Allo, pourriez-vous m’aider? La phrase qui va ruiner votre sécurité?

Allo, pourriez-vous m’aider? Cette phrase, n’importe quel employé d’une entreprise est susceptible de l’entendre chaque jour. Que ce soit un collègue, un client, un fournisseur qui appelle la comptabilité, le service clientèle, le support IT ou la gestion de l’immeuble, la plupart des collaborateurs d’une entreprise ont pour vocation d’aider d’autres personnes. C’est d’ailleurs de plus en plus souvent une valeur forte des entreprises. Vous avez déjà probablement lu cette phrase : « le service clientèle n’est pas un département, c’est une attitude ». Les entreprises 2.0 mettent leurs clients au centre de leur processus. Aider ses client n’est même plus qu’une tendance naturelle, c’est un objectif d’entreprise, une culture et une obligation. Même si en Europe nous avons parfois encore à apprendre sur ce sujet, de plus en plus d’entreprise améliorent l’attitude de leur personnel envers leur clients, internes ou externes, et les incitent à être plus collaboratif, empathique et aidant. Et c’est tant mieux! C’est finalement l’un des objectif principal d’une organisation: servir ses clients (et générer des bénéfices la plupart du temps)

Malheureusement, ce progrès vient avec un coup important en termes de sécurité. En effet, pour atteindre cet objectif, les employés ont souvent de plus en plus accès aux différentes informations relatives à leurs client afin de pouvoir mieux les servir et de plus, dans la mouvance 2.0, chaque collaborateur est responsabilisé et « empowered » afin de pouvoir atteindre ses objectifs. Et là aussi, l’entreprise y trouve énormément d’avantages en termes de bien-être et d’efficience. Mais là encore, la surface de risque augmente. Chaque employé à potentiellement plus de pouvoirs qu’auparavant, exposant donc à lui tout seul encore plus l’entreprise aux risques que sont les « human hackers »

Dans la petite vidéo ci-dessous, l’émission Real Future à demandé à nos très respectés collègues de www.social-engineer.com, d’effectuer une attaque par vishing (hameçonnage téléphonique en français). Comme vous pourrez le voir, il ne faudra que quelques minutes à Jessica Clarck pour obtenir l’adresse email de Kevin Roose et pour se faire créer un nouveau compte à son nom à elle, lui permettant ainsi d’accéder au compte de Kevin. Facile n’est-ce pas! Ne négligeons pas cependant les petits détails qui font la différence entre l’échec et le succès dans ce genre d’exercice.

Commençons par les plus facile et les plus évident: D’abord, Jessica est une femme. Comme je l’ai déjà écrit dans ce blog, la séduction est une arme souvent fatale mais dans ce cas-ci c’est la vulnérabilité associée aux femmes et la tendance chevaleresque des hommes qui est exploitée. Les cris de bébés dans le fond ajoutent au climat de détresse et permettront aussi probablement à amener le correspondant, homme ou femme, à vouloir encore plus aider notre « Visher ». Les êtres humains ont une réaction quasi instinctive de désir d’aider à l’écoute de cris de bébés. Autres caractéristique, Jessica est charmante, s’excuse de prime abord et met son interlocuteur sous pression en lui expliquant qu’un tiers non-présent, son mari, lui demande de faire quelque chose aujourd’hui même. Elle joue donc sur la réciprocité, la dissolution de responsabilité et sur la pression du temps, d’autres facteurs importants dans les techniques d’influence.

Un autre facteur plus complexe, très important et pourtant peu mis en avant dans cet exercice est le « spoffing » (l’usurpation) du numéro de téléphone. Les opérateurs téléphoniques utilisent fréquemment des systèmes qui affichent automatiquement les informations de leurs clients lorsqu’ils appellent avec le numéro de téléphone que ce même opérateur leur a attribué. Cela met d’office l’opérateur en confiance vu que son système lui dit que la personne qui l’appelle est bien qui elle prétend être. Ce n’est pas une petit élément et il n’est pas facile à obtenir même si ce n’est pas des plus compliqués. En effet, l’usurpation de numéro est une fonction qui existe chez tous les opérateurs et qui permet, par exemple, d’avoir votre propre numéro de GSM qui s’affiche quand vous appelez avec un opérateur VoIP comme Skype.

