Publié le

L’email qu’il ne fallait pas ouvrir. Le lien qu’il ne fallait pas suivre. Tout se joue parfois en quelques secondes. Tour d’horizon des quatre techniques majeures de piratage qui ont pour origine la négligence des salariés.

Plus de 3 700 cyberattaques déjouées par seconde dans le monde. Ceci n’est pas de la science-fiction mais une estimation réalisée par la très sérieuse entreprise Cisco Systems. Encore une lubie d’informaticiens ? Pas vraiment, puisque la sécurité informatique doit aujourd’hui être l’affaire de tous.

Selon une étude d’Online Trust Alliance (OTA) publiée en 2016, 91% des fuites de données auraient pu être évitées grâce à la mise en œuvre de protocoles de sécurité adéquats. Des protocoles qui concernent en premier lieu les salariés puisque 30% de ces fuites de données seraient dues à des négligences (intentionnelles ou non) de la part des employés ainsi qu’à la déficience des contrôles internes.

Toujours pas convaincu(e) ? Zoom sur quatre techniques fréquemment utilisées pour s’emparer de données de manière frauduleuse, à travers quatre scandales ayant marqué ces dernières années.

Le coût de la cybercriminalité était estimé en 2015 à 300 milliards de dollars au niveau mondial.

Le phishing

En novembre 2014, plus de 235 Go de données ont été dérobés à Sony Pictures Entertainment : parmi elles, des plans stratégiques de l’entreprise ainsi que plusieurs longs-métrages pas encore sortis en salles. En considérant le manque à gagner ainsi que les coûts de restructuration du réseau informatique, on estime que l’attaque aurait coûté de 100 à 200 millions de dollars au géant du divertissement.

Tout a pourtant commencé de la plus banale des manières, via un simple phishing (hameçonnage). Une technique qui repose, entre autres, sur l’envoi d’emails frauduleux reproduisant l’apparence et le contenu de messages que vous avez l’habitude de recevoir. Prétextant une fausse vérification, les hackers ont poussé des employés de Sony Pictures à saisir leurs identifiants Apple dans un formulaire contrefait. Il leur a ensuite suffi de croiser ces informations avec celles de leurs profils LinkedIn pour deviner leurs mots de passe professionnels.

Sony Pictures Enterntainment n’est pas la seule entreprise victime de phishing, puisque l’assureur Anthem a subi une attaque similaire en 2015. Dans les deux cas, ces attaques visaient à récupérer des informations confidentielles sur l’entreprise ou ses clients.

Le hacking visuel

Retour en France, direction TV5 Monde. En avril 2015, la chaîne est victime d’une cyber-attaque complexe et cesse d’émettre durant quelques heures. Dans le même temps, les comptes Facebook et Twitter de la chaîne sont piratés. Deux jours plus tard, on pouvait voir derrière l’un des journalistes interrogés par France 2 sur la cyberattaque… les codes d’accès Youtube de la chaîne ! Un manquement à l’une des règles les plus élémentaires de la sécurité informatique (ne JAMAIS laisser de mot de passe à la vue de tous) qui démontre le manque de culture de la sécurité informatique de la chaîne à cette époque.

(Trop) simple, efficace et tristement banal, bienvenue dans l’univers du hacking visuel, qui consiste tout simplement à profiter du fait que certaines données (comme des mots de passe ou des informations confidentielles) soient laissées visibles. Vous pouvez en être victime dans votre entreprise, mais aussi dans les lieux publics, cafés ou transports, où un nombre croissant de Français travaille en mobilité.

Et ça marche ! Dans le cadre d’une enquête, le Ponemon Institute a introduit des individus dans des bureaux (avec la complicité des dirigeants des entreprises visitées) afin d’y dérober, par le simple hacking visuel, des données confidentielles, des mots de passe, etc. Dans 91% des cas, ces tentatives ont été couronnées de succès.

L’infiltration de systèmes via les terminaux de paiement ou les sous-traitants

Le paiement par carte bancaire est pour beaucoup devenu un automatisme. Les hackers le savent depuis longtemps. Sur le Dark web, les données bancaires sont naturellement celles qui, avec les données médicales, ont la valeur la plus élevée.

Afin de les obtenir frauduleusement, il est possible d’attaquer la sécurité des terminaux de paiement, comme l’a appris à ses dépens le géant de la distribution Home Depot en 2014. En se procurant les codes d’accès d’un vendeur, les pirates ont installé un programme chargé de collecter les données bancaires des clients. D’environ 40 millions de clients, pour être exacts. Outre les coûts de maintenance, estimés entre 40 et 80 millions de dollars, Home Depot a dû rembourser en 2016 ses clients lésés à hauteur de 13 millions de dollars.

Nul n’est épargné, puisque Visa estime que les PME sont la cible de 90% des attaques dans le secteur de la distribution. Les nouvelles tendances du hacking consistent en effet à infiltrer plusieurs petites entreprises d’un même segment, ou encore d’attaquer les grands groupes via leurs sous-traitants. Ainsi, l’attaque qui a visé la chaîne de supermarchés Target a ainsi été rendue possible par l’infiltration du système informatique de l’entreprise chargée de l’installation et de l’entretien des équipements de ventilation de la chaîne. Résultat des courses pour Target : 10 millions de dollars de réparations et près de 150 millions de dollars investis pour sécuriser les systèmes informatiques.

L’absence d’effacement des données

Avant d’envoyer un disque dur ou un ordinateur en réparation, mieux vaut s’assurer que l’appareil en question ne contienne plus de données sensibles. Outre le prestataire, le transporteur ou toute autre personne ayant pu se trouver en contact physique avec l’appareil peut être impliqué. La National archives and record administration (NARA) en a amèrement fait les frais. 76 millions de numéros de sécurité sociale de vétérans de l’armée américaine ont ainsi fuité en 2009. En cause, un disque dur défectueux renvoyé au prestataire informatique sans avoir été préalablement nettoyé…

Comment éviter ce genre de désastre ? Toujours d’après Pwc, le budget dédié à la cybersécurité par les entreprises est en hausse constante (+24% en 2015). Mais si les infrastructures et systèmes de défense ont leur importance, la parade est peut-être beaucoup plus simple qu’il n’y paraît. On pourrait même dire qu’elle tient en deux mots : vigilance et formation. Vigilance, car il faut savoir anticiper les menaces (ex. apprendre à distinguer un email d’un spam). Et formation, car la diffusion des bonnes pratiques relève de la responsabilité des entreprises. Il en va aussi bien de leur avenir que de leur crédibilité envers leurs clients, partenaires et prestataires.

Le saviez-vous ?

Le coût de la cybercriminalité était estimé en 2015 à 300 milliards de dollars au niveau mondial. Une problématique qui affecte donc l’ensemble des organisations, et en premier lieu leurs salariés.