Ce n’est plus une nouveauté pour nous. Une bonne partie des employés de bureau ont l’habitude d’aller sur les réseaux sociaux pendant leur temps de pause. Il y en a même ceux qui y vont durant leurs heures de travail. Les cybercriminels en ont bien conscience. Depuis peu, ils les utilisent de plus en plus pour atteindre le système informatique des entreprises. Regardons ce phénomène de plus près.
Les réseaux sociaux, un bon moyen pour recueillir des informations capitales
C’est devenu « une tendance » dans le domaine du piratage informatique. La personne à l’origine de l’attaque se fait passer pour un haut responsable d’une entreprise dans le but de détourner des fonds. Ce mode opératoire est souvent appelé « hacking du président ». Il consiste, par exemple, à utiliser l’identité dudit haut responsable pour envoyer un mail demandant au comptable d’effectuer le virement d’une certaine somme d’argent vers un compte bancaire d’un hacker.
Pourquoi donc parler des réseaux sociaux ? Car ils sont devenus le moyen le plus rapide pour les pirates d’obtenir des informations cruciales garantissant plus de crédibilité à leur mail. Parmi celles-ci figurent, entre autres, le titre exact du haut responsable, ses coordonnées, voire même ses photos. Là, il s’agit d’une attaque ciblée. Celle-ci se trouve dans la catégorie de l’ingénierie sociale. Si l’on se réfère à un rapport émis récemment par Cisco en matière de cybersécurité, ce mode opératoire serait le plus efficace et le plus avantageux pour les pirates en quête d’une importante somme d’argent. Selon Internet Crime Complaint Center, il y en aurait annuellement 1,7 milliard de cas entre 2013 et 2016, contre « seulement » 1 milliard pour l’utilisation de ransomwares.
Responsabiliser les (éventuelles) failles humaines
On a souvent tendance à négliger le facteur humain comme étant la faille informatique la plus importante. Cela se confirme davantage avec la popularité de plus en plus croissante des réseaux sociaux. Emmanuel Napolitano, consultant informatique et président associé de Sécurité Abakus, suggère la sensibilisation au phishing de leurs employés sur les risques liés aux réseaux sociaux et, plus généralement, à Internet. Cela veut-il dire qu’il faut les contraindre à fournir moins d’informations sur Internet ? La réponse est non, d’autant plus qu’aucune entreprise n’a le droit de contrôler la vie privée de leurs collaborateurs. La seule chose qu’elle est en mesure de faire est de les mettre en garde vis-à-vis des faux messages et des publicités mensongères qui sont devenus monnaie courante.
Mais cela n’est pas encore suffisant pour empêcher le détournement d’une importante somme du compte de l’entreprise par des hackers mal intentionnés. Emmanuel Napolitano va même jusqu’à recommander un protocole plus complexe concernant les transactions bancaires. Il ne faut pas non plus oublier les bonnes pratiques en matière de sécurité informatique dans le milieu professionnel comme l’utilisation d’un logiciel anti courriel, la gestion proactive des brèches et le recours à une application de Security Information and Event Management.