mdp-low

Sécurité informatique en entreprise : 5 pièges utilisateurs à savoir déjouer absolument

Dans un contexte de prise de conscience collective des enjeux de sécurité informatique en entreprise, les hackers ne s’attaquent plus seulement aux équipements (serveurs, postes de travail, etc..), désormais sous étroite surveillance d’anti-malwares performants. Comment alors pénétrer en profondeur les systèmes d’information de l’entreprise ? Par l’utilisateur, bien sûr ! Passage en revue des principales techniques utilisées par les pirates pour berner vos collaborateurs.

La plus répandue : le phishing

Le phishing consiste à usurper par email l’identité d’une personne ou d’une organisation que vous connaissez afin de vous soutirer des informations confidentielles, comme vos identifiants,  mots de passe, code de carte bancaire…

Imitant de mieux en mieux leurs modèles (charte graphique, logo, en-têtes…), les « faux » transporteurs, fournisseurs d’accès internet, d’électricité, et autres banques prétextent une erreur sur votre compte qui nécessite une mise à jour de votre mot de passe ou de votre carte bancaire… Un simple formulaire va alors vous soutirer de précieuses informations, qui seront utilisées ensuite à des fins frauduleuses.

Exemple concret : votre transporteur habituel vous envoie un e-mail concernant un colis à votre nom, bloqué en douane. Pour le débloquer, il va falloir entrer vos identifiants et mot de passe dans un formulaire pour soit disant accéder à votre compte. Je vous laisse imaginer la suite…

Recommandations : Malgré la présence d’un antispam performant, certains phishings peuvent passer à travers les mailles du filet. Avant même d’ouvrir un e-mail, vérifiez bien la ligne « objet ». Si elle vous parait suspecte, demandez conseil à votre administrateur. En cas de doute, soyez vigilant et attentif aux détails dans le corps du mail : qualité des images, fautes d’orthographe/grammaire, syntaxe des liens : en passant le curseur sur les liens hypertextes et boutons, vous pouvez normalement voir apparaitre l’adresse vers laquelle le lien tente de vous diriger (dans la barre d’état, en bas de votre client de messagerie/navigateur), sans pour autant cliquer dessus. Si l’adresse en question ne ressemble pas à une URL « officielle », cela doit vous mettre la puce à l’oreille. Enfin, il existe plusieurs sites web sur lesquels vous pouvez « tester » les e-mails qui vous semblent dangereux.

 

La clé USB sur le parking de l’entreprise 

En arrivant au travail, vous sortez de la voiture. Sur les quelques mètres qui vous séparent de la porte d’entrée, vous trouvez par terre… une clé USB. Quel est votre premier réflexe en allumant votre poste de travail ? Boire un café. Ok, mais juste après ? N’ayez pas honte, c’est tout à fait humain et lié à un réflexe de curiosité : qu’y a t’il sur cette clé ? des films ? des infos confidentielles ? les détails d’un complot à l’échelle nationale ? Bref, vous allez l’insérer dans le premier port USB que vous trouverez, et c’est ainsi qu’un pirate pourra, de façon totalement invisible, prendre le contrôle de votre poste, grâce au lancement discret d’un petit exécutable caché sur la clé.

Recommandations : Dans le doute, même si cela vous démange furieusement : abstenez-vous ! Certains logiciels sécurisent les ports usb des postes de travail, mais comme on dit : on n’est jamais trop prudent…

 

Les mots de passe « post-it »

Qui n’a jamais écrit un mot de passe sur un post-it, caché une liste ultra-confidentielle sous son clavier, ou encore affiché ses précieux pense-bêtes sur le bureau de Windows pour tout avoir à portée de main ? N’oublions pas qu’il est souvent facile d’accéder physiquement aux bureaux, surtout à certains horaires (personnel d’entretien le matin ou en fin de journée, service courrier/postier, autant de rôles à usurper sans que personne ne s’en aperçoive), et que les identifiants « en clair » restent le moyen le plus facile pour un pirate de pénétrer le réseau de l’entreprise.

Citons également une pratique répandue qui consiste à stocker ses mots de passe dans un fichier texte non crypté, ou à se les envoyer par email. Comportement à proscrire également, ces fichiers/mails peuvent être lus par n’importe qui…

Recommandations : Les mots de passe (à défaut de l’être dans votre tête) doivent être sécurisés dans un coffre-fort numérique, ou ils seront cryptés. Ne jamais stocker vos mots de passe dans un fichier texte non chiffré, ni envoyer (ou vous envoyer) par email la liste de vos mots de passe, à moins que votre messagerie ne soit cryptée.

 

Le « hameçonnage téléphonique » : mise sous pression

Cette technique, très ciblée et nécessitant beaucoup de préparation, est souvent appelée « arnaque au président ». Elle consiste à se faire passer par téléphone pour une personne d’autorité (le PDG, DAF,…) et à demander à un employé d’effectuer une opération importante pour lui (un virement par exemple), prétextant qu’il est en voiture/en clientèle/en vacances et que c’est urgent. Une pratique courante est de faire « craquer » l’interlocuteur en le réprimandant très fortement, puis en lui demandant des identifiants pour effectuer l’opération à sa place, prétextant son incompétence. La pression psychologique faisant son travail, le collaborateur tombe à la merci du pirate.

Recommandations : Gardez la tête froide, et posez des questions permettant éventuellement de déceler une usurpation. Quoi qu’il arrive, n’effectuez d’opération critique qu’après avoir reçu une demande officielle par e-mail, que vous pourrez donc vérifier en appliquant une chaine de validation hiérarchique.

 

Identification via les réseaux sociaux

Utiliser ses identifiants LinkedIn ou Facebook pour créer un nouveau compte sur un site web peut sembler attrayant, tant cela vous permet de gagner du temps. Mais prudence : Cette méthode d’identification via vos réseaux sociaux préférés crée des « chaînes d’autorisation ». Même si vous quittez ces services, les autorisations sont sauvegardées. Il suffit simplement au pirate de rentrer dans le  » tunnel d’autorisation « , et il pourra remonter les différents comptes créés avec ces ID et ainsi collecter vos données personnelles. Il en va de même pour différents modules complémentaires à ces services dont vous donnez l’autorisation de se synchroniser avec vos e-mails par exemple.

Recommandations : Il est conseillé d’éviter l’identification via les réseaux sociaux, et de lui préférer une création de compte « traditionnelle ». Lorsqu’un module suspect demande votre autorisation pour se synchroniser avec vos services corporate, refusez systématiquement la connexion.

 


Les pirates ont donc bien compris qu’il est plus aisé de miser sur la « faiblesse » de l’humain que de passer les barrières sophistiquées des anti-malwares et autres pare-feux. Mais cela n’est pas une fatalité : sensibiliser vos collaborateurs et les former aux bons réflexes et aux bonnes pratiques de la sécurité informatique se révèlera forcément payant sur la durée…

Cet article vous a plu ? Téléchargez le livre blanc de proofpoint : LE FACTEUR HUMAIN EN 2018 : Le paysage des menaces s’articule plus que jamais autour des utilisateurs ou Contactez-nous

Share Button

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *