Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Ma présentation au workshop cybersécurité du M.I.T. – Social Engineering

Ma présentation au workshop cybersécurité du M.I.T. – Social Engineering
2013-11-252014-01-24actualités et événementsfr
Lors du workshop cyber sécurité du Massachussets Institute of Technology, j’ai présenté non seulement sur les métriques de sécurité mais également sur le social engineering. Voici un résumé de ma présentation.
Publié le 25 Novembre 2013 par Johny Gasser dans actualités et événements
une autruche mignonne

Ce post est la suite d'un premier article de présentation du workshop du M.I.T. et d’un second article sur les métriques de sécurité.

Lors du workshop cyber sécurité du Massachussets Institute of Technology, j’ai présenté non seulement sur les métriques de sécurité mais également sur le social engineering. Voici un résumé de ma présentation.

A l’heure où la vaste majorité des entreprises n’a mis en place aucune protection contre le social engineering, l’objectif de ma présentation était de montrer l’inconsistance des moyens mis en œuvre contre les attaques visant l’infrastructure technique comparée aux mesures prises contre les attaques transitant par un employé, ainsi que des pistes pour se protéger.

J’ai commencé par rappeler que le social engineering n’est rien d’autre que de la manipulation mentale. On cherche à mettre l’employé dans une situation de confort ou au contraire inconfortable pour l’amener à faire quelque chose qu’il ne ferait pas s’il savait qui était son interlocuteur. Les moyens et scénarios ne sont limités que par la créativité de l’attaquant.

Comme souligné par plusieurs orateurs s’appuyant sur des cas concrets lors de ce workshop, il faut des années avant qu’une fuite de données continue ne soit détectée. Dans le cas du social engineering, c’est encore pire : une attaque de type social engineering bien faite ne laissera aucune trace et ne sera pas détectable après coup. Il y a une très forte probabilité qu’elle ne soit jamais détectée.

employés et collègues sont-ils capables de reconnaître une attaque de social engineering ?

J’ai continué en rappelant que l’Homme a des comportements paradoxaux. L’être humain a tendance à ne craindre que les risques pour lesquels il n’a pas un contrôle direct : on a plus peur de l’antenne de téléphonie mobile sur le toit en face que du téléphone portable… Et pourtant les radiations sont plus importantes avec le téléphone portable. On a plus facilement peur de l’accident d’avion que de l’accident de voiture, etc. Il en va de même pour le social engineering. Les gens pensent être capable de reconnaitre l’hameçonnage (phishing), et ceci à 89% selon une étude intéressante. Or, c’est l’inverse : ils sont 92% à ne pas avoir reconnu des emails malveillants.

Mon expérience personnelle est encore plus parlante concernant le social engineering : j’ai toujours pu entrer dans les bâtiments et accéder à ce qui m’intéressait ou connecter ce que je voulais. Je n’ai jamais été intercepté. Dans un cas, j’ai même piégé celui qui a signé le contrat de test d’intrusion incluant le social engineering.

Tout le monde peut se faire piéger… tout le monde, cela inclut moi-même et vous-même. Personnellement, j’ai reconnu deux tentatives. Mais est-ce que j’en ai laissé passer ? Je ne le sais pas et je ne le saurai probablement jamais. Vous non plus, vous ne savez pas si vous avez été piégé une fois.

social engineering : et si on arrêtait de faire l’autruche ?

Ensuite, j’ai continué avec une diapositive (slide) qui illustrait la différence entre toutes les couches de sécurité en place pour se protéger d’une attaque qui passerait pas Internet par rapport à une attaque de social engineering.

D’un côté, toutes les entreprises ont des firewalls, des protection antimalwares, etc. De nombreuses ont des systèmes de détection/blocage d’intrusion, de gestion des incident de sécurité (SIEM), des outils de prévention de fuites de données (DLP), etc. Et elles ne font rien, ou si peu, pour préparer leurs employés à reconnaître une attaque de social engineering et comment la gérer.

Il faut se rappeler que celui qui a un téléphone, ou qui a un point d’entrée physique d’un bâtiment à un moment donné est votre première ligne de défense pour vous protéger d’une attaque, comme l’est votre firewall ou votre passerelle antimalwares par rapport à Internet.

D’un côté, on considère que l’être humain est le maillon faible, on sait qu’une attaque transitant par un employé est indétectable à posteriori, que les conséquences peuvent être catastrophique et… on ne fait rien. On continue à investir en temps et en argent sur les attaques techniques uniquement.

Certes, je suis méchant car de nombreuses entreprises évoquent le social engineering durant leur campagne de sensibilisation de sécurité (awareness training). L’awareness training… vous savez ce truc auquel les gens rechignent à participer jusqu’à ce qu’ils soient forcés, ce truc qui selon eux est coupé de la réalité du business, ce truc de paranos qui les empêche de faire leur boulot de manière efficace et correcte… Et qui a lieu une fois par année dans la vaste majorité des entreprise... Oui, ceci est votre seule protection contre le social engineering, ou presque.

Je pense qu’il faut arrêter de faire l’autruche. Il existe un risque très important et on ne s’en occupe pas de manière suffisante.

sensibiliser mais pas n'importe comment

Il faut se rendre compte que tout le monde peut « se faire avoir ». Personne n’est à l’abri, le RSSI, le DSI, le Directeur Général, le réceptionniste, le facteur interne, le nettoyeur, le commercial, tout le monde.

