Des milliards d’euros sont dépensés pour la cybersécurité à travers le monde, et ce chiffre va augmenter au cours des années à venir. Mais il y a une chose que les pirates exploitent encore et toujours, avec d’excellents résultats : l’erreur humaine.

 

Nous avons voulu comprendre la manière dont un pirate s’infiltre dans une entreprise depuis l’intérieur, alors nous nous sommes entretenus avec l’un d’entre eux, et lui avons posé quelques questions. Ses réponses risquent de vous surprendre.

 

R : On s’imagine les pirates comme des individus tapis dans l’ombre de sous-sols poussiéreux et qui essaient de s’introduire dans des systèmes de sécurité et de revendre des données sur le Web profond. Cette description est-elle exacte?

 

« Même si certains pirates correspondent à ce stéréotype, de nombreux autres en sont l’extrême opposé. Ce sont des gens qui vivent normalement, qui ne se cachent pas, et qui s’attachent à infiltrer des entreprises en passant littéralement par la porte d’entrée de n’importe quel bâtiment ou immeuble de bureaux. »

 

« Ce n’est pas complètement faux. Cela dépend vraiment du type de pirate auquel vous avez à faire -- mais il existe sans aucun doute des stéréotypes. »

 

« En effet, si j’étais entré dans votre bureau, vous ne vous seriez jamais douté que j’étais un pirate. Je me fonds totalement dans la masse, mais c’est aussi mon objectif. »

 

 

R : Est-ce que certains pirates s’introduisent dans des entreprises et les piratent depuis l’intérieur, à la James Bond?

 

« Tout à fait. Lorsque je veux voler les informations d’une entreprise, je passe des jours voire des semaines à scruter le devant de l’immeuble et à repérer les employés qui restent dehors pour leur pause déjeuner ou qui reprennent leur véhicule une fois leur journée de travail terminée. J’observe les vêtements qu’ils portent, ce à quoi ils ressemblent, s’ils portent des vêtements de marque, s’ils ont des badges avec leur nom, tous ces détails. Je prends des photos des employés, et beaucoup de notes. »

 

« Absolument! Les gens sont le principal point faible d’une entreprise (et pas seulement parce que la plupart des employés n’ont aucune idée de ce qu’est réellement leur job!). Si je veux savoir pourquoi une entreprise présente des failles en matière de sécurité, ou découvrir ce qu’il se passe sur le terrain, je rentre dans un bâtiment et je me renseigne. »

 

« Hahaha ! Peut-être pas tout à fait à la manière de James Bond, mais la fiction repose sur la réalité... et dans ce cas, c’est en grande partie vrai. Nous disposons de tous les outils possibles, que ce soit pour lire les données d’un badge d’identité, ou des minicaméras qui enregistrent tous les détails d’une conversation. Vous ne saurez jamais que je suis là. »

 

Q : C’est inquiétant! Menez-vous une enquête sur l’endroit que vous ciblez avant de passer à l’action? Comment savez-vous que vous pouvez pénétrer à l’intérieur?

 

« J’ai besoin de savoir exactement ce à quoi ils ressemblent et de quelle manière ils agissent, afin de pouvoir me fondre dans le décor de l’entreprise que j’envisage de “visiter”. Je montre les photos aux membres de mon équipe et ils me trouvent des vêtements similaires, le badge adéquat, etc. On peut apposer n’importe quel logo sur n’importe quel vêtement et ressembler exactement aux gens qui travaillent dans une entreprise. Il m’arrive même de copier un style de coiffure répandu ou la manière dont les gens se parlent entre eux. Nous [les pirates] sommes capables de copier chaque détail avec précision -- c’est important lorsque l’on veut se fondre dans la masse dans une entreprise. »

 

« Oui. Bien sûr. Si je veux “m’intégrer” à une entreprise qui expédie des produits, il faudra que je ressemble à toutes les personnes qui travaillent dans l’entrepôt. Il ne faut jamais viser trop haut non plus, parce que la plupart des gens savent à quoi ressemble leur patron, à moins que l’entreprise soit énorme. Vous seriez surpris de voir combien de gens ne savent pas à quoi ressemble leur patron! »

 

« Oui. J’observe chaque détail de loin, je prends des photos, j’attends dans une voiture garée un peu loin de l’endroit en question, je note les vêtements et les gestes des gens, et tout le reste. Il est également important de connaître les entrées et les sorties du bâtiment et de savoir comment se déplacer à l’intérieur.

