La débrouille, voilà l'axe principal de la stratégie d'attaque
des pirates informatiques. En langage expert, on appelle ça le
social engineering, ou ingénierie sociale.
C'est le système D appliqué à la chasse à l'information, pour trouver l'adresse IP des routeurs de l'entreprise, un mot de passe déterminant pour pendre les droits à distance ,etc.
Au téléphone, en se faisant passer par Transpac, on peut même arriver à berner un administrateur, censé être au parfum de ces types de risques.
Même si les chiffres varient, on estime qu'entre 50% et 75% des attaques informatiques ont une origine interne.
Soit une malveillance flagrante (laisser une porte ouverte dans le système) soit un détail, une information divulguée à quelqu'un que l'on croit de confiance.
Sujet assez sensible pour que tous les responsables de sécurité interrogés placent cette ingénierie au premier rang des techniques d'attaque.
Au premier rang, parce qu'il n'existe pas d'outil ou de logiciel pouvant sensibiliser le personnel d'une société sur l'importance d'un détail aussi insignifiant que le nom d'un des responsables, une liste d'adresses IP ou le mot de passe qui traîne sur le bureau.
" Il faut savoir que personne ne s'attaque à un détail réputé " insignifiant " sans une raison très spéciale, explique un consultant. Ainsi, le premier danger pour une PME/PMI n'est pas du tout la technique. "
La technique, dit-il, est important pour une banque qui doit se protéger des groupes mafieux , capables de payer une fortune de jeunes pirates doués pour attaquer des coffres-forts électroniques. " La PME a plus de problèmes avec les erreurs de ses propres employés, surtout leur ignorance. "
Parmi les scénarios plus évolués, citons celui, réel, évoqué sur l'internet..
Une société américaine X rencontre le professeur d'une école d'ingénieurs dans une conférence. L'école envoie régulièrement des stagiaires dans l'entreprise française Y. La société X embauche alors le professeur comme consultant. Il sélectionne deux étudiants, leur conseil de postuler chez Y, concurrent direct de X.
Les étudiants sont pris en stage et, pour obtenir la note nécessaire, ils laissent sur le réseau de quoi permettre à X de pénétrer. Le prof déclare au fisc les revenus de " conseiller " reçus de la société américaine X. Les étudiants n'ont rien volé, rien détourné, juste laissé un programme sur une machine où ils avaient l'accès. La technologie française est volée par X.
