Indexel

Sécurité : 96 % des attaques sociales réussissent

Par Antoine Robin le 08/09/2010 - indexel.net
 

Une récente étude montre que plus de neuf utilisateurs sur dix livrent des informations sensibles sans réfléchir. La formation reste l'outil le plus efficace pour protéger son système d'information.

 

On savait que les utilisateurs étaient le maillon faible de la sécurité informatique. Mais personne ne l'aurait imaginé à ce point ! Lors du dernier Defcon – le rassemblement annuel des hackers qui se tenait en juillet dernier – une équipe de pirates a tenté d'extorquer des informations confidentielles à 135 employés de 17 grandes entreprises américaines telles que Cisco, Coca-Cola, Google, Ford, Pepsi, Symantec, Wal-Mart, etc. Les pirates se sont simplement fait passer pour des consultants qui menaient une enquête interne ou pour des prestataires. On appelle cette approche le "social engineering" car elle exploite l'aspect humain et social de la structure à laquelle est lié le système informatique visé.

Résultat ? 96 % des personnes contactées par e-mail ou par téléphone ont livré leurs secrets ! Sur les 135 salariés interrogés, seules cinq femmes n'ont pas craché le morceau. Elles ont même raccroché au bout de 15 secondes. Les femmes semblent donc plus fiables que les hommes pour garder les secrets de l'entreprise !

Cette situation est particulièrement grave car les informations recueillies permettent aux pirates de contourner les défenses logicielles mises en place par le département informatique. Les informations récoltées allaient de la version du système d'exploitation au navigateur utilisé, en passant par l'antivirus installé sur les postes de travail.

On sait ainsi que plus de la moitié des entreprises attaquées utilisent toujours Internet Explorer 6. Or, cette vieille version du navigateur de Microsoft est réputée pour ses failles de sécurité. Bon nombre de postes de travail ont donc potentiellement été infectés par des chevaux de Troie ou des spyware car la plupart des interlocuteurs ont accepté de se connecter sur les sites web douteux indiqués par les hackers...

Cette expérience prouve, encore une fois, la nécessité de former les salariés à la sécurité informatique en leur faisant prendre conscience des conséquences de leurs actes.