Suite et fin de l'interview de Michel Iwochewitsch, Directeur associé de Strateco.
Selon vous, dans le cadre des tests de pénétration réalisés dans le cadre de la sécurité, peu d'actions développent une approche des "failles humaines". Pourquoi ?
1. Peu d’opérateurs informatiques sont formés à l’exploitation systématique des failles humaines en dehors de leurs domaines de compétences
2. Les entreprises restent « frileuses » sur ce sujet pour ces raisons essentielles :
a. Les tests de pénétration reposant sur l’humain sont souvent déstabilisants pour les employés ! En effet, il s’agit en somme de provoquer des erreurs de ces employés pour en exploiter les résultats. Ils ne peuvent donc être réalisés que dans un cadre éthique strict comprenant au minimum l’anonymat des employés ciblés (sauf cas de détection d’un acte illégal évidemment !)
b. Les tests des failles humaines ne peuvent reproduire intégralement une séquence de recrutement de type espionnage industriel ! Il serait amoral de « provoquer » un employé au point de mettre en place une séquence de recrutement ! 1-parce que cela serait pousser à la faute un individu volontairement fragilisé ; 2-au-delà des conséquences juridiques d’un tel acte, comment l’entreprise et l’employé pourrait encore collaborer ensemble ?
c. Les croyances comme « cela n’arrive qu’aux autres » et « nous ne sommes pas un secteur sensible » qui est une hérésie pour de multiples raisons !
d. Le fait médiatique qui présente des cas extrêmes, souvent très éloignés de la réalité des opérations des prédateurs (quelques exemples présentés ci-dessus)
Là encore, et contrairement à un avis général, des contre-mesures simples - et peu coûteuses - permettent de « bloquer » la majorité des attaques via les failles humaines. Que ces dernières découlent de social engineering ou des approches plus sophistiquées mise sen œuvres par certains SR et spécialistes du renseignement industriel.
Avez-vous, néanmoins, noté une évolution (une prise de conscience des entreprises) ces dernières années ?
Il existe une nette prise de conscience des managers sur ces risques ! En particulier sur les cadres supérieurs qui sont généralement « sous microscope » officiel ou autres au cours des déplacements. Je note ainsi un fort développement des formations de « contre-elicitation » pour permettre aux cadres de détecter des actions préliminaires contre eux.
Néanmoins, je constate également que seules les entreprises dites « stratégiques » (défense, aéro, pharmacie, biotech, etc.) sont sensibilisées ! Je pense qu’il s’agit là d’une hérésie pour de multiples raisons :
- Plus l’entreprise a de concurrents plus elle a de risque qu’un individu peu scrupuleux face appel à des méthodes de renseignement industriel ;
- Une entreprise peut être « ciblée » simplement parce qu’elle est plus fragile à la pénétration et travaille en sous-traitance en N-2 N-3 pour un groupe sensible (méthodo typique des prédateurs les plus agressifs) ;
- Une entreprise peut être ciblée car elle donne accès à des informations sensibles sur des individus qui intéressent le prédateur ! Quelques exemples simples loin d’être exhaustifs :
o Le conseiller clientèle dans une banque qui dispose d’informations concernant l’utilisation des CB des individus cibles et de leurs trains de vie,
o
o L’opérateur d’une agence de voyage qui sait ou et quand un individu se déplace ;
o Des PME ayant un produit outdaté mais pouvant intéresser les SR d’un pays du tiers-monde ;
o Des PME vendant des produits pouvant être exploités par des prédateurs pour de la collecte agressive. Par exemple :
§ Des systèmes de visioconférence,
§ Des installations téléphoniques en PABX,
§ L’outsourcing de la maintenance des PC,
§ Des produits événementiels (voilure et stand) : un exemple que j’ai personnellement audité a été celui d’une société fabriquant des stands et qui avait été ciblé simplement car le degré d’activité de production et le nom des clients permettaient de connaitre en « avance de phase » les manifestations d’un concurrent sensible,
§ Les pizzaiolos devenus célèbres lors de la guerre du Golfe car les journalistes analysaient l’augmentation des commandes de pizzas nocturnes vers le Pentagone et
Les sociétés anglo-saxonnes sont-elles plus sensibilisées par ce genre d’attaque que les entreprises françaises ?
En France : les cadres sont sensibilisés à ces risques compte tenu du nombre de menaces dans ce domaine qui les concernent directement ! Ainsi, comme je le soulignais, de plus en plus de sociétés nous demandent de protéger les cadres en les éveillant aux méthodes des prédateurs. L’objectif numéro 1 est de les aider à détecter ces tentatives. Le second objectif est de les doter d’un corps de techniques de contre-elicitation les rendant nettement moins vulnérables tout en pouvant – ce qui est essentiel – maintenir des relations business. La discrétion dans la détection et la contre-élicitation est donc essentielle !
Rechercher et exploiter les failles humaines impliquent une importante organisation logistique (dans MISC 36, vous parlez de « l’agent acquisition process ») et beaucoup de temps (six mois environ). Mais, rechercher et exploiter des failles de logiciels prend moins de temps et le résultat peut être aussi efficace ?
Oui et non ! En effet, les failles logicielles et de réseaux peuvent être plus simples à exploiter ! Mais :
1-l’humain sait beaucoup plus de choses que les informations formalisées sur des supports électroniques ;
2-une source humaine dans le cadre du renseignement industriel est plus longue à développer mais permet d’obtenir un flux permanent de données à analyser !
