Crélan victime d’une fraude de 70 millions EUR par ingénierie sociale?

Le 19 janvier 2016 la presse belge a révélé que la banque belge Crélan aurait été victime d’une fraude à hauteur de 70 millions d’Euro. Bien que le journal l’Echo ne donne pas énormément de detail sur le sujet, De Morgen cite des sources qui mentionnent une fraude utilisant de l’ingéniérie sociale via des emails. Il semblerait que les fraudeurs auraient envoyés des emails qui proviendraient prétendument du CEO de la banque, demandant à certains employés d’effectuer des virements aux montants importants vers des comptes externes à la banque.

Ce genre d’attaque est relativement simple et peu coûteuse à mettre en oeuvre et ne peut réussir que si une série de conditions sont rencontrées:

  • Au niveau de la gouvernance et des processus, une faille dans les processus de contrôle interne qui permet à une seule personne d’effectuer des virements sans avoir une validation formelle préalable;
  • Au niveau technique, un système qui permet de recevoir de l’extérieur des emails qui peuvent sembler provenir de l’intérieur de l’entreprise, et encore plus de son CEO;
  • Au niveau humain, un manqué de sensibilisation et de formation aux techniques d’ingéniérie sociale qui permet d’abuser de la bonne volonté et de la crédulité du personnel de la banque.

Comme d’habiture, on retrouve la trilogie Personnes-Processus-Technologie dans les risques identifies. Cela nous rappelle une fois de plus la nécessité d’une approche « holistique » de la sécurité tenant compte de tous les facteurs de risques et surtout de la partie trop souvent négligée qui est le facteur humain. N’oublions jamais que les processus ne sont efficaces que si les personnes qui les opèrent les suivent correctement. De même pour la technologie qui est toujours configurée et gérée par des êtres humains qui peuvent être facilement manipulés, voire même menacés.

Trop souvent la sécurité de l’information est vue comme une problématique technique alors qu’il s’agit réellement d’une problématique profondément intriquée dans les processus de l’entreprise et dans ses forces vives.

La séduction comme outil de hacking

Quel est le point commun entre James Bond et le premier hacker venu?

On peut en trouver quelques-uns mais le plus évident, c’est leur objectif commun: collecter de l’information! Car, bien qu’on semble parfois l’oublier, l’objectif premier d’un espion n’est pas de séduire toute la gente féminine et de tuer tous les mâles alpha armés qu’il rencontre mais bien de faire du renseignement. Et si les espions utilisent de plus en plus les services des hackers pour arriver à leurs fins, les hackers utilisent de plus en plus les techniques les plus anciennes des espions: la manipulation, l’ingénierie sociale, le chantage.

Kevin Mitnick, un ancien Hacker « repenti » après avoir fait quelques années de prison pour délit informatique, a d’ailleurs consacré quelques livres à la plus grande faiblesse des systèmes informatiques: l’humain. Il en a d’ailleurs fait son fond de commerce.

Ces techniques utilisées par les espions tout comme les terroristes (Le Manuel d’AL Quaeda trouvé à Manchester, dont vous pouvez trouver une traduction sur le site du US Department of Justice, mentionne aussi des techniques d’espionnage utilisant les êtres humains (HUMINT – Human Intelligence).

En soit, rien de nouveau sur le soleil. Bien que ces techniques soient utilisés depuis la nuit des temps, la plupart des responsables sécurité sous-évaluent constamment le risque. On peut imaginer que cela est dû au profil parfois plus technologiques de certains RSSI (ou CISO) ou à l’impression qu’ils ne peuvent pas y faire grand chose, à part coller des posters, faire des petites séances d’information et compartimenter l’information. Trop souvent on confond sécurité informatique et sécurité de l’information. N’oublions pas que l’information est ce que l’on cherche à protéger, ou du moins, celle qui a de la valeur. Les systèmes informatiques, bien que de plus en plus présents dans nos vies, n’ont pas l’apanage de l’information. Que ce soit sur papier, dans nos conversations ou dans nos têtes, l’information est insaisissable et donc, de facto, difficile à contenir et à protéger. De plus, l’information est généralement destinée, in fine, à être utilisée par un ou plusieurs êtres humains. L’élément humain est donc indissociable de la protection de l’information.

