Evaluer la menace de l’ingénierie sociale

Fini le mail d’un ami qui a perdu ces bagages et qui vous demande de lui virer de l’argent sur un compte PayPal. La cible des entreprises permet des gains plus importants. Pourquoi l’hackeur va passer du temps à déjouer des protections techniques élaborés alors que l’humain peut lui ouvrir les portes. L’ingénierie sociale dans ce cas consiste à manipuler ou tromper une ou des personnes d’une entreprise pour introduire un malware qui provoquera du rançonnage.

Comprendre la mécanique de l’intrusion.

Tout commence par Kahneman, le prix Nobel d’économie et ces recherches en psychologie sur la prise de décision du cerveau. En fait Kahneman distingue deux systèmes de décision le système 1 et le système 2. Le système 1 va répondre le premier car il demande moins de ressource au cerveau et si vous accumulez des questions avec le système 1, vous n’engagerez pas le système 2 qui lui implique une réflexion. Par exemple si je pose comme question 2+2 vous répondrez facilement, la capitale de la France c’est aussi facile puis X+Y =110 mais X est 100 fois plus grand que Y si vous répondez avec le système 1 : 100+10 =110 alors que la bonne réponse est 105+5=110 mais seulement vous devez mener une réflexion. Si je transpose à un mail, vous ouvrez le mail, vous télécharger le PDF en PJ, vous lisez le document et dans votre lecture vous cliquez sur un lien pour en savoir plus toujours en mode système 1 sauf que vous venez de télécharger un morceau de code malveillant qui ne sera pas détecté par votre antivirus car inoffensif.

Scénario d’une attaque par ingénierie sociale

Votre société recherche des candidats et vous disposer d’un site web avec une adresse mail pour envoyer une candidature. Vous ouvrez une porte idéale pour les hackers puisqu’un inconnu peut vous envoyez un CV qui peut inclure un lien malveillant. Facile de trouvez un CV sur LinkedIn qui correspond à votre recherche. En toute logique votre adresse mail est lisible par votre responsable RH sur son poste de travail au même niveau que son adresse personnelle et soyons fou elle est aussi en lecture sur d’autres ordinateurs de collaborateurs. Vous donnez à l’hackeur une porte idéal pour introduire un malware dans votre réseau. Le bout de code téléchargé sur votre ordinateur se déclenchera sur une date, une action sur votre navigateur ou un site que vous consulterez peu importe car il va télécharger le cryptolocker lui-même déjà crypté pour tromper votre antivirus. Il se décrypte dans votre RAM. Puis Il commence à crypter vos documents sur votre poste après il continue sur les partages et si vous disposez de droits élevés les dégâts sont considérables.

Reste à payer la rançon ou reformater tous les pcs et recharger les data des serveurs partagés sans certitude que le malware ne réapparaisse pas car le code d’importation peut être attaché à un fichier sur le serveur partagé.

Piste pour la prévention

Toujours se méfier d’un mail d’un inconnu. Réflexion en système 2 obligatoirement
Toujours relire l’adresse de redirection ainsi que l’extension qui termine l’url.
Déposer sur les sites qui demande votre adresse mail public éviter votre adresse pro.
Mettre à jours toutes les applications, système d’exploitation et antivirus.
Ce n’est pas parce que j’ai un Mac ou je suis sur linux que je suis en sécurité.
Former continuellement tout le personnel de l’entreprise au risque.
Limiter les droits des utilisateurs du réseau.
Mettre en place des machines virtuelles sur un poste de travail pour des opérations différentes ( consultation de sa messagerie, projet sur des data confidentielles ou avec des accès à des sites sécurisés, navigation sur le web). Les machines virtuelles peuvent avoir accès ou pas au réseau à internet. Mais cette solution demande des postes de travail très puissants et une installation longue et minutieuse.
Recevoir les mails d’inconnu comme les candidatures sur un ordinateur hors réseau relié à internet avec une clé 4G.

Pour conclure

Les ransomwares touchent pour l’instant de puissantes entreprises avec de nombreux utilisateurs mais la simplicité de mise en place et les gains obtenus incitent à la multiplication de ce type d’attaque. Il faut bénéficier de l’expérience des autres entreprises et mettre en place une politique rigoureuse sur la sécurité informatique tout en sachant qu’une faille est toujours possible mais que tous les moyens auront été engagé pour cela n’arrive pas.