Le facteur humain : maillon faible ou atout pour la sécurité ?

Stanislas QuastanaArchitecte infrastructurehttp://blogs.technet.com/stanislas Microsoft France

Cyril VoisinChef de programme Sécuritéhttps://blogs.technet.com/voy

Pas simplement des technologies…

Les 3 facettes de la sécurité

Architecturesécurisée

Technologies

OS

Annuaire

Correct

ifs

IPSEC

Kerberos

PKI

Chiffrement

de fichiers

SSL/TLS

Clu

sters

Déte

ction

d’in

trusio

n

Gestion de systèmes

SupervisionPare-feu

Antivirus

PersonnesAdmin.de l’Entreprise Adm

in.

Du Dom

aine

Service/

Support

DéveloppeurUtilisateur

ArchivagePolitiqued’accès

Inst

alla

tion

Réparation

Ges

tion

de

s

évén

emen

ts

Gestion desperfs

Gestio

n du

Changement /

de la C

onfiguratio

n

Proc

essu

s

Restauration

Sauvegard

eRéponse à Incident

Éval

uation

de ris

ques

L’huma in

« Vous êtes le maillon faible ! »

Qu’est-ce que l’ingénierie sociale ?

L’ingénierie sociale (ou “social engineering”) : menace souvent sous estimée mais régulièrement exploitéepour tirer parti du maillon faible de la chaîne de la sécurité : l’être humain

Forme de manipulation Art de faire en sorte que les personnes se conforment à vos souhaitsExploite les faiblesses du comportement humain (ignorance, naïveté, désir de se faire apprécier ou reconnaître…)

Pourquoi l’ingénierie sociale ?

La manipulation, une fois maîtrisée, peut être utilisée pour obtenir l’accès à tout système en dépit de la qualité du matériel et des logiciels présents Certainement l’attaque la plus difficile à contrer car aucune technologie n’est en mesure de l’arrêterMotivation : gain financier, collecte d’information, revanche, espionnage industriel, ….

Un exemple

“In 1994, a French hacker named Anthony Zboralski called the FBI office in Washington, pretending to be an FBI representative working at the U.S. embassy in Paris. He persuaded the person at the other end of the phone to explain how to connect to the FBI's phone conferencing system. Then he ran up a $250,000 phone bill in seven months.”

Bruce Schneier. “Secret and Lies”.

Pas uniquement dans les livres….

Le cycle d’une attaque par manipulation

1. Collecte d’infos

2.Développemen

t relationnel

3.Exploitati

on

Les différentes approches psychologiques

Diffusion de la responsabilité« Le chef dit que vous ne serez pas tenu responsable… »

Possibilité d’obtention de bonnes grâces« Regardez ce que vous pouvez en tirer comme bénéfice »

Obligation morale« Vous devez m’aider »

Culpabilité« Quoi? Vous ne voulez pas m’aider !? »

Relations de confiance« C’est quelqu’un de bien, je peux lui faire confiance »

Identification « Vous et moi, on se comprend tous les deux »

Désir d’aider« Pourriez-vous me tenir la porte svp, je suis chargé »

Coopération« A deux, on ira plus vite »

Vecteurs d’attaques

Il existe plusieurs vecteurs d’attaques possibles pour un manipulateur :

1. Internet2. La téléphonie3. L’approche directe4. Le reverse social engineering5. La fouille des poubelles

Chacun de ces vecteurs peut être utilisé pour exploiter une « des failles » humaines présentées précédemment et combiné avec d’autres vecteurs

1-Attaques via Internet

Courrier électronique : PhishingSpear PhishingScamPièce jointe malveillante

Messagerie instantanéeFaux site WebLogiciel malveillantBoite de dialogue et fenêtre pop-up

2- Attaques au travers du téléphone

Le téléphone est un média particulièrement apprécié par les manipulateurs car c’est un outil de communication très commun mais surtout très impersonnel  La plupart du temps, on ne connait pas la voix de toutes les personnes de l’entreprise et on fait confiance à l’identité affichée sur le combinéAvec l’adoption croissante de la VoIP, les cas d’usurpation d’identité vont être de plus en plus fréquents permettant là encore des attaques par ingénierie sociale

3- L’approche directe

La majorité des gens considèrent que toutes les personnes qui leur parlent sont de bonne foi. Ceci est intéressant car c’est également un fait que la plupart des gens admettent parfois mentirLa plus simple des méthodes utilisées par un manipulateur consiste à demander directement l’informationPour cela, plusieurs types d’approches sont possibles :

L’intimidationLa persuasionL’assistance..

