PostHack - Rémi Vincent - Design d'expériences humaines

Introduction à la cyber-sécurité

La sécurité informatique vise à protéger plusieurs objectifs d’un certains nombres de risques particuliers :

  • l’intégrité des fichiers (suppression ou modification/ altération)
  • la confidentialité des données (divulgation publique, vol)
  • la disponibilité des systèmes (machines & réseaux)

Appréhender les menaces pour anticiper les risques

Principaux chiffres des cyberattaques en France

Les risques liés à la cybersécurité sont de plusieurs types : logiques, physiques et humaines.

La cybercriminalité nait de l’usage malveillant de ces différentes menaces, de leurs conjugaisons et va donc pouvoir prendre de très nombreuses formes.

Menaces logiques

La menace la plus fréquemment médiatisée est celle s’appuyant sur le code.

La menace logique va reposer principalement sur l’exécution de malwares dans des environnements ciblés.

Le nombre de logiciels malveillants (malware) est toujours en forte augmentation et ils évoluent de manière importante même s’ils sont toujours issus des mêmes catégories :

  • Virus :
    Logiciel codé pour porté atteinte à la sécurité informatique, capable de se répliquer et de se diffuser, il s’exécute en se greffant à d’autres programmes. l’infection est due à l’utilisateur
  • Vers :
    virus qui fonctionne et se diffuse par lui-même, totalement autonome, sans liaison avec un autre programme (1971 – the creeper, 2000 – I Love You)
  • Ransomware :
    Outil de « prise d’otage », il empêche la machine de fonctionner et menace les données contre le paiement d’une rançon (2017 – Wannacry)
  • Adware :
    Malware qui affiche de la publicité en permanence
  • Cheval de troie :
    Malware qui facilite et permet l’intrusion dans le système pour en permettre la prise de contrôle à distance
  • Rogue ou Scareware :
    Faux logiciel de décontamination
  • Keylogger et/ou spyware :
    Logiciel permettant l’enregistrement des interactions avec l’utilisateur et en particulier du clavier ou plus largement permettant de surveiller l’ensemble de l’activité de la machine
attaques par ransomware en 2020
attaques par ransomware en 2020

D’autres menaces logiques existent :

  • Backdoor :
    Porte ouverte sur le système, volontairement ou non
  • Spam :
    Avec ou sans pièce jointe, le courrier non sollicité est aussi un vecteur de saturation des systèmes
  • Rootkit :
    Sorte de boite à outils permettant d’accéder à des outils d’administration permettant la mise en place de keyloggers, de backdoor.

L’action de plusieurs malwares et de différentes menaces logiques est le plus souvent coordonnée.

Historiquement, les premiers « malwares » n’étaient pas envisagés pour des usages malveillants.

Par l’usage de certains travers amusants des premières machines, les premiers hackers visaient plutôt des objectifs d’optimisation ou de détournement de certaines fonctions pour des usages partagés :

  • forums de discussion sur des centraux téléphoniques (USA, France…),
  • passer des appels longues distances gratuitement aux Etats-Unis (Blue Box),
  • créer de la musique sur l’IBM 1044 retransmise sur des récepteurs radio portatifs…

Le mouvement « Maker », qui développe aujourd’hui énormément de projets innovants, puise ses différents principes aux sources du hacking.

Menaces physiques

Les menaces physiques sur les systèmes sont de deux types :

  • involontaires
  • volontaires

Elles recouvrent donc énormément d’éléments.

Elles peuvent provoquer une interruption de service ou de manière plus dramatique des pertes de données, des destructions de matériels.

Menaces impondérables

Les impondérables du type accidents domestiques (boissons, chocs,…), naturels (foudre, feu, inondation, tremblement de terre…) ou matériels (coupure de courant, rupture de cable…) sont parmi les premières causes de menaces physiques.
Ils peuvent être pris en compte dans une étude des risques et donner lieu à des actions préventives passives et/ou actives.