Notez aussi comment Jessica contourne la proposition de l’opérateur d’envoyer un PIN par SMS. Elle ne peux pas le recevoir en même temps. Avec les cris du bébé, l’opérateur ne va pas lui proposer une alternative et va l’aider directement. Dans la mise en place de contrôle d’identité, comme pour tout contrôle de sécurité en général, la convivialité, la simplicité doivent être pris en compte. L’opérateur aurait du pouvoir poser quelques questions simple à la personne (adresse de résidence, second prénom de son mari, date de naissance) afin d’identifier la personne. Simple mais efficace. Ce n’est pas le contrôle que l’on définirais par défaut mais il ne ferait pas de tort d’avoir la possibilité de le faire si d’autres contrôles s’avère impossible. un autre contrôle aurait pu être de proposer de rappeler la personne afin de s’assurer qu’il n’y a pas eu de spoofing (mais il faut déjà accepter la possibilité que ce soit possible pour penser à mettre de tels contrôles en place).

Bien sûr, comme souvent, la clé reste dans la préparation et dans la formation. Ce genre de vidéos, tout comme celle que nous avons réalisé dans le cadre de l’émission de la RTBF « On n’est pas des pigeons » font partie des moyens didactiques qui permettent d’augmenter la conscientisation et la capacité à identifier les techniques utilisées par les hackers.

Bien sûr des tests « in vivo », annoncés ou non, permettent aussi d’augmenter la vigilance, la reconnaissance et de mesurer l’efficacité des mesures de prévention et des contrôles mis en place. Qu’importe les moyens que vous avez décidé ou que vous déciderez de mettre en oeuvre pour prévenir ce genre d’attaque, qui peuvent coûter des millions d’Euro comme nous l’a malheureusement encore rappelé l’attaque réussie contre Crélan, il est important que ce soit un effort soutenu et régulier. Quand il s’agit d’éducation, la répétition est le maître mot.

5 personnes sur 15 utilisent le même mot de passe partout #SocialEngineering

Dans la lancée du reportage montrant les techniques de hacking qui permettent de s’introduire sur le réseau d’un particulier, nous avons mis sur pieds avec Emmanuel Morimont et les équipes de la RTBF Namur pour « on n’est pas des pigeons » une petite expérience d’ingénierie sociale pour voir si des citoyens lambda utilisent le même mot de passe pour tous les sites et ensuite pour voir si on peux les amener à taper ce mot de passe sur n’importe quel ordinateur ou n’importe quel site. Tout cela bien sûr avec un investissement de temps et d’argent minimal.

Vu qu’il s’agissait aussi d’interviewer les personnes et d’avoir un consentement pour la diffusion, nous devions  intégrer une équipe de télévision dans le scénario d’une façon ou d’une autre. Nous avons donc imaginé de demander aux personnes de participer à un sondage très bref sur les attitudes de voyages suite aux événements terroristes. A l’issue de ce sondage, nous offrons à nos participants, pour les remercier, de participer à un concours pour gagner un séjour de 2 nuits dans un hôtel 5 étoiles en Allemagne. Pour ce faire, il leur faut juste s’inscrire sur la nouvelle plateforme de jeu de la RTBF. Et bingo, ils nous donnent leur adresse email, leur mot de passe et leur numéro de téléphone. Théoriquement, avec ces informations, nous pouvons nous connecter sur le compte de messagerie de ces personnes si le mot de passe utilisé est le même. Dans le cas de Gmail, nous pouvons même contourner le contrôle d’identification d’un nouveau navigateur en fournissant le numéro de téléphone. Et de là, vous pouvez imaginer la suite.

Le but était donc de créer rapidement une situation qui amène nos sujets à nous fournir ces informations. Les techniques misent en place furent volontairement classiques et simple:

  • Faire appel à bonté naturelle des personnes,
  • Supprimer le stress lié au temps,
  • La technique du pieds dans la porte,
  • Créer un climat de confiance,
  • La réciprocité,
  • Evocation de la liberté,
  • Un peu de flatterie,
  • et de l’amorçage.

Plus concrètement, nous nous sommes placés dans un centre commercial un mercredi après-midi (les gens ont normalement le temps de flâner). Nous avons placé un ordinateur sur un mange-debout et nous allions vers les chalands en leur demandant « Puis-je vous demander 30 secondes de votre temps pour répondre à un sondage de la RTBF sur les voyages ». 30 secondes et 3 questions, ce n’est rien en termes de temps. La RTBF, ça fait sérieux et nous avions une équipe de tournage derrière nous, encore mieux. Les voyages, tout le monde à quelque chose à dire sur les voyages. « Puis-je vous demander » fait appel à leur envie d’aider l’autre.