3-l’avantage d’une approche humaine est sa redoutable discrétion ! Très peu de cas finissent par être connus ! Voir sont volontairement étouffés par l’entreprise par peur d’un risque d’image (ex : très peu de détournements de fonds dans le milieu financier font l’objet de déclaration sous ce nom ! Les établissements préfèrent généralement les considérer comme des « misdirections » plutôt que d’admettre une fragilité auprès de la clientèle.
Par ailleurs, attention à l’exemple du AAP présenté dans l’article : il s’agit d’un cas d’école (réel inspiré de 2-3 cas sur le terrain) démontrant la méthodologie habituelle de ces prédateurs ! La durée indiquée est une durée moyenne. Il est évident que dans un cas simple, une seule source aurait suffit !
De plus, il s’agit d’un process de recrutement sur le long terme de sources humaines au sein d’une entreprise. Ce process est celui utilisé par les SR, les groupes transnationaux de criminalités organisés, et les spécialistes du renseignement industriel LORSQUE le « jeu en vaut la chandelle » !
Accéder au password d’un individu, récupérer un numéro de carte bleue pour « suivre » les déplacements d’un individu, ou encore obtenir la copie d’un mémo interne, sont des actions de collecte qui ne nécessitent que peu de temps de préparation et d’exécution ! C’est par exemple, la spécificité du social engineering ou des approches d’élicitation des SR. Quelques jours à peine sont nécessaires pour ces genre d’opération « one-shot ».
Maintenant, à titre d’anecdote, il est considéré dans les milieux spécialisés que les opérateurs du SVR et du GRU (très actifs dans les entreprises), considèrent qu’un seul individu dans une grande société est suffisant pour compromettre l’ensemble des informations de celle-ci s’il est bien formé ! Par ailleurs, on considère que ces deux SR « possèdent » une source dans chaque grande entreprise transnationale …
Et ne parlons pas des SR chinois ! Ou de ceux de nos alliés politiques très actifs également …
· « piraté » à partir du PC et/ou du réseau,
· Récupérer par un opérateur humain (de multiples méthodes existent allant de la technique de l’éléphant des SR, à une analyse de fréquence des touches)
· Lu sur un post-it à côté du dit-PC (semble inconcevable et pourtant encore si fréquent : l’’exemple type est le password du cadre sur le bureau ou dans l’agenda de la secrétaire ! Sic !)
· Eliciter auprès de l’individu lors d’une virée dans un bar (parce que ce dernier utilise le même password pour tous ses comptes privés et pro)
· Eliciter auprès des membres de sa famille
· « Deviner » en créant une liste de mots clés concernant la biographie de l’individu et ensuite passer dans un outil de génération de password,
· Reconstruit à partir des touches et retrouver avec l’aide de générateur d’anagrammes,
· Etc .
- Selon vous, dans le cadre des tests de pénétration réalisés dans le
cadre de la sécurité, peu d'actions développent une approche des "failles humaines". Pourquoi ?
Les raisons principales selon mon expérience sont :
1. Peu d’opérateurs informatiques sont formés à l’exploitation systématique des failles humaines en dehors de leurs domaines de compétences
2. Les entreprises restent « frileuses » sur ce sujet pour ces raisons essentielles :
a. Les tests de pénétration reposant sur l’humain sont souvent déstabilisants pour les employés ! En effet, il s’agit en somme de provoquer des erreurs de ces employés pour en exploiter les résultats. Ils ne peuvent donc être réalisés que dans un cadre éthique strict comprenant au minimum l’anonymat des employés ciblés (sauf cas de détection d’un acte illégal évidemment !)
b. Les tests des failles humaines ne peuvent reproduire intégralement une séquence de recrutement de type espionnage industriel ! Il serait amoral de « provoquer » un employé au point de mettre en place une séquence de recrutement ! 1-parce que cela serait pousser à la faute un individu volontairement fragilisé ; 2-au-delà des conséquences juridiques d’un tel acte, comment l’entreprise et l’employé pourrait encore collaborer ensemble ?
c. Les croyances comme « cela n’arrive qu’aux autres » et « nous ne sommes pas un secteur sensible » qui est une hérésie pour de multiples raisons ! (je détaille dans la question 4)
d. Le fait médiatique qui présente des cas extrêmes, souvent très éloignés de la réalité des opérations des prédateurs (quelques exemples présentés ci-dessus)
Maintenant, et contrairement à des images d’Épinal concernant les tests de failles humaines, il est parfaitement possible de tester les failles les plus courantes selon un protocole aussi rigoureux que pour les failles informatiques ! Une différence essentielle entre les deux familles de tests découle du fait que les tests de failles humaines restent ANONYMES pour protéger individuellement des employés provoqués, ET font l’objet de séances de sensibilisation auprès de l’ensemble des employés pour mettre en place un système de protection contre ces failles ! Il est d’ailleurs intéressant de constater que lors de ces séances de sensibilisation, de nombreux employés ont des anecdotes de coup de fils curieux mais qui n’ont JAMAIS été remontés à la direction de la sécurité.. Souvent parce qu’aucune hotline n’existe pour cela !
Là encore, et contrairement à un avis général, des contre-mesures simples - et peu coûteuses - permettent de « bloquer » la majorité des attaques via les failles humaines. Que ces dernières découlent de social engineering ou des approches plus sophistiquées mise sen œuvres par certains SR et spécialistes du renseignement industriel.
Aucun commentaire:
Enregistrer un commentaire