La première action concrète est de changer d’objectif avec les cours de sensibilisation. Il faut stopper l’awareness training. Oui, vous avez bien lu : arrêtez. Faites de la formation avec entraînement. La principale activité des gendarmes, leur «activité métier », n’est pas de tirer sur les gens… et pourtant ils s’entraînent au moins toutes les semaines au stand de tir. Au cas où… Le principe est le même avec les employés : identifier les attaques de social engineering, repérer les intrus dans les locaux n’est pas leur métier principal. Mais ils doivent être capable d’identifier,  de gérer ces situations, et de les reporter. Plus on s’entraîne, meilleur on est. Demandez aux sportifs, demander à ceux qui vont sortir des survivants lors de catastrophes naturelles…

Mon expérience montre qu’il est judicieux de commencer par une campagne de social engineering sur plusieurs mois. Ensuite, on présente le résultats aux dirigeants et aux employés en présentant tout ce qui a été possible de faire. L’idée étant de leur « ouvrir les yeux » ou « mettre un pied au … » selon ce qui correspond à votre personnalité et à la situation dans votre entreprise. Si on annonce de suite que l’on faire des formations de sécurité tous les mois, vous allez faire face à une levée de boucliers et vous allez perdre votre crédibilité. Il faut d’abord permettre à vos dirigeants et collègues de comprendre l’étendue du problème et les risques liés.

formation au social engineering pour les employés : quoi et comment

Ensuite, on peut commencer à former les gens à identifier les attaques. Kevin Mitnick a écrit le livre référence du social engineering : « l’art de la supercherie » (« the art of deception » en anglais).  Il donne quelques trucs comme par exemple : l’attaquant va probablement s’assurer que la personne va collaborer avant de déclencher son attaque. Il va donc tester le degré de confiance de sa « victime ».

Par exemple, il peut poser une question semi-personnelle du genre « depuis combien de temps travaillez-vous ici ? » Si vous répondez à cette question, vous avez confiance dans votre interlocuteur, il pourra alors poser sa vraie question ou tenter de vous pousser à faire quelque chose dont il a besoin. il faut donner ce genre de trucs aux employés mais attention cette phrase n’est qu’un exemple seulement, il en existe des centaines d’autres et d’autres techniques pour s’assurer du degré de confiance obtenu.

Il faut également leur expliquer que faire en cas de doute car il peut s’agir d’une demande légitime et on ne va pas « envoyer promener » un client ou une autorité de surveillance. La fameuse technique de rappeler à un numéro connu : la personne se prétend de l’inspection sécurité incendie, très bien. Je n’ai pas le temps maintenant, mais je vous rappelle et vous rappelez les pompiers et pas le numéro donné.

Il faut également informer les employés si la stratégie de l’entreprise est de bloquer les attaques. C’est-à-dire que lorsqu’on a identifié une tentative, on la bloque immédiatement. Ou au contraire on laisse aller à l’étape suivante pour tenter de comprendre le but recherché par l’attaquant car il se pourrait très bien qu’il fasse la même tentative dans un autre lieu ou avec une autre personne.

le mot de la fin : s'entraîner !

Finalement, le plus important est de tester ses employés, de les entraîner. Vous faites des tests, en mandatant des experts en social engineering. En règle générale, la question que je reçois en réponse est : mais combien de fois par année ? La réponse est simple : soyez consistant ! Vous faites des tests de vulnérabilités combien de fois par année ? Si vous en faites deux par années, vous ferez la même chose pour le social engineering. Si vous les faites tous les mois, tous les mois.

Il faut bien sûr faire évoluer les scénarios et en fonction des résultats mettre à jour les formations des employés pour qu’après chaque campagne de tests on ajoute ou insiste sur les scénarios qui ont permis de déjouer l’attention des employés. Ainsi, on augmente nos chances de détecter une attaque.

Mais dernier point : désormais ce plan d’entraînement, les scénarios utilisés pour tester les utilisateurs, etc. deviennent confidentiels ! Car celui qui y a accès sait tout ce qui a de bonnes chances d’être intercepté. Cela ne vous viendrait pas à l’esprit de publier votre plan de sécurité physique, le positionnement des caméras, les alarmes, les rondes…

Et vous, que faites-vous pour protéger votre entreprise contre les attaques de social engineering ?

Johny

Crédit photo : © Marcel Schauer - Fotolia.com

3 Commentaires

  • 17 Juillet 2015
    2015-07-17
    par
    Arnaud
    Je partage votre avis sur le facteur humain dans les risques de piratage. Le social engineering est une chose mais on pourrait aussi parler d'un risque plus répandu dans l'entreprise : la connexion en USB de périphériques personnels. Que cela soit des mobiles, des cigarettes électroniques, clé USB, etc. Les gens n'ont pas conscience du risque de contamination du SI(cf : http://thehackernews.com/2014/11/china-made-e-cigarette-chargers-could_2...). Je pense que ce risque peut être limité par deux facteurs :
    - Le blocage des autorun USB
    - La formation du personnel Car à l'heure du BYOD, il sera difficile d'empêcher les salariés d'une entreprise de connecter leur téléphones.
  • 22 Janvier 2014
    2015-07-17
    par
    Johny
    Bonjour Jean-Marc,
    Il semblerait que l'on partage la même vision de la sécurité. ;-) Je vous invite à lire mes autres posts sur ce blog.
    Le jour où les entreprises auront compris que c'est 80% l'humain et 20% la technologie...
  • 21 Janvier 2014
    2015-07-17
    par
    Jean-Marc Rolland / 侯壮马
    C'est exactement ce que j'essaie d'apprendre à mes clients quand je les coache. À savoir que la sécurité n'est pas de la technique mais une façon de penser. 80% de bon sens et le reste en équipement de sécurité. Je rentre 1/4 sans badge dans des accès restreints sécurisés à Madagascar :) Pas forcément par crainte de l'étranger que du manque d'entraînement aux consignes reçues. C'est tout un art de savoir quoi protéger et comment. La bonne question est de connaître le risque et son coût si une information n'est plus disponible ou si elle n'est plus confidentielle ou intègre

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage