Un employé ouvre la pièce jointe d’un e-mail. Celui-ci provient d’une personne qui prétend être un collègue d’un autre département.
La pièce jointe s’avère finalement contenir un fichier malveillant.
Le mal est fait : le réseau de l’entreprise a été piraté.
Ce type d’attaque n’a rien d’exceptionnel. La presse informatique relate souvent des faits similaires. Mais vous êtes-vous déjà demandé comment les hackers parvenaient à se jouer de professionnels compétents ?
Comment savent-ils à qui envoyer cet e-mail malveillant ? Comment trouvent-ils quoi dire pour faire tomber la victime dans leur piège ? D’où tirent-ils toutes ces informations, qui leur permettent de passer pour un membre de l’entreprise ?
La réponse est simple. Elle est même évidente : LinkedIn.
LinkedIn et la phase de reconnaissance
La première phase de ce genre d’attaque est celle de la reconnaissance : le hacker collecte des informations à propos de l’entreprise et de ses employés : leur poste, de leur adresse e-mail, etc. Quel meilleur endroit que LinkedIn pour mener une telle recherche ?
« LinkedIn représente une mine d’informations, tant professionnelles que personnelles. Et elle est aisément accessible », écrit Trevor Christiansen, testeur d’intrusions informatiques. « N’importe quel hacker cherchant à se saisir de données professionnelles hautement sensibles peut se servir LinkedIn. Il utilisera ce réseau pour trouver un point d’entrée dans l’entreprise. »
Les hackers bienveillants, comme Christiansen, utilisent eux aussi LinkedIn pour collecter des informations… mais ils le font avec un objectif louable : tester et améliorer la sécurité d’une organisation informatique. Dans sa récente keynote au salon CeBIT, Christian Fredrikson, CEO de F-Secure, a décrit deux des exercices de hacking éthique mis en œuvre par l’équipe des hackers F-Secure. Dans le premier, les hackers ont ciblé des employés qui ont mentionné des informations directement exploitables dans leur profil. Dans le second, ils ont ciblé des développeurs de code source.
Comment font donc les hackers pour se faire passer pour un membre de l’entreprise ?
Knud, hacker bienveillant de l’équipe de cybersécurité F-Secure, décrit le mode opératoire le plus fréquent :
« D’abord, vous devez rechercher des employés travaillant pour l’entreprise cible, grâce à LinkedIn. Ensuite, à partir de cette liste de noms, vous initiez une recherche Google, pour trouver une adresse e-mail correspondante. » Vous obtenez finalement plusieurs adresses du type : prénom.nom@entreprise.com
« Envoyez ensuite quelques e-mails à ces employés en leur posant une question stupide comme : « Bob, c’est bien toi ? Ça fait longtemps. » Avec un peu de chance, l’un d’eux va vous répondre et vous obtiendrez la signature de l’entreprise. À partir de cette signature, des noms, des intitulés et descriptions de postes publiés sur LinkedIn, vous pouvez commencer à envoyer de faux e-mails internes ».
Utiliser l’ingénierie sociale
Plus les professionnels publient d’informations sur leur profil, plus il est facile pour les hackers d’utiliser les techniques d’ingénierie sociale.
« Par exemple, un employé dresse sur LinkedIn l’inventaire de ses compétences graphiques. Fort de ces informations, il vous suffit de lui envoyer l’e-mail suivant : « Compte-tenu de votre expérience en design d’icônes et en gestion de calques, pourriez-vous jeter un œil sur le document que nous avons réalisé pour le département <nom d’un autre département> ? Vous trouvez le fichier en pièce jointe (fichier malveillant). N’hésitez pas à revenir vers nous dès que possible. »
S’il a besoin de plus d’informations, le hacker peut également créer un faux profil pour se mettre en lien avec les employés de l’entreprise ciblée. Il disposera ainsi d’un accès encore plus large au réseau de l’entreprise.
Ces informations, combinées à celles glanées sur Facebook et sur d’autres réseaux sociaux (centres d’intérêts, loisirs) permettent aux hackers de dresser un portrait relativement précis de l’employé visé, et d’affiner encore davantage leur attaque.
La meilleure défense
Alors que peut faire un employé… Ne publier sur son profil que les données essentielles ? Ne pas faire figurer son employeur actuel ? Ces précautions enlèveraient à LinkedIn tout son intérêt. Les informations du profil servent justement à créer du lien, à faire naître de nouvelles opportunités professionnelles. Les entreprises elles-mêmes apprécient d’être mentionnées dans les profils de leurs employés. Cela leur procure une certaine visibilité.
Pour Sean Sullivan, Security Advisor chez F-Secure, l’auto-censure n’est pas la solution. « Les employés ne vont pas amputer leur profil LinkedIn d’informations utiles. Une entreprise soucieuse de sa sécurité informatique doit toutefois faire en sorte qu’ils soient vigilants. »
Face à ce type d’attaques, la sensibilisation est la meilleure des armes. Ces informations peuvent apparaître sur LinkedIn, le tout est d’être conscient que les hackers peuvent s’en servir et les exploiter. Sensibiliser les employés aux tactiques d’ingénierie sociale est la clé pour leur apprendre à se méfier de toute communication qui semble un tant soit peu suspecte.
Les hackers apprécient LinkedIn… Mais ils cesseront de s’en servir lorsque ce type d’attaques ne sera plus efficace. Un seul secret, donc : être conscient du risque et rester vigilant.
Image © Mambembe Arts & Crafts
Catégories