[Hackfest:Archive] Petite démonstration sur la fuite d’information (remix no tech hacking)
Depuis déjà plusieurs années, les compagnies ont investi des sommes considérables pour protéger l’information à l’intérieur de leurs murs. Nous avons vu les vagues successives des coupe-feu, antiviraux, détecteurs d’intrusion et tout ce qui a suivi. Les opérations de sécurité d’infrastructure sont rendues à un degré de maitrise qui peut sembler adéquat.
Depuis déjà plusieurs années, les compagnies ont investi des sommes considérables pour protéger l’information à l’intérieur de leurs murs. Nous avons vu les vagues successives des coupe-feu, antiviraux, détecteurs d’intrusion et tout ce qui a suivi. Les opérations de sécurité d’infrastructure sont rendues à un degré de maitrise qui peut sembler adéquat.
Les gens perdent vite leur inhibition, même en public, dès qu’ils sont placés dans un contexte où ils ont l’habitude d’être en confiance. Le cellulaire et l’ordinateur portable sont porteurs d’un contexte qui suppose d’être dans le confort du bureau ou de la maison. Une fois que les gens changent de contexte, soit en ouvrant leur ordinateur portable ou en prenant un appel sur leur cellulaire, leur environnement immédiat cesse d’exister. Cela explique pourquoi nous voyons autant de gens étaler leur vie privée ou professionnelle dans des endroits publics au cellulaire ou sur leur ordinateur portable.
Mais l’information n’est-elle pas le nerf de la guerre?
Rien comme deux exemples pour illustrer l’étendue. Le premier dans un édifice à bureaux et le second dans le train.
Édifice à bureaux
Les gens assument que du moment qu’ils ne sont plus au niveau du sol (et encore!), personne ne peut voir ce qu’ils font. Sans être équipé comme James Bond, il est facile de capturer des informations intéressantes.
Les gens vont laisser à la vue sur leur bureau ou sur leur écran une panoplie d’informations qui sont généralement confidentielles ou à tout le moins vont être instrumentales dans le montage d’une attaque à plus grand déploiement. Connaitre l’agenda d’une personne permet d’en connaitre les déplacements et de créer une coïncidence qui va favoriser la mise en œuvre d’un scénario d’ingénierie sociale.
Train
Le train est un endroit intéressant quant à l’étude de ces comportements humains, puisque les gens sont contraints d’attendre… Ils sont prisonniers tout au long du voyage. Plusieurs profitent de cette occasion pour travailler. Du moment que les gens ouvrent leur ordinateur portable, ils changent de contexte et ils agissent comme s’ils étaient au bureau… et la vigilance qu’exige d’être dans un lieu public disparait. J’ai vu plusieurs personnes lire leur courriel, souvent à propos d’information privilégiée, ou encore lire des documents qui, en tant normal, ne devraient pas être vu par une personne de l’extérieur.
L’image de gauche est un exemple intéressant, puisqu’il expose un problème tout autre. Cet ordinateur dispose d’un protecteur d’écran qui empêche les yeux curieux de voir… Sauf que cette protection est efficace que lorsque nous sommes en angle par rapport à l’écran… Comme vous pouvez voir, je n’étais pas dans l’angle de protection. Cette information est intéressante, puisque ça indique que la compagnie est soucieuse de préserver la confidentialité des informations et que l’utilisateur n’a pas été correctement conscientisé à la valeur de l’information qu’il transporte et l’usage adéquat du protecteur d’écran. De plus, cela signale que le contenu est précieux et devient de facto une cible pour le vol. Cette personne m’a exposé son Facebook pendant une bonne partie du voyage! Ça, c’est sans compter qu’il a divulgué une foule d’information sur son employeur et le mandat sur lequel il est, pendant une conversation téléphonique… Pour un concurrent de sa firme ou de son client, l’information ainsi divulguée vaut de l’or!
Ce n’est pas juste les écrans d’ordinateur qui divulguent de l’information. J’ai eu devant mes yeux des rapports papier, tout aussi confidentiels que ce que j’ai vu sur des écrans d’ordinateur.
Cela n’est que la pointe de l’iceberg, puisqu’il est tellement courant d’entendre une conversation remplie d’information confidentielle, cela dans un lieu public.
Exposer des problèmes c’est facile. Exposer des solutions ça l’est moins.
Ce qui ressort de cette petite expérimentation, c’est que les gens ne sont pas conscients qu’ils exposent autant d’information parce qu’ils changent de contexte. Une petite introduction à la notion de « situation awareness » permettrait de les sensibiliser qu’ils changent de contexte lorsqu’ils prennent un appel ou ouvrent leur ordinateur portable, et de garder la vigilance qu’exige d’être dans un lieu public. Il est aussi important d’expliquer aux gens pourquoi ils doivent faire attention et quelles sont les mesures à leur disposition pour protéger l’information. Une fois que les gens comprennent la valeur de l’information qu’ils manipulent et les conséquences de leurs pertes, ils vont protéger l’information sans aucun effort particulier. Ça va devenir aussi évident que de protéger leur NIP ou de barrer la porte de leur maison.