 

Q : Et donc? Vous vous présentez un beau matin et vous entrez?

 

“Quasiment, oui. Je note les entrées auxquelles se trouvent des agents de sécurité, ou qui disposent de caméras de surveillance, et j’identifie les issues et les entrées qui ne sont pas protégées — croyez-moi, il y a toujours une porte ouverte et accessible. C’est celle-ci que j’utilise. À partir de là, j’attends que quelqu’un ouvre la porte ou prenne sa pause déjeuner et se joigne à une conversation. Souvent, quelqu’un me tient la porte ouverte!”

 

“Vous seriez surpris de voir à quel point cela arrive souvent. Je peux entrer dans la plupart des endroits et soit me fondre dans la masse en me joignant à un groupe de personnes en pause déjeuner, soit poursuivre mon chemin en passant les points de sécurité avec mon badge et en racontant des histoires.”

 

“Ouais, c’est fou comme c’est facile!”

 

Q : une fois que vous êtes à l’intérieur, est-ce que vous vous mettez à la recherche d’un ordinateur ou d’une salle de serveurs et passez tout de suite à l’action?

 

“Non. Je traîne pendant quelques jours, je visite les espaces communs, j’explique que je suis là pour animer une réunion, et j’apporte des beignets.”

 

“Oui! Les trucs à grignoter, ça marche toujours.”

 

“Oui, les beignets, c’est toujours efficace pour s’infiltrer dans un endroit!”

 

Q : des beignets? Pourquoi?

 

“Oui. Personne ne pose de questions lorsque vous entrez dans une pièce avec des beignets! Les gens sont plus qu’heureux de vous parler de tout et n’importe quoi lorsque vous avez une boîte de beignets à la main. Je peux découvrir où se trouvent les salles de serveurs, le bureau du PDG — bref, presque tout. Une fois, il y avait un ordinateur portable tout seul dans l’espace commun. Cela m’a grandement facilité la tâche.”

 

“Qui refuserait des gâteries ou un café?”

 

“Les biscuits marchent bien aussi, tout comme les grandes boîtes de café! Les gens sont prêts à dire n’importe quoi lorsqu’ils vous font confiance et, souvent, la nourriture suscite la confiance. C’est de la psychologie humaine.”

 

 

Q : quels sont les principaux points faibles dans une entreprise ou des bureaux?

 

“Ce n’est pas l’agent de sécurité, qui est généralement un adjoint administratif ou un autre employé. La plupart des gens ne connaissent pas toutes les personnes qui travaillent dans leur entreprise, et ne se doutent donc absolument pas que je ne suis pas censé m’y trouver. Si je ressemble à tout le monde et que je parle comme les autres, je peux facilement me fondre dans la masse.”

 

“Je ne suis pas sûr qu’il s’agisse vraiment d’une personne. Une entreprise tout entière peut s’exposer à des risques si elle n’a pas été formée pour repérer un pirate ou poser des questions.

 

‘Oui, je me fonds avec la plupart des gens — parfois même des PDG ou d’autres cadres supérieurs, car, souvent, une entreprise forme les employés de niveau inférieur, mais pas les cadres.’

 

 

Q : d’accord, donc, visiblement, il est beaucoup plus simple de s’introduire dans une entreprise et de la pirater que ce que la plupart d’entre nous pensent. Que peuvent faire les entreprises pour empêcher ce type de piratage?

 

‘La meilleure chose que les entreprises puissent faire, c’est d’investir dans des formations, mais pas qu’une seule fois. Ces formations doivent être proposées de manière systématique, et à tous les employés. La plupart des entreprises ne se soucient pas des cadres ou des assistants, alors que ces personnes peuvent également divulguer des informations.’

 

‘Le principe, c’est que les pirates inventent constamment de nouvelles façons de se procurer des informations, donc les entreprises qui investissent dans un seul type de formation resteront inévitablement à la traîne. Si vous ne suivez pas le rythme en matière de formation et que vous ne vous tenez pas au fait des nouvelles tactiques de piratage, vous ne comprendrez pas ce qu’il vous arrivera lorsqu’un pirate s’infiltrera dans votre entreprise.’

 

‘Je pense que la formation est importante, mais que la préparation l’est tout autant. Sachez quelles questions poser aux gens que vous n’avez jamais vus et apprenez aux employés qu’il est bon de s’interroger sur la présence d’une personne.’