Mais je m’éloigne de mon sujet: La séduction comme outil de hacking. D’abord, pourquoi est-ce que je viens avec ce sujet particulièrement? Hier je lisais un Tweet parlant de SexyCyborg, une jeune « hackeuse » (ou du moins, elle prétend s’y intéresser) chinoise qui a imprimé des chaussures 3D lui permettant de cacher son matériel de hacking. Sur sa page Imgur, elle dit ceci: « So I got to thinking- if I had to do penetration testing on a corporate facility, how would I do it? Social engineering for one- I’m a natural honeypot » (Ma traduction: Je me suis mise à penser: si je dois faire des tests de pénétration dans une entreprise, comment vais-je faire? De l’ingénierie sociale pour commencer – je suis un pot-de-miel [Honeypot] naturel).

Pour bien comprendre, je reprend une photo de cette jeune personne qui n’hésite pas à mettre son physique en avant:

SexyCyborg

Elle ajoute ceci juste après: « I think there’s a reasonable chance that a guy might invite me back to their office after a few drinks in the neighborhood? » (Ma traduction: Je pense qu’il y a une probabilité raisonnable qu’un type m’invite à son bureau après avoir bu quelques verre [avec lui] dans les environs).

Sans juger de l’attirance de son physique ni de ses tenues, la psychologie sociale a plutôt tendance à lui donner raison. Si voulez manipuler quelqu’un, il est préférable d’être séduisant. Et si ce quelqu’un est un homme hétérosexuel (ce qui est souvent le cas dans l’IT), être une jolie femme aide grandement (qui s’en serait douté?). Avoir une poitrine opulente et mise en valeur, encore plus (vraiment?). Quelques minutes de discussions dans une atmosphère intime, un peu d’alcool et un décolleté plongeant pourraient donc bien venir à bout de vos systèmes de protection les plus coûteux.

En plus des sciences psychologiques, l’histoire de l’humanité et particulièrement de l’espionnage, nous rappelle combien la séduction est un outil fort utile et souvent fort efficace, pour obtenir des informations. Mata Hari n’a pas marqué son temps pour rien et plus récemment, l’affaire d’espionnage impliquant Anna Vasil’yevna Chapman, nous a montré que même à notre ère du tout digital, le charme féminin restait une arme de premier choix. Bien sûr, la même chose est vraie pour les hommes qui peuvent aussi utiliser leurs charmes. En hacking comme en espionnage, il n’y a pas plus de sexisme que d’inhibition: tout ce qui fonctionne est bon à prendre. Tout est une question de coût et de rentabilité.

Et si vous pensez que la tâche ne peut être si facile, demandez-vous s’il est vraiment compliqué de trouver une photos d’un des responsables de vos systèmes informatiques sur Linkedin ou n’importe quel autre réseau social. Une fois cela fait, est-il difficile de se poster près de la sortie de vos bureaux et de suivre cette personne, identifiable par sa photo (et éventuellement par son badge que la plupart des gens oublient d’enlever quand ils sortent de l’entreprise), jusqu’à un bar, son train, sa salle de sport, son domicile, ou l’endroit où il rencontre sa maîtresse. D’ailleurs, vu les statistiques dévoilées dans le récent hack du site Ashley Madisson, on ne peux que se demander si l’éventuelle présence d’un membre de votre personnel dans la liste des utilisateurs (vous pouvez vérifier sur Trustify, à vos risques et péril) ne pourrait pas aussi être utilisé comme moyen de chantage pour obtenir des faveurs. D’ailleurs, il n’est probablement même plus nécessaire de suivre vos employés depuis l’entreprise, utiliser les réseaux sociaux est plus rapide et moins dangereux pour les rencontrer et les séduire (et en apprendre plus à leur sujet).

Ce n’est pas sans raison que les personnes qui sont titulaires d’une accréditation sécurité auprès d’un gouvernement sont invités à ne pas le mentionner (histoire de ne pas se mettre une cible sur le dos) et d’éviter d’avoir des affaires extraconjugales pour diminuer son exposition à des tentatives de chantage.

Tout cela amène bien sûr plusieurs questions: La vie amoureuse des employés devient-elle potentiellement un problème de sécurité pour l’entreprise? Et de là, où le droit à la vie privée s’arrête quand cette même vie privée devient une menace claire pour la sécurité de l’entreprise? La proportionnalité de la réponse n’est jamais facile à trouver et la gestion de la sécurité sera toujours bien plus un problème humain qu’un problème technologique, ne pensez-vous pas?

Pour terminer, quelques petites suggestions de lecture (si vous ne les connaissiez pas déjà):

  • « Psychologie de la manipulation et de la soumission » de Nicolas Guéguen (2014)
  • « 100 petites expériences de psychologie de séduction : Pour mieux comprendre tous nos comportements amoureux » de Nicolas Guéguen (2007)
  • « Influence et manipulation : Comprendre et maîtriser les mécanismes et les techniques de persuasion » de Robert Cialdini (2004)