Sous de faux prétextes, des pirates informatiques s'infiltrent en personne dans les entreprises.
Sous de faux prétextes, des pirates informatiques s'infiltrent en personne dans les entreprises.
Tous les pirates informatiques ne se servent pas forcément d'un clavier et d'une souris pour obtenir des accès privilégiés dans des entreprises. Ils peuvent aussi recourir à une méthode aussi vieille que le monde: le mensonge. En version techno, ça s'appelle «l'ingénierie sociale».
Au début du mois, les employés d'une banque américaine ont trouvé des clés USB abandonnées dans leur cafétéria et leur stationnement. Poussés par la curiosité, ils les ont branchées à leurs PC sans savoir qu'elles contenaient un «cheval de Troie» qui a envoyé leurs mots de passe et autres informations à des pirates.
Au Japon, la banque Sumitomo Mitsumi a failli être victime d'une attaque informatique majeure après avoir laissé entrer une équipe de «nettoyeurs» équipés d'outils de capture de frappe (keyloggers) qu'ils ont installés sur les PC des employés.
Ces entreprises avaient investi dans de coûteuses technologies de sécurité informatique, mais elles ont fini par céder à la bonne vieille manipulation.
«L'ingénierie sociale» repose sur le principe que le maillon le plus faible d'un réseau informatique est l'être humain. Plutôt que de chercher les vulnérabilités technologiques d'un réseau, les pirates en contactent directement les responsables pour les piéger à coup de charme et de culot.
Sharon Conheady, spécialiste de cet art diabolique, va livrer quelques-uns de ses secrets au congrès de «bidouilleurs» Recon, ce week-end à Montréal (1). Membre de «l'équipe d'attaque et de pénétration» de la division technologique de Ernst & Young à Londres, elle est payée pour pirater ses clients, afin d'établir les points faibles de leur système de sécurité.
«Je suis douée pour ça depuis que je suis née», nous a-t-elle dit en entrevue au téléphone. «Je parle beaucoup, ça aide!»
«L'ingénierie sociale consiste à tromper des individus pour nous donner de l'information technique, explique-t-elle. Il y a une phase de reconnaissance de la cible, durant laquelle je crée un scénario qui me permettra d'obtenir ce que je veux, qu'il s'agisse de mots de passe, ou d'information sur des nouveaux produits de l'entreprise. Les méthodes changent pour chaque attaque.»
Sa préférée: le rôle de l'étudiante venue faire un sondage auprès des cadres de l'entreprise pour ses recherches.
«Ce rôle me permet d'obtenir un accès physique dans l'entreprise, sans avoir à m'occuper de la réceptionniste ou des gardiens. Une fois que je suis dans les bureaux, je n'ai plus à me soucier des pare-feu, je peux accéder directement au réseau informatique.»
«En général, je passe une entrevue avec ma cible, en jouant mon rôle comme si de rien n'était. Après l'entrevue, je suis libre d'errer dans l'édifice. Les gens devraient escorter leurs invités jusqu'à la sortie, mais la plupart du temps, ils ne le font pas. S'ils le font, un autre membre de mon équipe reviendra dans un autre rôle.»
Les employés font trop confiance
Recherche, imagination et improvisation sont les trois qualités de l'«ingénieur social», selon Mme Conheady. «On voit de plus en plus de pirates utiliser ce genre de méthodes. Avec les progrès de la sécurité informatique dans les dernières années, c'est devenu plus facile de simplement entrer dans un édifice.»
Mais une entreprise, qui veut préserver ses secrets, n'a-t-elle pas des politiques strictes concernant ses visiteurs? «Par nature, les humains sont curieux et prompts à la confiance», dit-elle non sans malice.
C'est pourquoi, dans les conférences comme celle qu'elle prononcera dimanche à Montréal, Mme Conheady donne aussi des conseils aux entreprises qui voudraient mieux se protéger contre les filous comme elle. «C'est embarrassant de demander à quelqu'un qui il est, mais on devrait le faire plus souvent. Encore ce matin, un inconnu est passé devant mon bureau et je lui ai demandé gentiment qui il était.»
Selon elle, les principales recettes pour se protéger sont d'abord d'éduquer les employés sur l'existence et les méthodes de l'ingénierie sociale, en leur donnant des méthodes pour tester l'authenticité des inconnus qui les visitent ou leur téléphonent. Ensuite, il faut éviter de laisser des connexions réseau librement accessibles dans un édifice, particulièrement dans les salles de réunion.
Évidemment, les bons vieux documents en papier doivent aussi être soigneusement dissimulés ou détruits, puisque les ingénieurs sociaux sont connus pour fréquenter abondamment les poubelles des entreprises. Enfin, il ne faut pas faire confiance à tous les courriels qu'on reçoit par Internet, si on veut prévenir la forme la plus récente et la plus néfaste d'ingénierie sociale, le phishing (ou «hameçonnage»), qui coûte chaque année des millions de dollars aux entreprises.
Le besoin d'éducation est grand, puisque dans un sondage effectué par la firme Infosecurity auprès d'employés à la station de métro Waterloo de Londres, 90% des sondés ont été prêts à dévoiler leur mot de passe d'entreprise en échange... d'un stylo en plastique. Parmi eux, 12% utilisaient «password» comme mot de passe, et 16% leur propre nom.
(1) Congrès Recon 2006, du 16 au 18 juin à l'hôtel Plaza Centre-Ville, 505, rue Sherbrooke Est. Informations (en anglais): www.recon.cx