Upload
berenger-billy
View
117
Download
6
Embed Size (px)
Citation preview
Le facteur humain : maillon faible ou atout pour la sécurité ?
Stanislas QuastanaArchitecte infrastructurehttp://blogs.technet.com/stanislas Microsoft France
Cyril VoisinChef de programme Sécuritéhttps://blogs.technet.com/voy
Pas simplement des technologies…
Les 3 facettes de la sécurité
Architecturesécurisée
Technologies
OS
Annuaire
Correct
ifs
IPSEC
Kerberos
PKI
Chiffrement
de fichiers
SSL/TLS
Clu
sters
Déte
ction
d’in
trusio
n
Gestion de systèmes
SupervisionPare-feu
Antivirus
PersonnesAdmin.de l’Entreprise Adm
in.
Du Dom
aine
Service/
Support
DéveloppeurUtilisateur
ArchivagePolitiqued’accès
Inst
alla
tion
Réparation
Ges
tion
de
s
évén
emen
ts
Gestion desperfs
Gestio
n du
Changement /
de la C
onfiguratio
n
Proc
essu
s
Restauration
Sauvegard
eRéponse à Incident
Éval
uation
de ris
ques
L’huma in
« Vous êtes le maillon faible ! »
Qu’est-ce que l’ingénierie sociale ?
L’ingénierie sociale (ou “social engineering”) : menace souvent sous estimée mais régulièrement exploitéepour tirer parti du maillon faible de la chaîne de la sécurité : l’être humain
Forme de manipulation Art de faire en sorte que les personnes se conforment à vos souhaitsExploite les faiblesses du comportement humain (ignorance, naïveté, désir de se faire apprécier ou reconnaître…)
Pourquoi l’ingénierie sociale ?
La manipulation, une fois maîtrisée, peut être utilisée pour obtenir l’accès à tout système en dépit de la qualité du matériel et des logiciels présents Certainement l’attaque la plus difficile à contrer car aucune technologie n’est en mesure de l’arrêterMotivation : gain financier, collecte d’information, revanche, espionnage industriel, ….
Un exemple
“In 1994, a French hacker named Anthony Zboralski called the FBI office in Washington, pretending to be an FBI representative working at the U.S. embassy in Paris. He persuaded the person at the other end of the phone to explain how to connect to the FBI's phone conferencing system. Then he ran up a $250,000 phone bill in seven months.”
Bruce Schneier. “Secret and Lies”.
Pas uniquement dans les livres….
Le cycle d’une attaque par manipulation
1. Collecte d’infos
2.Développemen
t relationnel
3.Exploitati
on
Les différentes approches psychologiques
Diffusion de la responsabilité« Le chef dit que vous ne serez pas tenu responsable… »
Possibilité d’obtention de bonnes grâces« Regardez ce que vous pouvez en tirer comme bénéfice »
Obligation morale« Vous devez m’aider »
Culpabilité« Quoi? Vous ne voulez pas m’aider !? »
Relations de confiance« C’est quelqu’un de bien, je peux lui faire confiance »
Identification « Vous et moi, on se comprend tous les deux »
Désir d’aider« Pourriez-vous me tenir la porte svp, je suis chargé »
Coopération« A deux, on ira plus vite »
Vecteurs d’attaques
Il existe plusieurs vecteurs d’attaques possibles pour un manipulateur :
1. Internet2. La téléphonie3. L’approche directe4. Le reverse social engineering5. La fouille des poubelles
Chacun de ces vecteurs peut être utilisé pour exploiter une « des failles » humaines présentées précédemment et combiné avec d’autres vecteurs
1-Attaques via Internet
Courrier électronique : PhishingSpear PhishingScamPièce jointe malveillante
Messagerie instantanéeFaux site WebLogiciel malveillantBoite de dialogue et fenêtre pop-up
2- Attaques au travers du téléphone
Le téléphone est un média particulièrement apprécié par les manipulateurs car c’est un outil de communication très commun mais surtout très impersonnel La plupart du temps, on ne connait pas la voix de toutes les personnes de l’entreprise et on fait confiance à l’identité affichée sur le combinéAvec l’adoption croissante de la VoIP, les cas d’usurpation d’identité vont être de plus en plus fréquents permettant là encore des attaques par ingénierie sociale
3- L’approche directe
La majorité des gens considèrent que toutes les personnes qui leur parlent sont de bonne foi. Ceci est intéressant car c’est également un fait que la plupart des gens admettent parfois mentirLa plus simple des méthodes utilisées par un manipulateur consiste à demander directement l’informationPour cela, plusieurs types d’approches sont possibles :
L’intimidationLa persuasionL’assistance..
