SÉCURITÉ DE L’INFORMATION Bien connaître les techniques utilisées par les criminels qui mettent à profit l’ingénierie sociale permet de mieux s’en protéger. Survol des moyens utilisés et de principes de protection suggérés.
Dans un article publié la semaine dernière, nous avons examiné le mode opératoire et les qualités utilisées en ingénierie sociale. Dans ce deuxième article, nous abordons les moyens utilisés et les approches de protection.
L’ingénierie sociale a ceci de subtil qu’on ne se méfie pas le moins du monde que nos gestes sont à risque de dévoiler des informations qui aident les criminels potentiels à usurper une identité, à s’introduire dans votre système ou à subtiliser de l’information concurrentielle. Voici des exemples de moyens utilisés pour parvenir à ces fins:
Le fait de manipuler des personnes (et groupe de personnes) ou des moyens de communication afin de contourner les dispositifs de sécurité en place.
La tendance au web social. Bien que le téléphone soit toujours considéré comme un moyen couramment utilisé en ingénierie sociale, on observe une tendance à l’utilisation de formidables sources d’informations que sont les blogues, Wiki et autres réseaux sociaux. Les informations disponibles servent à mieux qualifier votre cible, mieux connaître les personnes, leurs habitudes, leurs situations personnelles, etc. N’oubliez pas que l’ingénierie sociale vise souvent à profiter de la cupidité des personnes.
Les technologies Internet à l’intérieur de l’entreprise. L’utilisation des technologies Internet s’est largement répandue dans les entreprises. Plusieurs d’entre elles utilisent par exemple les logiciels de messagerie instantanée plutôt que le téléphone ou le courriel (notamment dans le cas d’entreprises géographiquement étendues). Encore une fois, il est plus difficile de savoir avec qui on échange de l’information dans de tels cas et on est souvent moins vigilant.
Le courriel relayé à l’extérieur de l’entreprise. Le relais des courriels sur une adresse personnelle (ex. Hotmail) est une chose très répandue et souvent non encadrée ou tolérée par les entreprises. Avec les faiblesses que l’on connaît des messageries publiques, obtenir l’information sensible devient encore plus simple, d’autant plus que l’adresse courriel n’est pas une information que l’on cherche à cacher.
Cas particulier : Une des techniques consiste également à utiliser le courriel afin d’installer un logiciel malveillant (ex. permettant d’enregistrer ce que vous tapez sur votre clavier d’ordinateur), ceci en joignant un fichier dans un courriel et en laissant croire que celui qui lit ce message doit ouvrir ce fichier (il contient malheureusement une porte dérobée ou « Backdoor »).
Les centres de support victimes de leur succès. De plus en plus, on tente d’établir un point d’entrée unique pour l’ensemble des problèmes rencontrés par les utilisateurs des systèmes d’information. La réalité est que les personnes que nous avons en ligne sont généralement peu sensibilisées à la protection des informations, trop rapidement sensibilisées aux procédures internes pour que ce soit efficace, peu payées et dont la mission, ne l’oublions pas, est d’aider l’appelant dans sa demande. Bref, on peut y voir, pour qui a une intention malhonnête, tous les ingrédients d’une excellente recette.
Point particulier : la plupart des centres d’appel ou de support se basent en partie sur l’identification de l’appelant (« Caller ID ») afin de s’assurer de parler avec un collègue, et de plus en plus d’entreprises utilisent la téléphonie IP. Or, tout bon expert en sécurité vous dira qu’il est facile de contourner cela même si nous ne développerons pas cette technique ici.
Des poubelles qui ont beaucoup de valeur. Les budgets souvent ne permettent pas de mettre à disposition des employés des déchiqueteuses de documents (encore moins de médias tels que des CD ou DVD) et elles optent pour la solution du bac de recyclage. Dans bien des cas, soit parce que ces bacs ne sont pas en nombre suffisant, ou tout simplement que leur existence n’est pas connue, les employés jettent leurs documents dans leurs propres poubelles.
Certains transporteurs peu fiables. Certaines entreprises ont recours à des transporteurs pour le matériel à des fins de maintenance. Or, la négligence en matière de sécurité de certains transporteurs, rajoutée à la faiblesse des mesures de protection des biens transportés (ex. ordinateur avec des disques contenant des données sensibles non chiffrées), augmente significativement le risque de perte ou vol d’informations sensibles.
Recyclage du matériel. Faire le bien peut causer des ennuis. Il existe de plus en plus de programmes visant à recycler les ordinateurs afin d’en faire le don à des œuvres de bienfaisance. Bien souvent les mises au rebut ne sont pas sécuritaires, alors que les données ne sont pas effacées de façon irréversible des supports informatiques.
Le constat que nous pouvons faire, c’est que malheureusement les techniques les plus efficaces afin de réduire les risques reliés à l’ingénierie sociale sont également celles liées aux principales faiblesses observées dans les entreprises.
Le gros bon sens
D’une façon générale, on constate que les moyens et techniques utilisés en ingénierie sociale pourraient être mieux contrôlés, sans trop d’efforts et avec beaucoup de gros sens. La règle d’or étant de toujours faire preuve d’un jugement personnel, en considérant le respect des règles et des politiques de l’entreprise.
