Le facteur humain : maillon faible ou atout pour la sécurité ? Stanislas Quastana Architecte infrastructure http://blogs.technet.com/stanislas Cyril Voisin Chef de programme Sécurité https://blogs.technet.com/voy Microsoft France

Sommaire Les 3 facettes de la sécurité Le facteur humain : maillon faible de la chaîne de la sécurité L’ingénierie sociale (social engineering) Pourquoi et comment Le facteur humain : un atout pour la sécurité Les qualités spécifiques de l’humain pour la sécurité Solutions pour renforcer la sécurité par l’humain

Pas simplement des technologies…

Les 3 facettes de la sécurité Archivage Politique d’accès Installation Réparation Gestion des événements Gestion des perfs Gestion du Changement / de la Configuration Processus Restauration Sauvegarde Réponse à Incident Évaluation de risques Technologies OS Annuaire Correctifs IPSEC Kerberos PKI Chiffrement de fichiers SSL/TLS Clusters Détection d’intrusion Gestion de systèmes Supervision Pare-feu Antivirus Architecture sécurisée Personnes bien formées appliquant des processus bien conçus et des technologies adaptées Personnes Admin. de l’Entreprise Admin. Du Domaine Service/ Support Développeur Utilisateur

« Vous êtes le maillon faible ! » L’huma in « Vous êtes le maillon faible ! »

Qu’est-ce que l’ingénierie sociale ? L’ingénierie sociale (ou “social engineering”) : menace souvent sous estimée mais régulièrement exploitée pour tirer parti du maillon faible de la chaîne de la sécurité : l’être humain Forme de manipulation Art de faire en sorte que les personnes se conforment à vos souhaits Exploite les faiblesses du comportement humain (ignorance, naïveté, désir de se faire apprécier ou reconnaître…)

Pourquoi l’ingénierie sociale ? La manipulation, une fois maîtrisée, peut être utilisée pour obtenir l’accès à tout système en dépit de la qualité du matériel et des logiciels présents Certainement l’attaque la plus difficile à contrer car aucune technologie n’est en mesure de l’arrêter Motivation : gain financier, collecte d’information, revanche, espionnage industriel, ….

Un exemple “In 1994, a French hacker named Anthony Zboralski called the FBI office in Washington, pretending to be an FBI representative working at the U.S. embassy in Paris. He persuaded the person at the other end of the phone to explain how to connect to the FBI's phone conferencing system. Then he ran up a $250,000 phone bill in seven months.” Bruce Schneier. “Secret and Lies”. Pas uniquement dans les livres…. Social Engineering Fundamentals Exploiting the Human Bugs Anthony C. Zboralski <z@bellua.com> http://www.packetstormsecurity.org/hitb05/BT-Anthony-Zboralski-Social-Engineering.pdf

Le cycle d’une attaque par manipulation 1. Collecte d’infos 2. Développement relationnel 3. Exploitation

Les différentes approches psychologiques Diffusion de la responsabilité « Le chef dit que vous ne serez pas tenu responsable… » Possibilité d’obtention de bonnes grâces « Regardez ce que vous pouvez en tirer comme bénéfice » Obligation morale « Vous devez m’aider » Culpabilité « Quoi? Vous ne voulez pas m’aider !? » Relations de confiance « C’est quelqu’un de bien, je peux lui faire confiance » Identification « Vous et moi, on se comprend tous les deux » Désir d’aider « Pourriez-vous me tenir la porte svp, je suis chargé » Coopération « A deux, on ira plus vite »

Vecteurs d’attaques Il existe plusieurs vecteurs d’attaques possibles pour un manipulateur : Internet La téléphonie L’approche directe Le reverse social engineering La fouille des poubelles Chacun de ces vecteurs peut être utilisé pour exploiter une « des failles » humaines présentées précédemment et combiné avec d’autres vecteurs

1-Attaques via Internet Courrier électronique : Phishing Spear Phishing Scam Pièce jointe malveillante Messagerie instantanée Faux site Web Logiciel malveillant Boite de dialogue et fenêtre pop-up

2- Attaques au travers du téléphone Le téléphone est un média particulièrement apprécié par les manipulateurs car c’est un outil de communication très commun mais surtout très impersonnel   La plupart du temps, on ne connait pas la voix de toutes les personnes de l’entreprise et on fait confiance à l’identité affichée sur le combiné Avec l’adoption croissante de la VoIP, les cas d’usurpation d’identité vont être de plus en plus fréquents permettant là encore des attaques par ingénierie sociale

3- L’approche directe La majorité des gens considèrent que toutes les personnes qui leur parlent sont de bonne foi. Ceci est intéressant car c’est également un fait que la plupart des gens admettent parfois mentir La plus simple des méthodes utilisées par un manipulateur consiste à demander directement l’information Pour cela, plusieurs types d’approches sont possibles : L’intimidation La persuasion L’assistance ..

