through the Tatanga Trojan has already attacked the sites of several German banks, and Trusteer expects it to be reconfigured in time for banks in other countries, including the U.S. "Many [U.S. banks] are using the exact same framework as German banks, so they should care," Oren Kedem, director of product marketing for Trusteer, said Monday."

En complément de cet article, je vous conseille hautement l'article publié par Trusteer :

http://www.trusteer.com/blog/tatanga-trojan-bypasses-mobile-security-steal-money-online-banking-users-germany

http://www.csoonline.com/article/706825/banks-warned-of-sophisticated-new-online-scam