Relier les points entre phishing, données d’origine humaine et données compromises

Une gestion efficace des données et des permissions d'accés combinée avec la formation des employés peut permettre de détecter de limiter les attaques de phishing, voir de déjouer ces dernières. Il y a toutefois certaines informations qu'ils faut identifier et prendre en compte.

Récemment, ne revenions sur notre blog anglais sur certaines des conséquences de la récente allocution de Bruce Schneier lors d’une conférence sur la cryptographie qui a eu lieu à New York. En résumé, les menaces avancées persistantes (advanced persistent threats, APT) combinées aux attaques de phishing ont bouleversé l’équilibre de la sécurité des données et les pirates (et les services de renseignement gouvernementaux) se trouvent du côté gagnant. Si vous suivez régulièrement l’actualité de la sécurité informatique, cela ne devrait pas être une surprise totale, même s’il faut bien l’avouer, entendre des experts dire que la cryptographie « devient moins importante » est gênant. Mais il est possible de voir la situation actuelle d’une autre façon.
Nous ne disons pas que nos serrures sont « dépassées » parce que celles-ci peuvent être forcées par n’importe quelle personne disposant des outils et de la formation adéquats. Ainsi que le fait remarquer monsieur Schneier, tout comme il existe des serrures de meilleure qualité et des serrures à pêne dormant, il existe des cryptographies et d’autres mesures de sécurité fortes qui doivent constituer votre configuration par défaut.

Une invitation au phishing

Il faut absolument mettre en place une sécurité, un chiffrement et une authentification qui soient meilleurs. Bruce Schneier souligne toutefois que la véritable astuce apprise par les pirates est comment contourner les barrières de sécurité. Et dans le cas des attaques de phishing, les cybercriminels n’auront pas besoin de crocheter la serrure, ils seront en fait invités à entrer par la grande porte.
Le Rapport d’enquête sur les compromissions de données (Data Breach Investigations Report, DBIR), l’enquête annuelle de Verizon sur le piratage, constitue l’une de nos sources préférées en ce qui concerne les statistiques sur le piratage. Selon ce rapport, les attaques dans lesquelles les victimes ont été poussées à révéler leurs informations, ou attaques d’ingénierie sociale, ont atteint 52 % en 2012. Le phishing représente l’essentiel des attaques sociales, loin devant les faux-semblants et les pots-de-vin démodés.
En tant qu’expert en sécurité, vous devrez accepter la dure réalité : un e-mail ou un message texte de phishing suffit à tromper un employé ou à tenter ce dernier de cliquer et de télécharger une APT. En d’autres termes, les pirates entreront. Et ensuite ?
Une fois que l’APT est activée et s’approprie les informations d’identification de l’utilisateur ciblé, les cybervoleurs distants recherchent des données facilement monnayables dans les systèmes de fichiers : numéros de carte de crédit, comptes bancaires, numéros de sécurité sociale et autres IPI.

La théorie du Big Bang des données d’origine humaine

Comprendre la façon dont vos données se propagent à travers le système de fichiers devient donc essentiel. Bien sûr, la plupart des collaborateurs de l’entreprise ne laissent pas volontairement des millions de numéros sous forme de texte en clair dans des dossiers facilement accessibles. Le point clé est que les données non structurées générées par les employés ont leur propre cycle de vie et que celui-ci peut hélas conduire précisément à cette sorte de fatalité.
Les informations de carte de crédit et autres informations spécifiques de comptes clients au format texte proviennent souvent de bases de données centralisées, à savoir des enregistrements des systèmes ERP exportés ou téléchargés par les employés sous forme de fichiers ou de feuilles de calcul lisibles.
Mais l’aspect collaboratif des données d’origine humaine entre alors en jeu. Les travailleurs du savoir ajoutent leurs idées, leurs analyses et génèrent une cascade de nouveaux contenus, lesquels comportent souvent des références et des extraits des versions intelligibles des enregistrements d’origine. Ensuite, les présentations et documents recelant ces précieuses informations personnelles voyageant d’un serveur de fichiers à l’autre, voir des contenus riches en IPI finir dans un dossier avec des permissions de type « tout le monde » n’est qu’une simple question de temps.

Avec des APT conçues pour rester furtives et permettre aux pirates d’analyser les systèmes de fichiers souvent pendant des mois entiers, il y a fort à parier que ceux-ci finiront par trouver le trésor.

Comment faire face aux attaques de phishing

La bonne nouvelle est que les employés peuvent être formés à repérer les attaques de phishing. Voici quelques informations et conseils de base qu’il serait bon de distribuer largement à vos collaborateurs et à votre personnel informatique :
  • Au travail, ne cliquez jamais sur le lien d’un courrier électronique prétendant provenir d’une banque, d’une compagnie aérienne, d’un service de livraison ou d’une société de carte de crédit.
  • N’extrayez jamais le contenu d’un fichier .zip provenant d’une adresse extérieure à l’entreprise, en particulier s’il s’agit d’un des types de sociétés mentionnés précédemment.
  • Les employés doivent être formés à l’identification des noms de domaine intégrés dans les adresses e-mail ou le code HTML des sites. Les pirates occultent souvent le domaine de niveau supérieur. Toutefois, développer l’adresse e-mail ou regarder l’URL sous-jacente dans la barre d’état du navigateur permet rapidement de voir un nom de domaine différent de celui de la marque de façade.
  • Certaines entreprises ont même exécuté des simulations d’attaques de phishing afin de mesurer la sensibilité de leurs employés, une idée que vous pouvez vous-même explorer.
Le service informatique peut également jouer un rôle important dans la réduction ou l’élimination des IPI trouvées dans les dossiers et répertoires aux permissions trop floues. N’oubliez pas que les APT ne nécessitent généralement pas de permissions strictes pour trouver et « exfiltrer » les IPI et autres données de valeur. L’objectif du service informatique devrait être de trouver les données sensibles qui ont échappé aux zones plus surveillées des systèmes de fichiers.

Voici quelques conseils pour atténuer une violation de sécurité des données :

  • Un bon plan de défense consiste à analyser régulièrement votre système de fichiers à la recherche d’IPI dans des emplacements non standards. Les définitions d’IPI varient selon les secteurs d’activité. Le secteur médical et le secteur financier en particulier sont soumis à leurs propres réglementations, de sorte que vous devrez connaître les définitions juridiques ou les règles de conformité du domaine concerné lors du développement des modèles de recherche.
  • Il est également essentiel que les gestionnaires de données participent aux décisions d’approbation des demandes d’accès par de nouveaux utilisateurs et examinent régulièrement les utilisateurs existants afin de supprimer les accès devenus inutiles. Autrement dit, l’idée est de minimiser le nombre d’utilisateurs ayant accès à des données sensibles et de rendre plus improbable l’accès aux IPI par un utilisateur aléatoire constituant la cible d’une attaque de phishing.

ERP / Chiffrement