4- Le reverse social engineering
Le reverse social engineering (RSE) est une situation dans laquelle la victime fait l’approche initiale. Dans ce cas de figure, le manipulateur est perçu comme une aide par sa cible. Ainsi, il paraît naturel pour la cible de poser des questions mais également de donner de l’information.Une attaque en RSE est le plus souvent décomposée en 3 phases :Sabotag
eMarketin
g Support
5- La fouille des poubelles
Les poubelles de toute entreprise peuvent se révéler une mine d’informationsLa plupart des employés considèrent en effet qu’une personne qui connaît beaucoup de choses sur l’entreprise et qui utilise le vocabulaire interne est un vrai employéEt que trouve-t-on dans les poubelles ?
Les vieux annuaires téléphoniquesLes organigrammes Des procédures et autres manuelsDes calendriersDes courriers électroniquesDes brouillons de documents…
Comportements susceptibles d’attaquesCiblage de spécificités naturelles de l’être
humainAttributs naturels (Pourquoi)
Tactique (Comment)
Confiance Approche directe, expert technique
Désir de venir en aide Approche directe, expert technique, voix de l’autorité
Désir d’avoir quelque chose gratuitement
Cheval de Troie, chaîne de messages électroniques
Curiosité Cheval de Troie, ouverture de pièce jointe d’un expéditeur inconnu
Peur de l’inconnu ou de la perte de quelque chose Fenêtre popup
Ignorance Fouille de poubelles, approche directe
Négligence Fouille de poubelles, espionnage, écoutes
L’humain : un atout pour la sécurité !?
Le facteur humain en SSI
Faut-il éliminer l’humain ? La sécurité serait-elle meilleure sans implication humaine ?NON, la solution pour une meilleure sécurité n’est pas nécessairement technique– La cause de la plupart des incidents de sécurité est
liée à des erreurs de management, de confiance aveugle des technophiles dans leurs solutions, manque de sensibilisation et de formation, …
Le facteur humain en SSI
Différence entre sécurité voulue et réelle due à une transgression des règles ou à une violation de la politique de sécurité
Études en sécurité, fiabilité et ergonomie : hiérarchisation des priorités Donc, pas nécessairement de volonté malveillante, mais adaptation des règles pour atteindre un but en présence de contraintesIl faut donc améliorer l’ergonomie pour aligner les règles et les objectifs
L’humain et la complexité
Les systèmes d’information sont complexesLa complexité ne peut pas être gérée par un automate à états finis (qui ne peut faire que ce pourquoi il a été conçu)Seul l’esprit humain est capable d’appréhender les situations complexes
Ainsi, la nature imprévisible et fondamentalement irrationnelle de l’humain peut être le pire cauchemar du RSSIMAIS dans une situation imprévue, c’est un atout irremplaçable
Le facteur humain en SSI
La SSI (sécurité des systèmes d’information) relève de la gestion des risques (prise de décisions)La SSI est le domaine des choix non déterministesUn système technique ne peut pas piloter la SSI, des personnes le peuvent
SANS HUMAIN, PAS DE SECURITE DES SYSTEMES D’INFORMATION (et non pas l’inverse;-))Piloter la SSI, c’est décider dans l’incertain plutôt que gérer les risques
Le facteur humain est une incertitude, pas un risque
OK, et maintenant… qu’est-ce qu’on fait ?"Human hardening guide 1.0"
Démarche classique
1. Mettre en place une organisation sécurité Sponsor hiérarchiquement haut placé Responsable(s) sécurité
Information Physique
Responsable de la formation / sensibilisation / communication
2. Évaluer les risques3. Mettre en place les défenses
appropriées dans le cadre de la politique de sécurité
Une défense à plusieurs niveaux
1- Politiques
2- Sensibilisation et formation
4- Les pièges anti-manipulateurs
5- Réponse à incident
1 - Politiques
Permettent au management de souligner la valeur des informations de l’entrepriseFournissent une base légale pour influencer les décisions du personnelDéfinissent ce que les gens doivent faire ou ne pas faire (avec les sanctions associées)Ciblent les personnes qui doivent régulièrement répondre à des demandes (standard téléphonique, secrétariat, helpdesk…)
Leur donner l’assurance nécessaire pour résister avec aplomb
Sont réalistes et revues régulièrement
1 - Éléments de politique
Confidentialité et classification des donnéesGestion et contrôle des accès (logiques & physiques)Gestion des supports papier (rangement & destruction)Création et gestion des comptes utilisateursPolitique de mots de passeProcédures du helpdesk…
2 – Sensibilisation
Votre confiance doit se mériter, ne vous laissez pas duperSavoir ce qui a de la valeurLes personnes sympathiques ne sont pas nécessairement des personnes de confiance
Les amitiés liées au téléphone sont peu fiables
Les mots de passe sont personnelsComme les chewing gums
L’habit ne fait pas le moineLe livreur n’est pas toujours un vrai livreur
Authentifier l’appelant avant toute conversation sensible (même si elle n’en a pas l’air)
2 - Sensibilisation
Signature d’une charteRéunions de groupeUtilisation des broyeursRappels périodiquesAudits réguliersLettres d’informationVidéosBannière de logonÉconomiseur d’écran
BrochuresPanneauxPosters Bandes dessinéesTapis de sourisAutocollantsBloc notesStylos…
2 - Quelques exemples
2 - Formation : apprendre à reconnaître les signes
Refus de l’appelant de s’identifierPrécipitationCitation de nomsIntimidationFautes d’orthographeQuestions bizarres…
3 - Durcissement des personnes !
