SystanciaBlogCybersécuritéIl était une fois en Cyberland

Il était une fois en Cyberland

Si le fou prévient d’un danger, fuyez.
Proverbe Téké


Dans l’article [01], j’ai rappelé que le danger peut être d’origine interne à l’organisation que vous gérez/administrez/supervisez. J’avais vaguement en tête (mais sans réellement le citer) l’histoire du Cheval de Troie qui est tout de même une des plus grandes ruses de guerre, vous en conviendrez.

Penchons-nous aujourd’hui sur le cas de l’utilisateur disposant de droits élevés mais agissant maladroitement et bien entendu de façon involontaire.
Avant de commencer, il convient de préciser que toute ressemblance avec des faits réels ne serait que pure et fortuite coïncidence. Le présent article ne reflète que l’opinion de l’auteur.


L’article [02] est une illustration fictive d’une agression dans le domaine cyber entre deux États. Dans le présent article, nous allons nous inspirer de l’attaque décrite et considérer trois acteurs principaux : l’utilisateur victime (le Bon), l’administrateur d’une organisation (la Brute) et l’attaquant (le Truand). Pour résumer, le Truand souhaite attaquer l’organisation gérée par la Brute en manipulant le Bon. Bien évidemment, les motivations du Truand peuvent être multiples : espionnage, déstabilisation, destruction, etc.


La Brute est l’administrateur d’un parc informatique où tous les utilisateurs (dont le Bon) sont administrateurs de leur poste de travail. Cette pratique n’est pas du tout recommandée mais, je place volontairement le Truand dans les meilleures conditions.

Un jour, au détour d’une conversation anodine, le Bon annonce innocemment à la Brute que lors d’un déplacement professionnel, il a rencontré une jeune femme (ou un jeune homme, en fonction des goûts que le Truand aura décelés par une veille stratégique grâce à la technique de social engineering) avec qui il a tout de suite sympathisé. Bon, là tout de suite on sent le traquenard, non ? Un jour, un vieux colonel m’a dit : « si en vingt ans, tu n’as jamais eu de succès avec les filles et que maintenant, de belles blondes te tombent dans les bras, c’est louche, méfie-toi ! ». Mais oui, il avait tout compris !


Bref, le Bon sympathise avec cette personne étrangement avenante. Le Bon lui raconte qu’il souhaiterait communiquer avec son entreprise mais qu’il n’a pas d’outil de type VPN SSL (par exemple) pour réaliser cela. Ça tombe bien, la nouvelle copine (ou copain) s’y connait et bien évidemment lui conseille un outil qui fait ça très bien et qui, en plus, est gratuit. Ni une, ni deux, sans demander conseil à la Brute et sur la simple parole de cette nouvelle connaissance, le Bon installe sur son poste cet outil (il est administrateur, ne l’oubliez pas) et pense ainsi être en sécurité pour communiquer avec son organisation.


Stop, fin de l’histoire… Le loup est entré dans la bergerie. C’est normal, on lui donne les clés de la maison, on lui a ouvert la porte et en plus on l’autorise à se coucher dans notre lit. Pourquoi se gênerait-il ?
Vous l’aurez compris, le Truand est la personne rencontrée « par hasard » (qui fait toujours bien les choses, non ?). Par simple manipulation (et surtout un manque de vigilance de la victime), le Truand a potentiellement pris possession d’un poste de l’organisation pour pouvoir naviguer au sein de cette dernière tranquillement.


En conclusion, comme cela est annoncé dans l’article [01], la sécurité n’est pas une option mais ce n’est pas une sinécure non plus je l’avoue. En matière de cybersécurité, l’information et l’éducation des utilisateurs (ayant ou non des privilèges élevés) doivent être des priorités pour les administrateurs de système d’information. Cependant, cette sensibilisation ne suffit pas à éviter tous les pièges et doit venir en complément de solutions techniques telles que (liste non exhaustive) :

  • Chiffrement complet des disques durs,
  • Pas d’usage régulier avec les droits administrateurs,
  • Utilisation d’outils TIC largement éprouvés (voire certifiés) et surtout validés par l’administrateur de l’organisation,
  • Postes dédiés pour les déplacements,
  • etc.

Pour conclure, comme l’a dit le Premier Ministre Édouard Philippe : « La sécurité est l’affaire de tous ». Pour ma part, je vous invite à ne pas tomber dans la paranoïa mais à toujours avoir une conduite responsable.

Références


[01]        Soliloque autour d’une démarche cohérente de veille

[02]        Cyberattaque 2.0 : comment mêler exploits techniques et manipulation humaine ?

Publié le 05 octobre 2018 par Systancia
Thématiques
VPN Cybersécurité CIO Développeurs

Ne manquez pas ces évènements :

Ces articles pourraient vous intéresser :