4- Le reverse social engineering Le reverse social engineering (RSE) est une situation dans laquelle la victime fait l’approche initiale. Dans ce cas de figure, le manipulateur est perçu comme une aide par sa cible. Ainsi, il paraît naturel pour la cible de poser des questions mais également de donner de l’information. Une attaque en RSE est le plus souvent décomposée en 3 phases : Sabotage Marketing Support Dans ce cas de figure, le manipulateur est perçu comme une aide (ou comme une personne ayant une plus grande expérience) par sa cible. Ainsi, il paraît naturel pour la cible de poser des questions mais également de donner de l’information. Sabotage : faire en sorte, par exemple, que la station de l’utilisateur ait un problème Marketing : inciter la victime à contacter le manipulateur (exemple : avec un numéro de téléphone ou une adresse électronique dans une fenêtre d’erreur) Support : finalement le manipulateur assiste sa victime et en profite pour obtenir l’information voulue

5- La fouille des poubelles Les poubelles de toute entreprise peuvent se révéler une mine d’informations La plupart des employés considèrent en effet qu’une personne qui connaît beaucoup de choses sur l’entreprise et qui utilise le vocabulaire interne est un vrai employé Et que trouve-t-on dans les poubelles ? Les vieux annuaires téléphoniques Les organigrammes Des procédures et autres manuels Des calendriers Des courriers électroniques Des brouillons de documents…

Comportements susceptibles d’attaques Ciblage de spécificités naturelles de l’être humain Attributs naturels (Pourquoi) Tactique (Comment) Confiance Approche directe, expert technique Désir de venir en aide Approche directe, expert technique, voix de l’autorité Désir d’avoir quelque chose gratuitement Cheval de Troie, chaîne de messages électroniques Curiosité Cheval de Troie, ouverture de pièce jointe d’un expéditeur inconnu Peur de l’inconnu ou de la perte de quelque chose Fenêtre popup Ignorance Fouille de poubelles, approche directe Négligence Fouille de poubelles, espionnage, écoutes

L’humain : un atout pour la sécurité !? Cf https://blogs.technet.com/voy, billet commun de Robert Longeon et Cyril Voisin

Le facteur humain en SSI Faut-il éliminer l’humain ? La sécurité serait-elle meilleure sans implication humaine ? NON, la solution pour une meilleure sécurité n’est pas nécessairement technique La cause de la plupart des incidents de sécurité est liée à des erreurs de management, de confiance aveugle des technophiles dans leurs solutions, manque de sensibilisation et de formation, …

Le facteur humain en SSI Différence entre sécurité voulue et réelle due à une transgression des règles ou à une violation de la politique de sécurité Études en sécurité, fiabilité et ergonomie : hiérarchisation des priorités Donc, pas nécessairement de volonté malveillante, mais adaptation des règles pour atteindre un but en présence de contraintes Il faut donc améliorer l’ergonomie pour aligner les règles et les objectifs

L’humain et la complexité Les systèmes d’information sont complexes La complexité ne peut pas être gérée par un automate à états finis (qui ne peut faire que ce pourquoi il a été conçu) Seul l’esprit humain est capable d’appréhender les situations complexes Ainsi, la nature imprévisible et fondamentalement irrationnelle de l’humain peut être le pire cauchemar du RSSI MAIS dans une situation imprévue, c’est un atout irremplaçable

Le facteur humain en SSI La SSI (sécurité des systèmes d’information) relève de la gestion des risques (prise de décisions) La SSI est le domaine des choix non déterministes Un système technique ne peut pas piloter la SSI, des personnes le peuvent SANS HUMAIN, PAS DE SECURITE DES SYSTEMES D’INFORMATION (et non pas l’inverse;-)) Piloter la SSI, c’est décider dans l’incertain plutôt que gérer les risques Le facteur humain est une incertitude, pas un risque

OK, et maintenant… qu’est-ce qu’on fait ? "Human hardening guide 1.0"

Démarche classique Mettre en place une organisation sécurité Sponsor hiérarchiquement haut placé Responsable(s) sécurité Information Physique Responsable de la formation / sensibilisation / communication Évaluer les risques Mettre en place les défenses appropriées dans le cadre de la politique de sécurité

Une défense à plusieurs niveaux 1- Politiques 2- Sensibilisation et formation 3- Durcissement des personnes 4- Les pièges anti-manipulateurs 5- Réponse à incident

1 - Politiques Permettent au management de souligner la valeur des informations de l’entreprise Fournissent une base légale pour influencer les décisions du personnel Définissent ce que les gens doivent faire ou ne pas faire (avec les sanctions associées) Ciblent les personnes qui doivent régulièrement répondre à des demandes (standard téléphonique, secrétariat, helpdesk…) Leur donner l’assurance nécessaire pour résister avec aplomb Sont réalistes et revues régulièrement

1 - Éléments de politique Confidentialité et classification des données Gestion et contrôle des accès (logiques & physiques) Gestion des supports papier (rangement & destruction) Création et gestion des comptes utilisateurs Politique de mots de passe Procédures du helpdesk …