4- Le reverse social engineering

Le reverse social engineering (RSE) est une situation dans laquelle la victime fait l’approche initiale. Dans ce cas de figure, le manipulateur est perçu comme une aide par sa cible. Ainsi, il paraît naturel pour la cible de poser des questions mais également de donner de l’information.Une attaque en RSE est le plus souvent décomposée en 3 phases :Sabotag

eMarketin

g Support

5- La fouille des poubelles

Les poubelles de toute entreprise peuvent se révéler une mine d’informationsLa plupart des employés considèrent en effet qu’une personne qui connaît beaucoup de choses sur l’entreprise et qui utilise le vocabulaire interne est un vrai employéEt que trouve-t-on dans les poubelles ?

Les vieux annuaires téléphoniquesLes organigrammes Des procédures et autres manuelsDes calendriersDes courriers électroniquesDes brouillons de documents…

Comportements susceptibles d’attaquesCiblage de spécificités naturelles de l’être

humainAttributs naturels (Pourquoi)

Tactique (Comment)

Confiance Approche directe, expert technique

Désir de venir en aide Approche directe, expert technique, voix de l’autorité

Désir d’avoir quelque chose gratuitement

Cheval de Troie, chaîne de messages électroniques

Curiosité Cheval de Troie, ouverture de pièce jointe d’un expéditeur inconnu

Peur de l’inconnu ou de la perte de quelque chose Fenêtre popup

Ignorance Fouille de poubelles, approche directe

Négligence Fouille de poubelles, espionnage, écoutes

L’humain : un atout pour la sécurité !?

Le facteur humain en SSI

Faut-il éliminer l’humain ? La sécurité serait-elle meilleure sans implication humaine ?NON, la solution pour une meilleure sécurité n’est pas nécessairement technique– La cause de la plupart des incidents de sécurité est

liée à des erreurs de management, de confiance aveugle des technophiles dans leurs solutions, manque de sensibilisation et de formation, …

Le facteur humain en SSI

Différence entre sécurité voulue et réelle due à une transgression des règles ou à une violation de la politique de sécurité

Études en sécurité, fiabilité et ergonomie : hiérarchisation des priorités Donc, pas nécessairement de volonté malveillante, mais adaptation des règles pour atteindre un but en présence de contraintesIl faut donc améliorer l’ergonomie pour aligner les règles et les objectifs

L’humain et la complexité

Les systèmes d’information sont complexesLa complexité ne peut pas être gérée par un automate à états finis (qui ne peut faire que ce pourquoi il a été conçu)Seul l’esprit humain est capable d’appréhender les situations complexes

Ainsi, la nature imprévisible et fondamentalement irrationnelle de l’humain peut être le pire cauchemar du RSSIMAIS dans une situation imprévue, c’est un atout irremplaçable

Le facteur humain en SSI

La SSI (sécurité des systèmes d’information) relève de la gestion des risques (prise de décisions)La SSI est le domaine des choix non déterministesUn système technique ne peut pas piloter la SSI, des personnes le peuvent

SANS HUMAIN, PAS DE SECURITE DES SYSTEMES D’INFORMATION (et non pas l’inverse;-))Piloter la SSI, c’est décider dans l’incertain plutôt que gérer les risques

Le facteur humain est une incertitude, pas un risque

OK, et maintenant… qu’est-ce qu’on fait ?"Human hardening guide 1.0"

Démarche classique

1. Mettre en place une organisation sécurité Sponsor hiérarchiquement haut placé Responsable(s) sécurité

Information Physique

Responsable de la formation / sensibilisation / communication

2. Évaluer les risques3. Mettre en place les défenses

appropriées dans le cadre de la politique de sécurité

Une défense à plusieurs niveaux

1- Politiques

2- Sensibilisation et formation

4- Les pièges anti-manipulateurs

5- Réponse à incident

1 - Politiques

Permettent au management de souligner la valeur des informations de l’entrepriseFournissent une base légale pour influencer les décisions du personnelDéfinissent ce que les gens doivent faire ou ne pas faire (avec les sanctions associées)Ciblent les personnes qui doivent régulièrement répondre à des demandes (standard téléphonique, secrétariat, helpdesk…)

Leur donner l’assurance nécessaire pour résister avec aplomb

Sont réalistes et revues régulièrement

1 - Éléments de politique

Confidentialité et classification des donnéesGestion et contrôle des accès (logiques & physiques)Gestion des supports papier (rangement & destruction)Création et gestion des comptes utilisateursPolitique de mots de passeProcédures du helpdesk…

2 – Sensibilisation

Votre confiance doit se mériter, ne vous laissez pas duperSavoir ce qui a de la valeurLes personnes sympathiques ne sont pas nécessairement des personnes de confiance

