Le 19 janvier 2016 la presse belge a révélé que la banque belge Crélan aurait été victime d’une fraude à hauteur de 70 millions d’Euro. Bien que le journal l’Echo ne donne pas énormément de detail sur le sujet, De Morgen cite des sources qui mentionnent une fraude utilisant de l’ingéniérie sociale via des emails. Il semblerait que les fraudeurs auraient envoyés des emails qui proviendraient prétendument du CEO de la banque, demandant à certains employés d’effectuer des virements aux montants importants vers des comptes externes à la banque.
Ce genre d’attaque est relativement simple et peu coûteuse à mettre en oeuvre et ne peut réussir que si une série de conditions sont rencontrées:
Au niveau de la gouvernance et des processus, une faille dans les processus de contrôle interne qui permet à une seule personne d’effectuer des virements sans avoir une validation formelle préalable;
Au niveau technique, un système qui permet de recevoir de l’extérieur des emails qui peuvent sembler provenir de l’intérieur de l’entreprise, et encore plus de son CEO;
Au niveau humain, un manqué de sensibilisation et de formation aux techniques d’ingéniérie sociale qui permet d’abuser de la bonne volonté et de la crédulité du personnel de la banque.
Comme d’habiture, on retrouve la trilogie Personnes-Processus-Technologie dans les risques identifies. Cela nous rappelle une fois de plus la nécessité d’une approche « holistique » de la sécurité tenant compte de tous les facteurs de risques et surtout de la partie trop souvent négligée qui est le facteur humain. N’oublions jamais que les processus ne sont efficaces que si les personnes qui les opèrent les suivent correctement. De même pour la technologie qui est toujours configurée et gérée par des êtres humains qui peuvent être facilement manipulés, voire même menacés.
Trop souvent la sécurité de l’information est vue comme une problématique technique alors qu’il s’agit réellement d’une problématique profondément intriquée dans les processus de l’entreprise et dans ses forces vives.
Google et la NASA auraient travaillé ensemble sur un exemplaire de l’ordinateur quantique X2 de la société Canadienne D-Wave system (www.dwavesys.com) et réussi à effectuer des opérations mathématiques compliquées 100 millions de foix plus rapidement qu’un ordinateur conventionnel ou 3600 fois plus vite qu’un supercalculateur, prouvant ainsi la réalité du caractère quantique du processeur de D-Wave (dont la réalité était fréquemment remise en cause par la communauté scientifique).
Si ces résultats sont confirmés, cela signifie que l’on rentre de plein pieds dans l’ère des ordinateurs quantiques exploitables, mettant ainsi à mal notre utilisation de certains protocoles cryptographiques.
En effet le mode de fonctionnement des ordinateurs quantiques permettrait (ça reste à démontrer concrètement) de développer des algorithmes de cryptanalyse optimalisés qui exploiteraient toute la puissances des processeurs à 128 ou 1000 qubits et qui permettraient donc de casser des clés cryptographiques en quelques jours (voir quelques heures) là où les systèmes actuels sont réputés prendre des centaines d’années.
Doit-on pour autant revoir nos standards cryptographiques? Dans la grande majorité des cas, nous pouvons encore attendre quelques années. En effet, un D-Wave X2 coûterait environ 15 millions de dollars US. Ce n’est pas vraiment à la portée du premier hacker venu. Bien que vu les montants en jeu globalement sur le marché de la cybercriminalité mondiale, on peux imaginer que certaines organisations criminelles pourraient se rassembler pour acquérir une machine similaire (ou simplement voler les plans de celle-ci) et fournir des services de déchiffrages (en mode Crime as a Service).
Quoi qu’il en soit, ce ne sera de toutes manières pas bon marché avant quelques années, pour ne pas dire quelques décennies. Donc, à moins que les secrets que vous devez encrypter ne valent des millions d’Euro, un chiffrement utilisant AES 256 et des clés asymétriques sur les courbes elliptiques devraient encore pouvoir protéger vos petits secrets pendants quelques temps (enfin, jusqu’à preuve du contraire). Si vos secrets valent plusieurs dizaines de millions d’Euro ou même quelques milliards d’Euro, il ne serait pas inutile de constituer un petit groupe de travail pour analyser les progrès accomplis ces dernières années et d’estimer la résistance de vos protocoles cryptographiques à la lumière de ces nouveaux développements. Vous pourriez aussi en profiter pour regarder de plus près les travaux sur la cryptographie à base de réseaux euclidiens qui serait résistante aux ordinateurs quantiques.
Dans la lancée du reportage montrant les techniques de hacking qui permettent de s’introduire sur le réseau d’un particulier, nous avons mis sur pieds avec Emmanuel Morimont et les équipes de la RTBF Namur pour « on n’est pas des pigeons » une petite expérience d’ingénierie sociale pour voir si des citoyens lambda utilisent le même mot de passe pour tous les sites et ensuite pour voir si on peux les amener à taper ce mot de passe sur n’importe quel ordinateur ou n’importe quel site. Tout cela bien sûr avec un investissement de temps et d’argent minimal.
