Le livreur de pizza vous vole de l'information

Publié le par JTC

A l’heure où les entreprises mettent en place des systèmes informatiques de plus en plus sophistiqués, la question de la sécurité de l’information est au cœur de toutes les préoccupations. Et en effet, quand on voit l’actualité en matière de vol d’informations il y a de quoi se poser de sérieuses questions sur la confidentialité des données stratégiques en entreprise. Il y a peu ce sont des entreprises telles que AT&T ou Best Western qui se sont fait piratées (source : www.lesnouvelles.net) et en octobre dernier ce sont près de 208 000 serveurs informatiques qui ont été compromis par un gang de hackers organisé de manière professionnelle.

 

 

Dans cette optique, certaines sociétés se sont spécialisées dans les tests d’intrusion sur les serveurs d’entreprises dans le but de découvrir de possibles failles de sécurité. NBS System fait partie de ceux là. Ce cabinet de sécurité informatique regroupe des spécialistes et des consultants capables de s'introduire en moins de trois jours dans le système d'information des plus grosses entreprises mondiales, afin d'en prendre partiellement ou totalement le contrôle.

 

Lors d’un chat vidéo organisé par le site 01net.com, le directeur commercial de NBS System Philippe Humeau, a répondu à un grand nombre de questions relatives à la sécurité informatique, aux méthodes, aux outils utilisés etc.… On y apprend par exemple qu’une technique fréquemment employée est d’envoyer un faux livreur de pizzas dans une entreprise dans le but de brancher une clé USB contenant un cheval de Troie sur un des postes de l’entreprise. Ce faisant, le livreur crée une brèche dans le système de sécurité de l’entreprise, qui permettra à des hackers ou à des concurrents de disposer d’un accès au réseau de l’entreprise et donc à de l’information « sensible ».


Le dirigeant nous apprend également qu’avant de mettre en œuvre ces attaques, NBS recherche un maximum d’information blanche sur l’entreprise : taille de l'entreprise, milieux dans lesquels elle évolue, quels sont ses dirigeants, quels sont ses clients, ses technologies, les personnes qui ont été nommées à tel ou tel poste, etc. Ce type d'informations peut être trouvé sur Sociétés.com et Google, entre autres. Finalement NBS accumule le maximum d’information blanche possible sur l’entreprise dans le but de mettre en place un scénario d’attaque. Encore une fois, on voit que l’information blanche, qui n’a à priori que peu de valeur dans notre cas, s’avère être un facteur déterminant de « succès », comme cela était déjà le cas dans notre exemple sur le piratage de comptes bancaires.

 

Coût et délai d’un test d’intrusion? De 4000 à 100 000€ pour une opération pouvant aller de 1h30 à 14 jours. Une somme qui peut paraître démesurée mais qui s’avère finalement négligeable quand on prend en compte les millions d’euros de perte qu’une faille de sécurité peut entrainer pour une grosse entreprise.

 

Alors à l’avenir, méfiez-vous des livreurs de pizzas non sollicités !

 

Le chat vidéo complet de 30mn est disponible ici.

 

A bientôt !


Publié dans Sécurité

Commenter cet article