2 – Sensibilisation Votre confiance doit se mériter, ne vous laissez pas duper Savoir ce qui a de la valeur Les personnes sympathiques ne sont pas nécessairement des personnes de confiance Les amitiés liées au téléphone sont peu fiables Les mots de passe sont personnels Comme les chewing gums L’habit ne fait pas le moine Le livreur n’est pas toujours un vrai livreur Authentifier l’appelant avant toute conversation sensible (même si elle n’en a pas l’air)

2 - Sensibilisation Signature d’une charte Réunions de groupe Utilisation des broyeurs Rappels périodiques Audits réguliers Lettres d’information Vidéos Bannière de logon Économiseur d’écran Brochures Panneaux Posters Bandes dessinées Tapis de souris Autocollants Bloc notes Stylos …

2 - Quelques exemples Le gardien : http://www.securityawareness.com/images/posters/Guardian-French_smpl.jpg Free material : http://www.securityawareness.com/free.htm ------------- http://nativeintelligence.com/freebies/index.aspx http://nativeintelligence.com/posters/posters.asp

2 - Formation : apprendre à reconnaître les signes Refus de l’appelant de s’identifier Précipitation Citation de noms Intimidation Fautes d’orthographe Questions bizarres …

3 - Durcissement des personnes ! Apprendre à dire « non » Nécessite le soutien entier et complet du management Entrainer ses employés Apprendre les arguments et contre arguments Marteler le message - Faire prendre conscience Cela existe vraiment Ça n’arrive pas qu’aux autres

4 - Les pièges anti-manipulateurs Identifier les inconnus Qui êtes-vous ? Où est votre badge ? Je vous raccompagne Journal des entrées & sorties; ouverture avec badge Politique de rappel téléphonique systématique Politique de “Veuillez patienter” Ne pas agir dans la précipitation, prendre le temps de valider la demande Question piège

5 - Réponse à incident Processus bien défini qui : Atténue les activités frauduleuses Alerte d’autres victimes potentielles Contacte le personnel de la sécurité Test régulier et mise à jour si nécessaire

Synthèse

Réduction de l’incertitude liée aux comportements inappropriés L’ingénierie sociale est un problème sérieux. Il faut non seulement établir de bonnes politiques pour s’en protéger mais aussi cultiver 3 ingrédients : Savoir : formation appropriée pour faire et connaître les politiques et apprendre les méthodes utilisées par les manipulateurs, les risques encourus pour l’entreprise et comment s’en prémunir Pouvoir : moyens et autorité nécessaires, responsabilité personnelle, récompense des initiatives personnelles Vouloir : avoir la volonté de réagir dans le sens de l’intérêt général (être responsable) Sélectionner les personnes qui peuvent détecter les anomalies Adapter la culture d’entreprise et le style de management

Thucydide, historien grec du 5ème siècle avant J-C « L’épaisseur d’un rempart compte moins que la volonté de le défendre » Thucydide, historien grec du 5ème siècle avant J-C

Références Remerciements à Robert Longeon Nos blogs Quelques livres http://blogs.technet.com/stanislas/ https://blogs.technet.com/voy Quelques livres L’Art de la Supercherie de Kevin Mitnick (ISBN 2-7440-1570-9) Petit Traité De Manipulation À L‘Usage Des Honnêtes Gens de Robert-Vincent Joule et Jean-Léon Beauvois Décisions absurdes de Christian Morel (ISBN 2-07-031542-8) Sur le site Web de Microsoft Portail sécurité http://www.microsoft.com/france/securite How to Protect Insiders from Social Engineering Threats http://www.microsoft.com/downloads/details.aspx?FamilyID=05033E55-AA96-4D49-8F57-C47664107938&displaylang=en

3/29/2017 11:32 PM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Annexe

Prevention strategies Area of risk Attacker tactic Combat strategy Help desk Impersonation and persuasion Train employees to never give out passwords or other confidential info by phone Building entrance Unauthorized physical access Tight badge security, employee training, and security officers present Office Shoulder surfing Don’t type in passwords with anyone else present (or if you must, do it quickly!) Impersonation on help desk calls All employees should be assigned a PIN specific to help desk support Wandering through halls looking for open offices Require all guests to be escorted Mail room Insertion of forged memos Lock and monitor mail room Machine room/Phone closet Attempting to gain access, remove equipment, and/or attach a protocol analyzer to grab confidential data Keep phone closets, server rooms, etc. locked at all times and keep updated inventory on equipment Phone and PBX Stealing phone toll access Control overseas and long-distance calls, trace calls, refuse transfers Dumpsters Dumpster diving Keep all trash in secured, monitored areas, shred important data, erase magnetic media Intranet/ internet Creation and insertion of mock software on intranet or internet to snarf passwords Continual awareness of system and network changes, training on password use Stealing sensitive documents Mark documents as confidential and require them to be locked General— psychological Keep employees on their toes through continued awareness and training programs