Publié le 22-06-2006 dans le thème Réseau - Sécurité

Pays : France - Auteur : Damien Bancal

Paris, le 22 juin 2006 - CYBER NETWORKS, société de conseil et d’intégration du Groupe NET2S, spécialisée dans les solutions sécurisées, part en lutte contre l’ingénierie sociale. Parce que l’être humain est le vrai maillon faible de la chaîne sécuritaire, on assiste actuellement à une recrudescence du ‘social engineering’. Pour aider les entreprises à faire face à ce fléau, Cyber Networks présente son offre.

Vulnérabilité et sécurité informatique
Rappel : le « social engineering » parfois appelé « subversion psychologique » est un abus de confiance pour récupérer des informations confidentielles. Cette pratique désigne les supercheries des pirates - qui usent d'ingénierie sociale - pour soutirer les renseignements qui leur permettront d'accéder au système d’information. Parce que les richesses de l’entreprise se trouvent dans le S.I., celui-ci suscite la convoitise des cyberdélinquants. L’espionnage et le vol de données peuvent toucher toutes les entreprises. Les attaquants opèrent par téléphone, lettre, contact direct… Mais Internet et les courriels restent leurs moyens favoris. Ils peuvent aisément se faire passer pour un opérateur système, un responsable informatique, un ingénieur support ou… un membre du comité d’entreprise. En attaquant les « plus faibles » - nouvel embauché, personnel non technique (secrétaires, comptables...) - il leur est facile de soutirer un mot de passe ou de faire exécuter un cheval de Troie sur la « machine cible ». L'ingénierie sociale exploite la confiance, l'ignorance et la crédulité des victimes. Elle s’exerce aussi sur les forums de discussion, chats et messageries instantanées.

Offre de Cyber Networks
Cyber Networks propose à ses clients des audits de vulnérabilité et des tests d’intrusion de leur système d’information. Cyber Networks a mis au point des tests spécifiques pour évaluer le social engineering dans les entreprises. L’élaboration de divers scenarii permet de simuler les différents types d’attaque. Cyber Networks vérifie s’il est possible de récupérer des informations confidentielles dans les locaux malgré l’interdiction d’y entrer physiquement ou sur des ordinateurs-cibles. Utilisant les mêmes moyens que ceux employés par les pirates, les équipes de Cyber Networks envoient des e-mails de phishing, installent un cheval de Troie, élaborent un faux site web pour capturer les logins et les passwords… En mettant en évidence les trous de sécurité comme copier des fichiers depuis la base de données sécurisée ou passer une commande sur un site de e-commerce en usurpant une identité, Cyber Networks montre les dangers qui guettent l’entreprise et fournit un véritable benchmark de sa situation et de ses vulnérabilités.

Règles de sécurité de base
La règle d’or est de ne donner aucun renseignement à un inconnu. Le pirate prépare son personnage et son discours. Il prend soin de donner des informations laissant penser à sa victime qu'il appartient à l'entreprise et qu'il est bien celui qu'il prétend être. Sa détermination n’a d’égale que sa persuasion. La victime est convaincue de son honnêteté. La parade est donc difficile.

L’ingénierie sociale exploite la faiblesse humaine. S’en protéger passe par la mise en place de bonnes procédures. Ce sont des règles simples à observer comme noter l'identité des visiteurs et ne jamais les laisser seuls (les raccompagner jusqu'à la porte). Pour Mauro Israël, RSSI de Cyber Networks, « la sécurité, c'est 80 % de fonctionnel, d'organisation, de procédures et de sensibilisation et 20 % de technique. » Nombre d'opérations de social engineering visent, par exemple, les mots de passe. Cela pourrait être facilement évité par le simple respect des normes et des consignes. Choisir un mot de passe long, ne se trouvant pas dans le dictionnaire et, surtout, ne jamais le révéler, même si un supérieur hiérarchique ou un employé du département informatique l'exige… ou le demande gentiment. Cyber Networks aide ses clients à élaborer leur charte, décrivant les règles de sécurité de base. Il est indispensable de sensibiliser et informer le personnel. Trouver le juste milieu entre la naïveté et la paranoïa devient l'arme de défense adéquate contre ce type d'attaque !

États généraux : les masques tombent

Le syndicat national des journalistes communique : Les patrons de presse piaffent de plus en plus devant la cheminée où ils ont déposé leurs gros sabots.

Wizzgo vs NouvelObs : Deux poids deux mesures

L´application stricte de la loi DADVSI à l´encontre de Wizzgo. Le Nouvel Observateur va t il être aussi condamné à 480.000 euros d'amende ?

Alliance du mouvement de la jeunesse sur Internet

Les réseaux internet dédiés aux adolescents vont être utilisés pour combattre le crime et le terrorisme.

Jugement de plusieurs pirates de cartes bancaires

Deux anciens légionnaires, des chomeurs, un étudiant, un électricien et un agronome jugés dans une vaste fraude à la carte bancaire dans le sud de la France.

Trois nouvelles taxes pour l'Internet Français

Afin de trouver l´argent qui est censé faire survivre la télévision publique française, trois nouvelles taxes risquent d´arriver sur l'Internet hexagonal.

Clés USB: le Père-Noël est une ordure ?

Méfiez-vous des clés USB que vous allez acquérir pour Noël. Même le Pentagone Américain conseille de ne pas introduire ce genre de matériel dans son ordinateur.

Riposte graduée : Albanel délire

Comment rire avec Christine Albanel ? En l'écoutant expliquer que le retrait de l´amendement 138 était une - très bonne nouvelle -.

Un microcontrôleur pour cartes d´identité sécurisées

Le ST23YR80, un microcontrôleur équipé d'une technologies de cryptographie et d´une capacité de mémoire accrue pour le stockage des données biométriques.

Clés USB: le Père-Noël est une ordure ?

Méfiez-vous des clés USB que vous allez acquérir pour Noël. Même le Pentagone Américain conseille de ne pas introduire ce genre de matériel dans son ordinateur.

Une page de CBS.COM diffuse un code malicieux

Amateur de la chaîne de télévision américaine CBS prudence. Une des pages du site officiel a été compromise par un pirate informatique.

Chasseur de backdoor : découverte de l´outil ultime ?

Exclusif : 10.000 sites piégés par une porte cachée. Voilà la découverte, en 20 minutes chronos, faite par ZATAZ.COM via un logiciel dédié à la chasse aux backdoors.

Faille pour Gmail: détournement de clics

A l´occasion de la derniere conférence Blue hat de Microsoft qui a eut lieue du 16 au 17 Octobre dernier Gareth Heyes et deux amis à lui ont démontré l´impact des attaques css sur le navigateur.

Cyber crime au rapport

Le quatrième rapport mondial annuel d´Arbor Networks sur la sécurité des infrastructures montre l´importance et la sophistication croissantes des attaques contre les réseaux.

Le Youtube de l´US Army interdit de parler de guerre

Pour palier les fuites d´informations, le Pentagone lance Trooptube.tv, le Youtube du GI´s en terre hostile.

Un parti politique d'extrême droite piraté

Exclusif : Un Internaute a diffusé un document contenant des informations sensibles qui appartiendraient au groupe BNP, British National Party, l´extrême droite anglaise.

450.000 fichiers pornos sont passés par des ordinateurs d´Air France

La gendarmerie du transport aérien a mis en évidence un flux considérable de fichiers pornos à partir d´ordinateurs de la compagnie aerienne Air France. Dans le lot, des fichiers pédophiles.

Réagissez à ce contenu