Les trois questions sont encodées sur l’ordinateur pour l’intégrer dans le scénario. Le site, créé en une demi-heure, reprend les couleurs et le logo de la RTBF. En sus, pour faire appel à leur gentillesse et augmenter la confiance, nous avons repris une publicité pour une action caritative de la RTBF sur les différentes pages). Les questions évoquent les voyages et l’insécurité liée aux actes terroristes. La majorité des personnes répondent d’ailleurs que les événement n’ont pas changé leurs destination ni leur moyen de transport. Est-ce que cela à eu un effet? C’est possible.

Une fois qu’ils ont répondu, la page proposant de participer au concours, avec quelques photographies de l’hôtel apparaît. Nous les remercions de nous avoir gentiment aider en participant au sondage et nous leur proposons, s’ils le désirent, de participer au concours (Réciprocité – Liberté – flatterie).

Nous expliquons que pour ne pas perdre de temps, ils suffit de s’inscrire en 30 secondes (encore le temps) sur le nouveau site concours de la RTBF. Nous leur demandons sur la page d’inscription leur numéro de téléphone pour être notifié de leur gain éventuel (amorçage positif) et pour réinitialiser leur mot de passe si nécessaire (sentiment de sécurité), ce qui justifie la demande, peu justifiable en soi autrement, du numéro de téléphone.

Sur 2h30 de tournage, nous avons convaincu 15 personnes de nous aider (sur une trentaine de demandes) et de participer au concours. Sur les 15, 5 ont reconnues utiliser le même mot de passe que celui de leur boite de messagerie. 33% sur cet échantillon non-représentatif mais malgré tout, 5 mots de passe en 3H30 de travail au total avec peu de moyens. Bien sûr on ne peut extrapoler ces chiffres a une population entière ou à une entreprise mais on peut raisonnablement penser que sur une entreprise de 1000 personnes il ne serait pas trop compliqué d’obtenir avec un subterfuge un rien plus évolué le mot de passe de quelques employés.

Vous trouverez la vidéo du reportage réalisé avec la RTBF sur http://www.rtbf.be/video/detail_prudence-sur-les-mots-de-passe?id=2066370.

Le site utilisé pour l’occasion est visible sur http://www.apalala.be/RTBF/.

Ne vous inquiétez pas, le formulaire ne garde aucune information.

En conclusion, il reste évident que l’ingénierie sociale à un très bon rendement pour les personnes qui visent vos informations: le coût de mise en oeuvre est relativement faible et le retour plutôt important. Notre seule barrière de défense reste la sensibilisation et surtout l’éducation des employés à ces problématiques.

Et puis n’oubliez pas, utilisez quelques mots de passe, plutôt longs de préférences, que vous pouvez utiliser en fonction du niveau de confiance que vous accordez aux sites sur lesquels vous les utilisez (Banque, email, professionnel, site de vente, média sociaux, etc.) ou utilisez des logiciels de gestion de mot de passe.

 

Une explication de techniques de hacking en image

Un très estimé collègue, Xavier Mertens (qui tient l’excellent blog /dev/random), a aidé les journalistes de l’émission de la RTBF « On n’est pas des pigeons » à réaliser une petite expérience de piratage informatique d’une famille belge. Le reportage est un résumé des heures passé dans la camionnette, pas très chaude, de la RTBF et de tout ce qui a été entrepris pour arriver à pirater le réseau de la famille. C’est assez éloquent et assez juste. Un excellent travail de journalisme d’Emmanuel Morimont et un tout aussi excellent boulot de Xavier de réaliser cet exploit en quelques heures (même si il a eu un coup de main de la « victime » afin de ne pas devoir attendre des jours avant que quelqu’un de la famille ne morde à l’un des hameçons). En sus, après la séquence tournée avec Xavier, quelques explications du commissaire Olivier Bogaert de la Computer Crime Unit de la police fédérale sur d’autres manière de se faire avoir par la technique utilisée par Xavier.