Apprendre à dire « non »Nécessite le soutien entier et complet du management
Entrainer ses employésApprendre les arguments et contre arguments
Marteler le message - Faire prendre conscience
Cela existe vraimentÇa n’arrive pas qu’aux autres
4 - Les pièges anti-manipulateurs
Identifier les inconnus Qui êtes-vous ? Où est votre badge ? Je vous raccompagne
Journal des entrées & sorties; ouverture avec badgePolitique de rappel téléphonique systématiquePolitique de “Veuillez patienter”
Ne pas agir dans la précipitation, prendre le temps de valider la demande
Question piège
5 - Réponse à incident
Processus bien défini qui :Atténue les activités frauduleusesAlerte d’autres victimes potentiellesContacte le personnel de la sécurité
Test régulier et mise à jour si nécessaire
Synthèse
Réduction de l’incertitude liée aux comportements inappropriésL’ingénierie sociale est un problème sérieux. Il faut
non seulement établir de bonnes politiques pour s’en protéger mais aussi cultiver 3 ingrédients :
Savoir : formation appropriée pour faire et connaître les politiques et apprendre les méthodes utilisées par les manipulateurs, les risques encourus pour l’entreprise et comment s’en prémunirPouvoir : moyens et autorité nécessaires, responsabilité personnelle, récompense des initiatives personnellesVouloir : avoir la volonté de réagir dans le sens de l’intérêt général (être responsable)
Sélectionner les personnes qui peuvent détecter les anomalies
Adapter la culture d’entreprise et le style de management
« L’épaisseur d’un rempart compte moins que
la volonté de le défendre »
Thucydide, historien grec du 5ème siècle avant J-C
Références
Remerciements à Robert LongeonNos blogs
http://blogs.technet.com/stanislas/ https://blogs.technet.com/voy
Quelques livres L’Art de la Supercherie de Kevin Mitnick (ISBN 2-7440-1570-9)Petit Traité De Manipulation À L‘Usage Des Honnêtes Gens de Robert-Vincent Joule et Jean-Léon BeauvoisDécisions absurdes de Christian Morel (ISBN 2-07-031542-8)
Sur le site Web de MicrosoftPortail sécurité http://www.microsoft.com/france/securite How to Protect Insiders from Social Engineering Threats http://www.microsoft.com/downloads/details.aspx?FamilyID=05033E55-AA96-4D49-8F57-C47664107938&displaylang=en
Annexe
Prevention strategiesArea of risk Attacker tactic Combat strategy
Help desk Impersonation and persuasion
Train employees to never give out passwords or other confidential info by phone
Building entrance
Unauthorized physical access
Tight badge security, employee training, and security officers present
Office Shoulder surfing Don’t type in passwords with anyone else present (or if you must, do it quickly!)
Help desk Impersonation on help desk calls
All employees should be assigned a PIN specific to help desk support
Office Wandering through halls looking for open offices
Require all guests to be escorted
Mail room Insertion of forged memos Lock and monitor mail room
Machine room/Phone closet
Attempting to gain access, remove equipment, and/or attach a protocol analyzer to grab confidential data
Keep phone closets, server rooms, etc. locked at all times and keep updated inventory on equipment
Phone and PBX
Stealing phone toll access Control overseas and long-distance calls, trace calls, refuse transfers
Dumpsters Dumpster diving Keep all trash in secured, monitored areas, shred important data, erase magnetic media
Intranet/internet
Creation and insertion of mock software on intranet or internet to snarf passwords
Continual awareness of system and network changes, training on password use
Office Stealing sensitive documents
Mark documents as confidential and require them to be locked
General— psychological
Impersonation and persuasion
Keep employees on their toes through continued awareness and training programs