Parmi les 135 personnes ciblées à partir du classement du magazine Fortune 500 pour mesurer leur capacité à résister aux pirates en ingénierie sociale, seules cinq ont refusé de livrer une quelconque information sur leur entreprise. Et devinez quoi? Toutes sont des femmes. C'est l'une des données que les organisateurs du concours qui s'est tenu pendant la conférence Defcon sur le piratage informatique le mois dernier, et largement médiatisé depuis ont recueilli. Cette semaine, ils se sont même déplacés à Washington pour un debriefing au siège du FBI pour y exposer ce qu'ils ont appris. Et ils devraient publier le détail de leur rapport la semaine prochaine.
Au cours de l'événement qui s'étalait sur deux jours, les participants, isolés dans une cabine en plexiglas plantée au milieu du public, se sont focalisés sur 17 grandes entreprises, dont Google, Wal-Mart, Symantec, Cisco Systems, Microsoft, Pepsi, Ford et Coca-Cola. Leur mission : appeler les employés pour essayer de leur soutirer des informations. "Ils ont obtenu de très bons résultats," a déclaré Chris Hadnagy, l'un des organisateurs. Une seule entreprise n'a pas divulgué les informations que les participants tentaient d'obtenir, et pour cause : ils n'ont jamais pu avoir directement accès à un interlocuteur physique au téléphone. "Si nous avions été mandatés par ces entreprises pour mener un audit de sécurité en matière d'ingénierie sociale, presque toutes auraient obtenu de mauvais scores," a ajouté Chris Hadnagy. Les participants n'étaient pas autorisés à demander des informations vraiment sensibles comme des mots de passe ou des numéros de sécurité sociale. Mais ils ont essayé de trouver des informations susceptibles d'être détournées par la suite par des attaquants potentiels, comme quel système d'exploitation, quel type de logiciels antivirus ou de navigateur Internet utilisaient leurs victimes. Ils ont également essayé de pousser leurs interlocuteurs à se connecter à des pages web non autorisées. Parmi les découvertes intéressantes, ils ont pu établir que la moitié des entreprises contactées utilisaient encore Internet Explorer 6, un navigateur pourtant réputé pour présenter de graves failles de sécurité. Autre découverte: les candidats ont toujours réussi à amener les employés à visiter un site web externe ouvert pour les besoins du concours. Les résultats montrent que la sécurité des entreprises, même les plus sûres, peut être sapée par des salariés qui font ce qu'ils ne devraient pas faire ou disent ce qu'ils ne devraient pas dire.
Apprendre à résister aux appels inquisiteurs
Et les menaces sont réelles, selon Christopher Burgess, expert en sécurité chez Cisco, l'une des sociétés visées par les candidats. "Dans la vie réelle, de nombreuses entreprises reçoivent en permanence de faux appels où s'exerce un art raffiné de la collecte d'informations," a-t-il déclaré. "Comme ces individus qui appellent Cisco, affirmant que leurs systèmes sont en panne et qu'ils se trouvent dans une situation d'urgence, pour amener les employés à donner des informations qu'ils ne devraient pas donner," raconte t-il. "Notre personnel est formé pour apprendre que l'ingénierie sociale est un moyen que certains utilisent pour manipuler les autres et les amener à effectuer des actions ou à divulguer des informations sensibles." Cisco a rendu publiques un bon nombre de ces formations, de façon à permettre à d'autres entreprises à tirer les leçons de cette expérience acquise depuis plusieurs années. Pour Christopher Burgess, les résultats du concours montrent d'abord que le processus de formation ne doit jamais s'arrêter. "On ne peut pas tout expliquer une fois pour toute et disparaître," a-t-il estimé. "Il faut faire en sorte que cette formation reste toujours active et présente." Beaucoup de candidats ont obtenu leurs informations en prétendant être des experts spécialisés dans les audits ou des consultants qui réalisaient des enquêtes. Selon lui, les employés doivent savoir démasquer ces tentatives. "Si j'ai appris une chose de ce test, c'est que la meilleure défense est de former tous les membres de son personnel à identifier la personne avec laquelle ils parlent, s'ils ne reconnaissent pas sa voix, avant d'échanger une quelconque information concernant l'entreprise." Celui-ci n'a pas voulu expliquer pourquoi toutes les personnes qui ont su faire opposition aux candidats étaient des femmes.
Les femmes sont plus prudentes
Pour Chris Hadnagy cependant, différentes attaques marchent contre des personnes différentes. Et peut-être que les techniques d'ingénierie sociale utilisées par les concurrents du concours Defcon n'étaient pas forcément bien choisies. "Les cinq femmes se sont comportées de manière admirable," a-t-il déclaré. "Après les 15 premières secondes, elles disaient : cela ne me semble pas correct, et mettaient un terme à l'appel, " a-t-il expliqué. Ce qui n'a pas été le cas de leurs collègues. "Sans doute, elles ont été sensibilisées à la question de la sécurité pendant leur formation," a-t-il dit. "Cela peut aussi tenir au fait que tous les participants étaient des hommes, et je pense que, fondamentalement, les femmes sont plus prudentes," a-t-il ajouté. "Moins de la moitié des 135 personnes appelées pour les besoins du concours étaient des femmes," a encore précisé l'organisateur.
Jonathan Ham, consultant en sécurité au sein du Groupe Lake Missoula qui effectue des tests en ingénierie sociale pour des sociétés de services financiers, constate que "trois des cinq femmes qui ont mis rapidement fin à leur conversation avec les concurrents étaient des cadres," ajoutant que "les cadres de sexe féminin, plus méfiantes, sont souvent les moins susceptibles de se laisser prendre à des attaques d'ingénierie sociale." Lors d'une prochaine étape de l'expérience et de la formation, "j'essaierai d'éviter les femmes et de parler au téléphone avec des hommes, si je peux," a-t-il suggéré.
Crédit photo ; Defcon