Voici le lien vers la vidéo: http://www.rtbf.be/video/detail_piratage-via-wifi?id=2057967

et la page de la séquence sur le site de l’émission: ICI

 

Toi aussi amuses-toi avec les consignes de sécurité…

Les responsables sécurité ont rarement la réputation de joyeux lurons. En général, un « security officer » qui débarque dans une réunion est souvent perçu comme l’empêcheur de tourner en rond. Si c’est le cas, il a du travail à faire car, à mon humble avis, il devrait être perçu comme la personne qui va permettre de faire avancer l’entreprise et ses projets en les sécurisants et en les rendant pérenne.

On ne le répétera jamais assez, aucun plan de sécurité, aucune politique, n’a d’utilité si elle n’est pas communiquée, comprise et appliquée par toutes les personnes concernées. Dans la plupart des entreprises, la sécurité est l’affaire de tous. Trop fréquemment, malheureusement, les campagnes de sensibilisation à la sécurité sont peu imaginative, incompréhensible, peu attirante (pour ne pas dire moche) et certaines vont même jusqu’à favoriser des comportements opposé à ses objectifs grâce à une communication et à un message inadapté.

Les compagnies aériennes n’échappent pas à la règle. Afin d’assurer la sécurité de leurs passagers, ceux-ci sont priés d’écouter au début de chaque vol les consignes de sécurité leur rappelant de boucler leur ceinture, de ranger leurs bagage à main et de respirer dans le masque à oxygène si celui-ci venait soudainement à apparaître devant eux. Si vous avez un jour pris l’avion, vous vous en souvenez peut-être. Vous vous rappelez probablement aussi que c’est un moment légèrement barbant (surtout si vous voyagez souvent en avion). Je ne sais pas si certaines enquêtes ont montré que la plupart des passagers ne se souviennent pas de ces règles élémentaires mais il semble que certaines compagnies (ou parfois certaines hôtesses ou steward) investissent dans une communication plus agréable de leurs consignes.

Il serait intéressant d’évaluer si ces initiatives augmentent la mémorisation des règles de sécurité et surtout la concordance des comportements des passagers avec ces règles. Il est fort probable que le principal avantage de ces initiatives est de donner une meilleure image de l’entreprise, plus sympathique. Il y a cependant une leçon à tirer de cela, surtout pour les responsables sécurité qui sont perçus comme barbant (tout comme leurs règles): avec un peu de créativité, on peut changer l’image, la perception des règles et aussi, probablement, augmenter la « compliance » à celle-ci. Voici donc quelques exemples de créativité en la matière. Si les aspects de communication persuasive ne sont pas toujours pris en compte, au moins, c’est amusant et ça correspond déjà plus à l’une des règles essentielles: KISSS (Keep it Simple, Stupid & Sexy).

Altruism is contagious and might bring you happiness

Many studies clearly indicates that altruism is a key element of happiness. Many enterprises have understood this and have create corporate social responsability programs to support altruistic actions. If you should had the chance to win at the lottery, you’ll had better chances to be happy if you spend your money for others than yourself. Being empathic is a key factor of social success. In fact, taking care of each other is most likely to be deeply anchored in our nature. We are basicaly good people, we just need to let it be more often. And, best of all, it might be contagious.

We should continue to foster selflessness and good actions in our private as well as in our work life. Caring for people around us makes our lafes happier.

I found this beautiful video on YouTube. It is not clear if it is the official videoclip for the music of Noah & The Wale « Give a little love » but the music fit perfectly to the video and it is very inspirationnal.

Enjoy!

Who don’t need arbejdsglaede?

Arbejdsglaede is the nordic word for Happiness at work. The video below is a nice animation from Alexander Kjerulf on arbejdsglaede (= Happiness at work). It is fun and accurate.

You can also visit the related website with videos of happy people at work! http://whattheheckisarbejdsglaede.com/

As cherry on the cake, a video that shamm make you smile, as it is all that this prince of positivism is aiming at:
Honk if you love someone

No training is (often) bad training

When we talk about training, it is common to ear that they should be given on purpose. The purpose being « doing a better job ». Likely, when someone need a specific skill she/he doesn’t have yet, it is often when we can demonstrate a Return on Investment that he/she will be sent in training.

This is quite black or white. To be or not to be skilled! In real life, people may have partial skills, or a minimal level of proficiency in a skill. Sometimes they believe they have the skill and as you might know, the worse thing than not having a quality is believing you have it (so you are certain you will never get it).

