Compte rendu de Granit du 24/01/09 sur le social engineering
Une présentation très intéressante, et très suivie !!! En effet on n’avait jamais vu autant de monde le soir à une réunion Granit sur la sécurité organisationnelle.
Je n’ai pas grand chose à dire sur ce sujet a part que le danger des réseaux sociaux est une exposition plus forte au social engineering. Hier, il fallait faire beaucoup d’efforts pour obtenir des informations personnelles sur les cibles potentielles d’une attaque, comme fouiller ses poubelles, faire de la surveillance rapprochée, etc. Aujourd’hui il suffit parfois de se connecter sur Facebook, d’aller chercher des informations sur Copain d’Avants, et de connaitre ainsi un peu mieux sa victime.
Les réseaux sociaux sont ainsi devenus des vecteurs d’attaques très puissantes et très ciblées sur le monde de l’entreprise, il est ainsi possible de connaitre beaucoup de choses à la fois sur la vie personnelle et aussi sur les projets de l’entreprise (certaines personnes indiquent quasiment en temps réel sur leur CV en ligne sur quels projets ils travaillent).
Le social engineering est la première prise d’information permettant de personnaliser une attaque traditionnelle comme la plus connue le phishing. En effet comment être vigilant lorsque l’on reçoit un mail d’un ancien copain qui veut renouer le contact. Ce présumé contact est en fait une identité forgée d’après les informations récoltées sur Copain d’Avant.
Pour contrer ou plus précisément limiter ce genre d’attaque aujourd’hui l’éducation est le meilleur remède. Aujourd’hui difficile d’éduquer un tas d’utilisateurs indiciplinés mais la démonstration par l’exemple est parfois très frappante. L’exemple du Journal « Le tigre » est très convainquante : ici. Marc L un internaute lambda voit sa vie décrite avec tous les traces qu’il a pu laisser sur le net.
Aujourd’hui laisser tomber les sites de réseaux sociaux n’est pas forcément la voie à suivre, beaucoup de professionnels misent dessus pour leur carrière (Viadeo, Linkedin). Il faut juste savoir ce que l’on met sur ces sites et ne pas mélanger le professionnel et le personnel. Il faut être en quelque sorte plus prudent s’il on reçoit des informations personnalisées, et vérifier la provenance des ses informations (ne pas ajouter n’importe qui dans son profil Facebook).
Pour conclure voila le lien de la présentation.