Bacs de recyclage de papier, clés USB, ordinateurs non surveillés, profils sur les réseaux sociaux... Voici quelques-uns des points faibles que les pirates peuvent utiliser pour nuire aux petites entreprises. Jake Moore, l’expert en cybersécurité d’ESET, se rend régulièrement sur le terrain pour enquêter sur les dangers cachés dont les PME ne sont peut-être pas conscientes. Voici quelques-unes de ses découvertes.
Les déchets des uns sont les trésors des autres
Pourquoi devriez-vous faire attention à ce que les salariés jettent dans les poubelles du bureau ? Tout simplement parce qu’ils pourraient mettre en danger des données personnelles et professionnelles précieuses. « Des millions de personnes jettent des informations sensibles chaque jour, et les criminels en sont bien conscients, » déclare Jake. Même les notes des colis doivent être détruites à l’aide d’une déchiqueteuse, car elles contiennent souvent des adresses personnelles ainsi que des adresses emails et des numéros de téléphone.
À partir de ces informations, les pirates peuvent facilement manipuler des salariés. « Par exemple, avec le numéro de téléphone et le reçu de ce qu’une personne vient d’acheter, un pirate pourrait potentiellement appeler ou envoyer un SMS à un salarié pour faire le point sur le produit acheté. Il pourrait également lui demander de se rendre sur un site d’hameçonnage ou d’autres sites d’escroquerie qui pourraient ensuite l’inciter à fournir plus d’informations, telles que des mots de passe ou des détails de cartes de paiement, » ajoute Jake. En fin de compte, les cybercriminels peuvent même accéder à des comptes et acheter des articles avec les cartes qui y sont stockées, y compris celles de l’entreprise.
Quand une trop grande confiance conduit à des cyberattaques
Août 2021 - Se faisant passer pour l’assistant d’un producteur de télévision, Jake Moore se rend dans un petit club de golf britannique réputé. Le personnel le laisse entrer sans remettre en cause son identité ni lui demander une pièce d’identité. Il est laissé seul avec la plupart des appareils de l’entreprise. Le personnel lui permet même d’insérer une clé USB dans les appareils, qui, à la grande horreur de Jake, fonctionnaient toujours sous Windows XP. En quelques minutes, Jake a ainsi accès à la totalité du réseau de l’entreprise. Comme il le décrit : « Avec l’accès au mot de passe Wifi, aux ports USB et même aux machines non supervisées, j’aurais pu faire tous ce dont je pouvais rêver, depuis l’installation d’un cheval de Troie d’accès à distance ou d’un enregistreur de frappe sur les machines, jusqu’à l’installation d’autres malwares sur le réseau, tels que des ransomwares pour exiger un paiement afin de déchiffrer les données. » Un véritable régal pour les pirates.
Lisez l’interview de Jake pour en savoir plus.
Piratage via LinkedIn
Si vous souhaitez vous constituer un réseau professionnel, il est presque indispensable d’avoir un profil LinkedIn. Mais pour autant, sachez que vous devriez accorder autant d’importance à votre présentation qu’à l’état de votre cybersécurité. Les réseaux sociaux pourraient en effet devenir une autre menace potentielle et ainsi dérouler le tapis rouge aux cybercriminels. Un exemple qui en dit long : alors qu’il travaillait comme consultant en sécurité, Jake a essayé de soutirer des données personnelles cruciales au PDG d’une petite entreprise du Dorset. Il s’est donc tourné vers LinkedIn. Il a créé un faux profil et a envoyé une demande de connexion à l’assistant personnel du PDG, qui l’a immédiatement acceptée. Sans vraiment vérifier l’identité du profil, l’assistant a commencé à communiquer avec Jake et a accepté de tourner un spot sur l’entreprise. Jake lui a ensuite envoyé un questionnaire crédible, demandant des détails personnels sur le PDG. Ce dernier l’a rempli sans résistance, et l’assistant a transmis tous les documents à Jake. Jake (et peut-être n’importe quel pirate) a ainsi reçu des informations de sécurité cruciales, qui pourraient facilement être utilisées à mauvais escient.
Plus nous sommes en ligne, plus les points de contact numériques se multiplient. Les cybercriminels utilisent leurs compétences pour s’introduire dans votre entreprise, et ils parient sur la naïveté, la sincérité ou la politesse de leur cible. Néanmoins, dans l’environnement numérique, plus que partout ailleurs, il est toujours nécessaire de regarder avant de sauter, ou de cliquer dans le cas présent.