Vu qu’il s’agissait aussi d’interviewer les personnes et d’avoir un consentement pour la diffusion, nous devions intégrer une équipe de télévision dans le scénario d’une façon ou d’une autre. Nous avons donc imaginé de demander aux personnes de participer à un sondage très bref sur les attitudes de voyages suite aux événements terroristes. A l’issue de ce sondage, nous offrons à nos participants, pour les remercier, de participer à un concours pour gagner un séjour de 2 nuits dans un hôtel 5 étoiles en Allemagne. Pour ce faire, il leur faut juste s’inscrire sur la nouvelle plateforme de jeu de la RTBF. Et bingo, ils nous donnent leur adresse email, leur mot de passe et leur numéro de téléphone. Théoriquement, avec ces informations, nous pouvons nous connecter sur le compte de messagerie de ces personnes si le mot de passe utilisé est le même. Dans le cas de Gmail, nous pouvons même contourner le contrôle d’identification d’un nouveau navigateur en fournissant le numéro de téléphone. Et de là, vous pouvez imaginer la suite.
Le but était donc de créer rapidement une situation qui amène nos sujets à nous fournir ces informations. Les techniques misent en place furent volontairement classiques et simple:
Faire appel à bonté naturelle des personnes,
Supprimer le stress lié au temps,
La technique du pieds dans la porte,
Créer un climat de confiance,
La réciprocité,
Evocation de la liberté,
Un peu de flatterie,
et de l’amorçage.
Plus concrètement, nous nous sommes placés dans un centre commercial un mercredi après-midi (les gens ont normalement le temps de flâner). Nous avons placé un ordinateur sur un mange-debout et nous allions vers les chalands en leur demandant « Puis-je vous demander 30 secondes de votre temps pour répondre à un sondage de la RTBF sur les voyages ». 30 secondes et 3 questions, ce n’est rien en termes de temps. La RTBF, ça fait sérieux et nous avions une équipe de tournage derrière nous, encore mieux. Les voyages, tout le monde à quelque chose à dire sur les voyages. « Puis-je vous demander » fait appel à leur envie d’aider l’autre.
Les trois questions sont encodées sur l’ordinateur pour l’intégrer dans le scénario. Le site, créé en une demi-heure, reprend les couleurs et le logo de la RTBF. En sus, pour faire appel à leur gentillesse et augmenter la confiance, nous avons repris une publicité pour une action caritative de la RTBF sur les différentes pages). Les questions évoquent les voyages et l’insécurité liée aux actes terroristes. La majorité des personnes répondent d’ailleurs que les événement n’ont pas changé leurs destination ni leur moyen de transport. Est-ce que cela à eu un effet? C’est possible.
Une fois qu’ils ont répondu, la page proposant de participer au concours, avec quelques photographies de l’hôtel apparaît. Nous les remercions de nous avoir gentiment aider en participant au sondage et nous leur proposons, s’ils le désirent, de participer au concours (Réciprocité – Liberté – flatterie).
Nous expliquons que pour ne pas perdre de temps, ils suffit de s’inscrire en 30 secondes (encore le temps) sur le nouveau site concours de la RTBF. Nous leur demandons sur la page d’inscription leur numéro de téléphone pour être notifié de leur gain éventuel (amorçage positif) et pour réinitialiser leur mot de passe si nécessaire (sentiment de sécurité), ce qui justifie la demande, peu justifiable en soi autrement, du numéro de téléphone.
Sur 2h30 de tournage, nous avons convaincu 15 personnes de nous aider (sur une trentaine de demandes) et de participer au concours. Sur les 15, 5 ont reconnues utiliser le même mot de passe que celui de leur boite de messagerie. 33% sur cet échantillon non-représentatif mais malgré tout, 5 mots de passe en 3H30 de travail au total avec peu de moyens. Bien sûr on ne peut extrapoler ces chiffres a une population entière ou à une entreprise mais on peut raisonnablement penser que sur une entreprise de 1000 personnes il ne serait pas trop compliqué d’obtenir avec un subterfuge un rien plus évolué le mot de passe de quelques employés.
En conclusion, il reste évident que l’ingénierie sociale à un très bon rendement pour les personnes qui visent vos informations: le coût de mise en oeuvre est relativement faible et le retour plutôt important. Notre seule barrière de défense reste la sensibilisation et surtout l’éducation des employés à ces problématiques.
Et puis n’oubliez pas, utilisez quelques mots de passe, plutôt longs de préférences, que vous pouvez utiliser en fonction du niveau de confiance que vous accordez aux sites sur lesquels vous les utilisez (Banque, email, professionnel, site de vente, média sociaux, etc.) ou utilisez des logiciels de gestion de mot de passe.