Les amitiés liées au téléphone sont peu fiables

Les mots de passe sont personnelsComme les chewing gums

L’habit ne fait pas le moineLe livreur n’est pas toujours un vrai livreur

Authentifier l’appelant avant toute conversation sensible (même si elle n’en a pas l’air)

2 - Sensibilisation

Signature d’une charteRéunions de groupeUtilisation des broyeursRappels périodiquesAudits réguliersLettres d’informationVidéosBannière de logonÉconomiseur d’écran

BrochuresPanneauxPosters Bandes dessinéesTapis de sourisAutocollantsBloc notesStylos…

2 - Quelques exemples

2 - Formation : apprendre à reconnaître les signes

Refus de l’appelant de s’identifierPrécipitationCitation de nomsIntimidationFautes d’orthographeQuestions bizarres…

3 - Durcissement des personnes !

Apprendre à dire « non »Nécessite le soutien entier et complet du management

Entrainer ses employésApprendre les arguments et contre arguments

Marteler le message - Faire prendre conscience

Cela existe vraimentÇa n’arrive pas qu’aux autres

4 - Les pièges anti-manipulateurs

Identifier les inconnus Qui êtes-vous ? Où est votre badge ? Je vous raccompagne

Journal des entrées & sorties; ouverture avec badgePolitique de rappel téléphonique systématiquePolitique de “Veuillez patienter”

Ne pas agir dans la précipitation, prendre le temps de valider la demande

Question piège

5 - Réponse à incident

Processus bien défini qui :Atténue les activités frauduleusesAlerte d’autres victimes potentiellesContacte le personnel de la sécurité

Test régulier et mise à jour si nécessaire

Synthèse

Réduction de l’incertitude liée aux comportements inappropriésL’ingénierie sociale est un problème sérieux. Il faut

non seulement établir de bonnes politiques pour s’en protéger mais aussi cultiver 3 ingrédients :

Savoir : formation appropriée pour faire et connaître les politiques et apprendre les méthodes utilisées par les manipulateurs, les risques encourus pour l’entreprise et comment s’en prémunirPouvoir : moyens et autorité nécessaires, responsabilité personnelle, récompense des initiatives personnellesVouloir : avoir la volonté de réagir dans le sens de l’intérêt général (être responsable)

Sélectionner les personnes qui peuvent détecter les anomalies

Adapter la culture d’entreprise et le style de management

« L’épaisseur d’un rempart compte moins que

la volonté de le défendre »

Thucydide, historien grec du 5ème siècle avant J-C

Références

Remerciements à Robert LongeonNos blogs

http://blogs.technet.com/stanislas/ https://blogs.technet.com/voy

Quelques livres L’Art de la Supercherie de Kevin Mitnick (ISBN 2-7440-1570-9)Petit Traité De Manipulation À L‘Usage Des Honnêtes Gens de Robert-Vincent Joule et Jean-Léon BeauvoisDécisions absurdes de Christian Morel (ISBN 2-07-031542-8)

Sur le site Web de MicrosoftPortail sécurité http://www.microsoft.com/france/securite How to Protect Insiders from Social Engineering Threats http://www.microsoft.com/downloads/details.aspx?FamilyID=05033E55-AA96-4D49-8F57-C47664107938&displaylang=en

Annexe

Prevention strategiesArea of risk Attacker tactic Combat strategy

Help desk Impersonation and persuasion

Train employees to never give out passwords or other confidential info by phone

Building entrance

Unauthorized physical access

Tight badge security, employee training, and security officers present

Office Shoulder surfing Don’t type in passwords with anyone else present (or if you must, do it quickly!)

Help desk Impersonation on help desk calls

All employees should be assigned a PIN specific to help desk support

Office Wandering through halls looking for open offices

Require all guests to be escorted

Mail room Insertion of forged memos Lock and monitor mail room

Machine room/Phone closet

Attempting to gain access, remove equipment, and/or attach a protocol analyzer to grab confidential data

Keep phone closets, server rooms, etc. locked at all times and keep updated inventory on equipment

Phone and PBX

Stealing phone toll access Control overseas and long-distance calls, trace calls, refuse transfers

Dumpsters Dumpster diving Keep all trash in secured, monitored areas, shred important data, erase magnetic media

Intranet/internet

Creation and insertion of mock software on intranet or internet to snarf passwords

Continual awareness of system and network changes, training on password use

Office Stealing sensitive documents

Mark documents as confidential and require them to be locked

General— psychological

Impersonation and persuasion

Keep employees on their toes through continued awareness and training programs