Nowadays, creating documents is not the sole tasks of secretary. They don’t exist as such anymore, they are Personal Assistant. Why, because most people, including managers, create and type their documents by themselves. Reports, emails, presentations, spreadsheets, who isn’t working with those beautiful office tools? Which percentage of users are sufficiently skilled to use these tools efficiently? In 2012, I still have seen manually generated table of contents in large documents, titles underlined using underscores, mistakes in spreadsheets due to lack of knowledge of the tools or surcharged presentation missing their primary objective: convince people. OK, they are just loosing time and efficiency. As time and efficiency are money, companies are just loosing money due to the lack of training. Is it so bad? No, if you can train them now and stop loosing money.

Though, as Jack Zenger underlined it in his article « We wait too long to train our leaders« , no training is bad training, even more for soft skills. Why? Even if you are not trained, you do practice and practicing bad behaviors is fostering bad habits. With spreadsheets and word processors, it can be corrected easily. But, when it comes to soft skills, to human interactions, it is another challenge to correct bad habits. Moreover, if a manager is a lousy communicator, improving his listening and communication skills will not be the only challenge. Having his staff letting him the chance to use his new skills, to trust him might take some time. In the meantime, as you must know, your employees are living their bad managers, even if you, as a company, are proposing attractive salary or bonuses.

Most managers I know have difficulties to manage people. Budgets, programs, projects, objectives, board seems to be somehow difficult but still manageable. People? No thank you. Conflicts, competition, motivation, expectancies, turnover, headhunter recruiting your best elements, stress, emotions management… it is not an easy task to manage human. In fact, you don’t manage them, you can just love them (or hate them, but its seems less efficient). Nevertheless, as a recent article in Le Monde was pointing out: more and more managers don’t want to be managers anymore. Companies are then loosing good employees and managers.

Of course, universities and management schools don’t prepare well to this task. Even with a degree in psychology, you won’t be ready to be a manager. Of course you have natural born managers. Some of them even became great leaders and created their own companies. But, what will the 98 other procent do?

Yes, we can train them. In fact, you MUST train them. Not tommorow when they will come to you nearly burned out. No, today! Now!

But how? What do they need? After more than a couple of decade spent working for companies and organization of all sizes, I still have the feeling that, before being bad communicators, a lot of managers are bad listeners. Too often also, we find narcissistic managers, lacking empathy, certainly a good quality to find amongst leaders. Above stress management, emotion management should be also a good skill to develop. (see Daniel Goleman video below for more insight around the emotional intelligence and leadership). Being mindful does certainly helps too. A manager able to stop, take time, take some distance, will likely be more available for his collaborators, to be more creative, to listen. Honnesty, integrity is also something you expect from Managers, as you certainly already do. Nevertheless, this honnesty must encompass his relationship with all the employee. He should not be put in such position by the organization that he cannot be honnest with them (I already wrote on Corporate values, I will certainly come back to this soon).

So, to summarize, inmy top 5 of soft skills a manager should have:

  • Listening
  • Empathy
  • Mindfulness
  • Emmotional intelligence
  • Honnesty

As these 5 skills are thightly bound together,  you might look for some holistic approach. Of course, higher in the hierarchy you start, the better.

 

Additional reading (external):

The Value of a Good Manager? People Leave Managers Not Companies!

Forbes.com: Why your employee are living?

Daniel Goleman « Social Intelligence and Leadership » sur Harvard Business Publishing on YouTube

What motivates us?

Here is a link to a animated video of Dan Pink, author of the famous book on motivation, « drive ». If there is just one thing to remind from this speech it is that you should not consider your employees as horse that need to be motivated but just let them do their job. If you think they don’t do it right, teach them, train them, give them the freedom to improve themself, to master their work. It will cost you less money at the end, be more efficient and will provide more satisfaction to your employees. In return, they will be more engaged, be more likely to stay within your company and be more productive.

Think in terms of implicit communication: If you have to pay them more to do their job, the implicit reason is that their job is so boring that it requires higher reward. If you don’t pay much, it must be fun. Even if the job is not boring in itself, you imply somehow that it is.

So, don’t try to control their work, just let them improve themself because they want to. Foster their desire to master, nurture it. Provide the right environment. Be a cultivator. You don’t require to your plant to grow faster or better, you just provide the right food, water and good spot with light. You control the conditions that allows your plants to grow. Why do we try to do otherwise with people? They are not plants? Of course, but they just want to grow.