Il faut se renseigner sur l’identité de la personne (même lors d’une demande ponctuelle) ou ses antécédents (recrutement), prendre des références ou ses contacts. Dans la réalité, les entreprises se contentent d’ailleurs d’appliquer de la simple gestion des accès et n’ont pas encore intégré la gestion de l’identité au cœur de leurs stratégies de protection (les normes et réglementations ne donnent d’ailleurs pas encore suffisamment d’importance sur cet aspect).
Il faut vérifier les renseignements fournis et s’interroger sur la sensibilité des informations demandées. Sur ce point, les entreprises ne disposent pas encore de modèles de classification de sécurité efficaces et complets (couvrant le cycle de vie de l’information). En conséquence, elles connaissent encore mal la valeur de l’information, son importance et sa sensibilité à l’échelle globale de leurs organisations.
Quelles sont les priorités?
Les entreprises doivent mieux connaître les risques auxquels elles sont confrontées, compte tenu, notamment, de l’évolution constante de leurs activités, des marchés qu’elles ciblent et des menaces qui en découlent.
Ceci se traduit par l’établissement et le maintien d’un profil global de risque (approche intégrée et holistique de la sécurité de l’information), d’un modèle informationnel viable (appuyé par une classification de sécurité de l’information) et le positionnement d’une saine gouvernance en la matière, en considérant la sécurité de l’information comme une composante de la gestion des risques opérationnels.
De plus, l’ingénierie sociale restera efficace tant que les entreprises ne mettront pas en place des programmes adaptés de formation et de sensibilisation, c’est-à-dire découlant directement de leurs profils globaux de risque de sécurité de l’information. À ce titre, les programmes de sensibilisation actuels ne prennent pas ou trop peu en considération le volet de l’ingénierie sociale, ni des thèmes importants tels que la mobilité, par exemple.
Parmi les mesures souvent mal comprises et donc inadéquatement mises en place, il y a la ségrégation des tâches. C’est pourtant un aspect important qui est à l’origine de nombreux incidents de sécurité reliés à l’ingénierie sociale. La règle en la matière est toujours, en complément de contrôles automatisés, de bien mesurer la portée des processus encadrant les activités (couvre-t-on adéquatement ces activités?) et de s’assurer de la façon dont les personnes comprennent et utilisent ces processus (ceci contribue à renforcer la conformité aux règles de l’entreprise).
Un des enjeux qu’on observe depuis ces dernières années concerne également le juste équilibre que chaque entreprise trouve dans la mise en place de ses contrôles de sécurité (en mettre trop nuit à la sécurité, ne pas en mettre assez peut créer une exposition aux risques non acceptable). De plus, certains contrôles peuvent facilement être couverts par des technologies, de façon automatisée, ne laissant donc aucune place au jugement humain, mais d’autres, tout aussi importants, doivent nécessairement reposer sur la confiance que ces entreprises ont envers leurs employés. Ce dernier point impose d’appliquer de façon transparente des politiques adaptées, aux objectifs réalistes, et surtout de les communiquer par des programmes de sensibilisation récurrents.
Deux approches
Finalement – sans rentrer dans une autre discussion relative aux différents modèles de gestion d’entreprise – en l’absence des quelques bonnes pratiques en la matière, on retrouve souvent deux approches de sécurité aussi inefficaces l’une que l’autre :
– L’approche « poétique » qui vise à se poser des questions qui ne trouvent aucune réponse. Ce genre d’approche est retenu lorsqu’un haut niveau de consensus doit systématiquement accompagner chaque décision prise (souvent au sein de structures d’entreprise décentralisées);
– L’approche « philosophique » qui vise essentiellement à donner des réponses qui ne doivent en aucun cas être remises en question (autrement dit une approche dictatoriale souvent au sein de structure d’entreprise centralisée, mais en l’absence d’une vision globale et moyen long terme).
Il est toujours possible d’éviter de se retrouver dans l’une des approches précédentes, et il faut pour cela partir avant tout d’un portrait global de risque d’entreprise, découper son programme de sécurité en petits projets et cibler une portée limitée aux informations sensibles et aux activités clés.
On sait déjà que la crise actuelle va amener les entreprises à améliorer leurs modèles de gestion des risques opérationnels et l’ensemble des mécanismes de prise de décision et de divulgation (ex: imputabilité des dirigeants). Ceci est également à rapprocher de la tendance qui vise à ce que les lignes d’affaires gagnent de plus en plus en autonomie dans la gestion des informations dont elles sont responsables. Tout ceci a un prix, car chacun verra ainsi à rester sous contrôle des risques de sécurité qui pourraient être générés suite à une non-conformité aux règles de l’entreprise. Dans ce cas, cette notion d’imputabilité passe nécessairement, entre autres, par la redéfinition de la notion d’identité (qui fait quoi, pourquoi, etc.) reliée à des mesures de protection alignées à la classification de sécurité des informations.
Plus préoccupant qu’on ne le pense
Peu de statistiques sont disponibles sur le marché au sujet des pertes découlant de l’ingénierie sociale, car elle est rendue possible par l’accumulation, notamment, de manquements dans différents domaines de la sécurité. En ce sens, l’ingénierie sociale n’est pas une technique en elle-même, mais est issue de plusieurs techniques combinées les unes avec les autres (un peu comme les ingrédients à l’intérieur d’une recette de cuisine… Heureusement que tout le monde n’a pas des talents de cuisinier). Toutefois, il ne fait pas de doute que cette pratique occupe une place significative parmi les autres pratiques à l’origine de malveillance ciblant l’information.
Michel Fossé est directeur Services-Conseils, Sécurité & Continuité des Affaires chez IBM Canada.