Facteur humain : le maillon faible ? GESTION DES RISQUES L’informatisation et l’automatisation sont censées améliorer la sécurité au sein des entreprises. L’intervention humaine reste néanmoins bien présente au sein des procédures d’accès aux informations. Or, c’est justement à ce niveau que réside le danger. Nous pouvons commettre des erreurs par méconnaissance ou par négligence, mais nous pouvons aussi être victimes d’ingénierie sociale. L’ ingénierie sociale est vieille comme le monde. L’un des exemples les plus anciens est sans doute l’épisode du cheval de Troie dans la mythologie grecque. En se cachant dans un grand cheval de bois offert aux Troyens, des guerriers grecs sont parvenus à pénétrer dans la cité homérique et s’en emparer. Le nom de l’équidé de bois a d’ailleurs été repris dans notre ère cybernétique pour désigner une catégorie de logiciels malveillants. En 2007, un homme est parvenu à dérober de 21 millions d’euros de pierres précieuses dans la salle des coffres de la banque ABN Amro, au cœur du quartier des diamantaires à Anvers. Le voleur a mis plus de deux ans à préparer son coup. Devenu un habitué de l’institution financière, il était peu à peu parvenu à gagner la confiance du personnel. Sous ses airs d’honnête gentleman, l’Arsène Lupin offrait du chocolat aux employés et leur laissait des pourboires généreux. Le gentil client et son joli butin n’ont jamais été retrouvés… Ce genre de scénario est exceptionnel mais illustre toutefois une constante dans le modus operandi des usurpateurs : gagner la confiance des victimes potentielles. Cette technique est aujourd’hui fort répandue sur la toile. Qui n’a jamais reçu un e-mail de son fournisseur de messagerie électronique lui demandant d’envoyer le mot de passe de son compte pour éviter la suppression de celui-ci ? C’est un exemple classique de phishing. En 2011, un escroc a ainsi réussi à se faire payer 8 millions de dollars par le magazine Vogue en se faisant passer pour son imprimeur, grâce à un simple e-mail indiquant un changement de numéro de compte en banque ! Il a finalement été arrêté… L’approche peut être plus sournoise : dans l’e-mail, un lien dirige vers une page semblable à celle de la société digne de confiance. L’utilisateur est alors invité à encoder des 26 BECI - Bruxelles métropole - décembre 2016 informations personnelles qui seront enregistrées par le cybercriminel. Ou pire encore : je suis contacté par un prétendu fournisseur de mon entreprise ; il m’invite à déjeuner et parvient à m’extorquer des informations confidentielles... La préparation Pour séduire sa proie, l’escroc utilisera tous les moyens de communication à sa disposition : e-mail, courrier, rencontre, téléphone, voire systèmes vocaux interactifs... Mais il doit d’abord se préparer minutieusement pour réussir son coup. Le malfaiteur doit donc avant tout très bien connaître sa victime. Les réseaux sociaux constituent une très bonne source d’information en la matière. On peut en effet y trouver le nom, l’email, le numéro de téléphone, les contacts, ou encore les centres d’intérêt de la personne visée. L’usurpateur choisira donc de préférence des individus jeunes, peu formés ou socialement marginalisés. Ou justement des personnes plus âgées, généralement moins à l’aise avec les nouvelles technologies. Si cela ne suffit pas, le voleur peut avoir recours à la fouille des poubelles, à des sondages téléphoniques, des entretiens d’embauche ou même à une écoute passive dans les lieux publics. Une fois toutes les informations collectées, l’ennemi peut passer à l’attaque. L’attaque L’entreprise française Digital Network a publié un manuel décrivant les techniques de persuasion psychologique utilisées par le cyber criminel. L’approche typique se résume à la phrase suivante : « Laissez-moi vous aider ». Ceci met la personne en confiance car on a toujours tendance à vouloir renvoyer l’ascenseur à celui qui nous rend service. La deuxième approche, plus pernicieuse, est du type «Pouvez-vous m’aider ? ». Il est en effet gratifiant de seconder quelqu’un et de se sentir remercié et valorisé. Vient ensuite l’argument d’autorité. Dans les grands groupes et les administrations, Julien Ide © Thinkstock
29 Online Touch Home