Le mot de passe, seul, n’est pas une protection: petit cas pratique.

En tant que professionnel du web, vous mettez en place les meilleurs pratiques de sécurité afin de protéger vos données des attaques informatiques: chiffrement, mises à jour régulières de vos systèmes, revues de code, formation des développeurs, veille technologique et inspection régulières, etc.

Sauf qu’un jour, vous vous réveillez de mauvaise humeur car une partie de vos données sensibles ont fuité et se retrouvent sur pastbin. Vous êtes maintenant confronté à une opération de chantage. Avant de prévenir l’ANSSI, vous vous demandez ce qu’il s’est passé ?

Un pirate informatique, surement un russe ou un chinois, a exploité une vulnérabilité jusqu’à lors inconnue ?

Et bien non ! Ce n’est généralement pas ce qui se passe. On le voit chez nos clients. Notre pire ennemi est intérieur. Ce qui s’est passé est plus vicieux et moins technique qu’à Hollywood. L’affaire ne concerne pas que votre équipe technique.

Il y a trois semaines, le responsable RH (mettre ici tout autre fonction sensible) de votre société a été identifié sur les réseaux sociaux professionnels. Celui-ci a reçu un email hyper ciblé ne contenant même pas de charge virale. Sinon le couriel n’aurait pas passé les premières lignes de défense informatique de votre système d’information. De plus, cet email provenait d’un journal professionnel auquel votre collaborateur était abonné. En effet, falsifier l’email d’un expéditeur est malheureusement une chose très simple. A moins que ce média n’ait lui même été victime d’une intrusion informatique ? Au regard des menaces contemporaines, il faut bien prendre en comptes que sa propre sécurité dépend de la sécurité de ses partenaires — dixit Capitaine Flamme.

L’email d’accroche contenait simplement un lien vers une nouvelle plateforme rassemblant l’actualité et bonnes pratiques liées au métier de votre collaborateur. Elle a été mise en place par l’attaquant. Votre RH n’est pas sa seule cible. L’agresseur est organisé et souhaite rentabiliser ses efforts.

L’email de phishing informait simplement votre collaborateur qu’il pouvait tester gratuitement et en avant première la plateforme, puis de donner son opinion. Votre RH a alors créé un compte sur celle-ci et a communiqué le mot de passe qu’il utilise habituellement. 90% des internautes utilisent les mêmes mots de passe sur les plateformes web. Les faiblesses humaines de votre collaborateur ont été exploitées.

Le loup est entré dans la bergerie grâce à la connaissance du secret. Quelques jours après, l’agresseur a soigneusement analysé les opportunités de ce vecteur. Le mot de passe du RH a permit à l’attaquant d’accéder à énormément d’informations sur les employés, sur les contrats et sur les informations financières. Il a exflitré une petite partie, petit bout par petit bout, afin de ne pas éveiller les soupçons de vos systèmes. A ce stade vous ne savez pas la quantité d’informations sensibles extraites. La seule chose certaine, c’est que vous subissez un chantage et que votre maitre chanteur a prouvé qu’il possède bien des données sensibles de votre business.

Attaque sur l’humain au premier plan Les attaques reposant sur l’exploitation du facteur humain font partie des plus importantes menaces contemporaines. Ces typologies d’agressions informatique cherchent à exploiter l’humain, puis la technologie en second lieu. Elles sont de plus en plus ciblées. La peur, le désire, l’idéologie et l’égo sont des supports à ce type d’attaque.

Dans une étude récente la société Proofpoint a analysé 160 milliards d’emails envoyés à plus de 2400 entreprises dans 150 pays. Les experts ont constaté que la fréquence de ce type de menace s’intensifie. En moyenne ces entreprises sont ciblés par 18 emails frauduleux par trimestre. Soit une hausse de 17%. Il n’existe pas de lien entre la taille de l’entreprise, son attractivité et la fréquence d’attaque. Les agresseurs savent qu’ils vont obtenir des données sensibles et les monétiser à votre dépend.

Comment est-il possible d’éviter ce type de situation ? A ce jour, il est véritablement nécessaire d’analyser en temps réel le comportement des comptes de ses utilisateurs. Notamment ceux qui ont accès aux données sensibles. S’il est possible de le faire sur votre SI, nous recommandons d’activer la double authentification.

En parallèle, vous pouvez intégrer dans votre SI un produit de détection de compromission de comptes. Notre service FoxTrace répond à ce type de besoin. Dans le cas présent, il aurait été interessant que votre équipe technique déploie rapidement notre API de lutte contre les usurpations d’identité. Celle-ci aurait détecté les anomalies de connexion générées par l’attaquant. Par exemple s’il avait utilisé un dispositif inhabituel ou d’une région géographique anormale.

Vos systèmes auraient été alerté en temps réel d’une suspicion de fraude. Ils auraient bloqué la menace. Les données n’auraient jamais fuitées.