Menaces pondérables

Les principales menaces physiques « prévisibles » son du fait d’une action volontaire humaine, et parmi elles les piratages… et peuvent prendre plusieurs formes :

  • Dos ou DDos (Distributed Denial of services) par envoi massif de requêtes pour saturer et bloquer les ressources d’un serveur
  • Clés USB (ou autres supports mémoires) , bootable ou non, qui injectent des éléments (système et/ou virus) pour pénétrer le système, détourner les usages, voler des données ou tout simplement les détruire.
  • Intrusion logique par l’usage de failles logicielles et/ou matérielles

Menaces humaines

Les menaces humaines vont évoluer de manière permanente avec les usages. Elles vont s’appuyer sur différents aspects de la psychologie humaine (Social engineering) :

  • Crédulité
  • Méconnaissance
  • Cupidité
  • Empathie
  • Orgueil
  • Paresse
  • Avarice
  • Luxure
  • Envie
  • Jalousie
  • ….

Menaces directes

Les menaces pesant sur les utilisateurs peuvent être très simplistes dans leurs mises en oeuvres mais peuvent être parfois les plus dangereuses.

Usages de mots de passes simplistes

Datavisualisation des 500 mots de passe les plus couramment retrouvés dans les fuites de données.

Par paresse, par méconnaissance, par habitude… les utilisateurs vont utiliser un seul et même mot de passe pour la plupart de leurs accès à des services en ligne, voir vont utiliser des mots de passe extrèmement facile à retrouver, étant présents dans un dictionnaire, ou étant simplistes.

Retrouvez comment penser et mettre en place une stratégie sécurisée d’authentification pour gérer vos mots de passe.

Hoax, fausses informations

Les hoax poussent les utilisateurs à un certain nombre d’actions en diffusant de fausses informations qui vont permettre ou provoquer des erreurs :

  • destruction du système – faux fichier,
  • saturation des réseaux – Transfusion Noëlie qui a évoluer en Lucie,
  • récupération de contacts et d’informations personnelles,
  • scam, extorsion de fonds, discrédit…

Phishing, Vishing, usurpation d’identité

Le phishing vise à induire en erreur le destinataire d’un message (mail, téléphone, sms…) pour l’hameçonner et lui extorquer des informations personnelles, de l’argent.

L’usurpation d’identité est désormais la plus importante menace directe avec pour objectifs le vol de données, d’actifs financier, l’abus de confiance, le chantage…

Fuites de données résultant de brèches ou d’actions de piratage

D’autres menaces sont liées à des actions de plus grande ampleur, volontaires ou involontaires.

Data visualisation des principales fuites de données survenues depuis plus de 3 ans à jour de juin 2020 – Information is beautiful

Les fuites de données qui exposent des quantités extrêmement importantes de données personnelles des utilisateurs sont parmi les principales causes de détournement de comptes personnels, d’intrusions dans les systèmes ou de hacks touchant des données personnelles sensibles.

Menaces indirectes

D’autres menaces sont liés à des erreurs de conception des systèmes ou à des erreurs de configuration (volontaires ou non). Ces schémas de configuration étant public, il est très simple et facile de les utiliser.

Code pin, identifiants et mots de passe par défaut

Les cartes SIM sont fournies avec un code pin défini par défaut sur 0000, 1234… Ce code simpliste n’a pas à être modifié pour que la carte soit utilisable… et l’utilisateur ne le modifie pas.

En cas de perte ou de vol du téléphone/smartphone, rien de plus simple pour passer des appels aux frais de l’utilisateur ou usurper l’identité auprès de votre opérateur par exemple.

On retrouve ces risques avec les couples « identifiants – mots de passe » par défaut… admin – admin / admin – password / id – mdp sur un certain nombre d’objets connectés parfois peu ou pas sécurisés : box internet, caméra IP de surveillance, système de surveillance bébé, enceinte connectée, électroménager connecté et même sextoys…

De nouvelles menaces

Avec le développement des usages des surfaces tactiles et en particulier des smartphones, les schémas de déverrouillage simplistes peuvent être facilement identifiables, soit directement, soit indirectement par les traces laissées à leurs surfaces.

L’usage unique d’éléments biométriques pour l’identification des utilisateurs, et en particulier pour la reconnaissance faciale facilement détournable avec un visage endormi ou des photos, sont des menaces potentiellement dangereuses également.