Les failles de l’utilisateur et comment les hackers en profitent

LPB Conseil - Cybersécurtié Hacker identité
Engendrer une diminution des risques cyber grâce aux collaborateurs
25 janvier 2021
LPB Conseil - La Robotic Process Automation, une main d’œuvre virtuelle ?La Robotic Process Automation, une main d’œuvre virtuelle ?
La Robotic Process Automation, une main d’œuvre virtuelle ?
19 avril 2021
LPB Conseil - Cybersécurtié Hacker

Du côté des informaticiens, l’utilisateur est souvent pointé du doigt comme responsable de problèmes ou d’attaques de la part de hackeurs. Pourtant, l’utilisateur se dit souvent démuni devant l’accumulation de couches informatiques qu’il doit gérer. Le sens de tous ces outils lui échappent aussi. Quel que soit le côté où l’on se place, il est important de comprendre les utilisateurs ont des failles. Cela les exposent à des risques importants au sein de son entreprise et en fait un élément vulnérable qu’il faut protéger.

Il est vrai que la plupart des attaques de personnes malveillantes ciblent en premier lieu les simples utilisateurs. Néanmoins, le problème est en partie à charge des informaticiens qui doivent faire preuve de patience et améliorer leur communication avec les utilisateurs. Ceci dans l’objectif de réduire le plus possible les risques auxquels ils sont exposés. Il s’agit aussi du but premier de la sensibilisation aux risques cyber. Pour se faire, il faut comprendre simplement le fonctionnement de ces attaques et en quoi l’utilisateur est vulnérable.

L’utilisateur est en première ligne des attaques informatiques

Comme nous l’expliquions dans notre article sur la sensibilisation aux risques cybers, le rapport de l’ANSSI publié début 2020 montre bien que l’essentiel des attaques informatiques ciblent les utilisateurs du SI.

Pour s’attaquer aux utilisateurs, le hackeur joue avec nos imperfections en tant qu’humain, notamment :

  • La cupidité : les fameux cadeaux ou promotions phénoménales, en l’échange de simples clics ou quelques informations. Ces hameçonnages exploitent cette faiblesse humaine sur les plus vulnérables financièrement. En effet, l’appât du gain y est souvent modéré et peut sembler « équitable ».
  • La curiosité : un mail aux allures officielles d’un transporteur très connu mais pourtant, je n’attends aucun colis. La curiosité des utilisateurs est trop forte et l’on clique sur les faux liens de suivi, pièces jointes, factures.
  • L’intimidation : le hackeur va jouer avec vos craintes pour tenter de vous soutirer un paiement. Il s’y prend à travers un mail menaçant de divulguer des informations sur vous. Il peut par exemple vous afficher un ancien mot de passe afin de vous effrayer. Si c’est le cas, c’est sans doute suite à une fuite de données de la part d’un site ou service où vous étiez inscrit. La menace est souvent fausse, mais il faut cependant de changer vos mots de passes rapidement.
  • La perception : un changement est requis sur votre compte bancaire ou votre déclaration d’impôts. La notion d’urgence est affichée pour que vous évitez les vérifications autour du formalisme du mail. Souvent, il ne contient pas votre nom et l’adresse de l’expéditeur n’est d’ailleurs pas celui de votre banque. Seuls les logos et le modèle du mail est cohérent.

Aux premiers abords, ces principales « failles d’utilisateur » semblent être facilement détectable. Et pourtant, nous constatons que ce n’est pas le cas lors de nos mesures en termes de connaissance des collaborateurs. En effet, il arrive facilement que 50% des collaborateurs se fassent « attraper » sur des modèles de phishing très simples et peu personnalisés.

Les conséquences possibles de ces attaques

Les conséquences d’une manœuvre visant à exploiter les failles de l’utilisateur peuvent être variées et dépendent souvent de la sécurité technique de l’entreprise. Cependant, avec un essor de plus en plus important des failles techniques des systèmes, le risque devient d’autant plus grand car les équipes informatiques sont débordées.

Lorsque l’utilisateur clique sur un lien, ouvre une pièce jointe, les conséquences au niveau du système d’information peuvent être :

  • Une perte ou le vol des informations de l’entreprise
  • Un blocage des systèmes moyennant une rançon, le fameux rançongiciel
  • Devenir soi-même diffuseur de l’attaque à l’aide de l’image de l’entreprise et de son portefeuille client, ses contacts
  • Une source importante de stress pour l’ensemble de l’entreprise dans le cas où l’attaque est détectée

Pour conclure

Le hackeur utilise des leviers liés à nos imperfections en tant qu’humain pour arriver à ses fins. Une fois qu’il a pu percer la sécurité humaine d’un utilisateur, il peut être bloqué ou simplement freiné par certains systèmes de sécurité technique. Cependant, c’est trop peu souvent le cas. L’utililisation de failles techniques normalement abritées de l’extérieur leur devient possible. Ceci engendre un accès à des ressources ou systèmes de l’entreprise aux conséquences plus importantes qu’un simple poste de travail d’utilisateur.

Nous pouvons donc retenir que la sensibilisation aux risques cybers est primordiale pour ses collaborateurs. Par analogie, c’est au même titre qu’une sécurité incendie afin d’éviter un potentiel départ de feu pouvant mener à des pertes importantes au sein de l’entreprise.

Hugo MAETZ
Hugo MAETZ
Consultant SI et Cybersécurité chez LPB Conseil