De LinkedIn à X, de GitHub à Instagram, les occasions de partager des informations liées au travail ne manquent pas. Mais publier des messages peut également mettre votre entreprise dans une situation problématique.
Le concept d'employee advocacy existe depuis plus d'une décennie. L’employee advocacy c'est le principe du salarié qui devient “ambassadeur" de son entreprise, surtout sur les réseaux sociaux, mais pas forcément uniquement. L’idée est de partager volontairement des contenus liés à l’entreprise en ligne et notamment sur les réseaux sociaux.
Mais ce qui était au départ un moyen bien intentionné d'améliorer l'image de marque, le leadership éclairé et le marketing d'une entreprise a également eu des conséquences inattendues. Lorsque des professionnels publient des messages sur leur travail, leur entreprise et leur rôle, ils espèrent toucher des professionnels partageant les mêmes idées, ainsi que des prospects et des partenaires. Mais les acteurs malveillants sont également à l'affût de ce genre de contenus.
Une fois que ces informations sont rendues publiques, elles sont souvent utilisées pour mettre en place des attaques convaincantes de type spearphishing ou BEC (Business Email Compromise). Plus il y a d'informations, plus les possibilités d'activités malveillantes susceptibles de nuire gravement à votre organisation sont nombreuses.
Où vos employés partagent-ils ces informations ?
Les principales plateformes utilisées pour partager ce type d'informations sont celles que l'on connaît bien. LinkedIn est sans doute la plus évidente. On pourrait la décrire comme la plus grande base de données ouverte au monde contenant des informations sur les entreprises : une véritable mine d'or d'informations sur les intitulés de poste, les fonctions, les responsabilités et les relations internes. C'est également là que les recruteurs publient leurs offres d'emploi, qui peuvent contenir des détails techniques susceptibles d'être exploités ultérieurement dans le cadre d'attaques de spearphishing (= un hameçonnage ultra ciblé).
GitHub est peut-être mieux connu dans le contexte de la cybersécurité comme un lieu où des développeurs étourdis publient des secrets codés en dur, des informations sur la propriété intellectuelle et des détails sur les clients. Mais ils peuvent également partager des informations plus anodines sur les noms de projets, les noms de pipelines CI/CD et les technologies et bibliothèques open source qu'ils utilisent. Ils peuvent également partager des adresses e-mail d'entreprise dans les configurations Git commit.
Il existe également les plateformes sociales classiques destinées aux consommateurs, telles qu'Instagram et X. C'est là que les employés sont susceptibles de partager des informations sur leurs projets de déplacement pour assister à des conférences et à d'autres événements, qui pourraient être utilisées contre eux et leur organisation. Même les informations figurant sur le site web de votre entreprise pourraient être utiles à un fraudeur ou à un pirate informatique potentiel. Pensez aux détails sur les plateformes techniques, les fournisseurs et les partenaires, ou aux annonces importantes de l'entreprise, telles que les activités de fusion-acquisition. Tout cela pourrait servir de prétexte à une attaque de phishing sophistiquée.
Utilisation des informations à des fins malveillantes
La première étape d'une attaque d'ingénierie sociale classique consiste à recueillir des informations. L'étape suivante consiste à utiliser ces informations dans le cadre d'une attaque de spearphishing visant à inciter le destinataire à installer à son insu un logiciel malveillant sur son appareil. Ou éventuellement à partager ses identifiants professionnels pour obtenir un accès initial. Cela peut se faire par e-mail, SMS ou même par téléphone. Ils peuvent également utiliser ces informations pour se faire passer pour un cadre supérieur ou un fournisseur dans un e-mail, un appel téléphonique ou un appel vidéo demandant un virement bancaire urgent.
Ces efforts nécessitent généralement une combinaison d'usurpation d'identité, d'urgence et de pertinence. Voici quelques exemples hypothétiques :
- Un malfaiteur trouve sur LinkedIn des informations sur un nouveau collaborateur occupant un poste dans le domaine informatique au sein de l'entreprise A, notamment ses principales fonctions et responsabilités. Il usurpe l'identité d'un fournisseur technologique clé en prétendant qu'une mise à jour de sécurité urgente est nécessaire, en mentionnant le nom, les coordonnées et le poste de la cible. Le lien de mise à jour est malveillant.
- Un acteur malveillant trouve des informations sur deux collègues sur GitHub, notamment le projet sur lequel ils travaillent. Il usurpe l'identité de l'un d'eux dans un e-mail demandant à l'autre de consulter un document joint, qui contient un logiciel malveillant.
- Un fraudeur trouve une vidéo d'un cadre supérieur sur LinkedIn ou sur le site web d'une entreprise. Ils voient sur le fil Instagram/X de cette cible qu'elle va faire une présentation lors d'une conférence et qu'elle sera absente du bureau. Sachant qu'il sera peut-être difficile de contacter le dirigeant, ils lancent une attaque BEC deepfake à l'aide d'une vidéo ou d'un fichier audio, afin de tromper un membre de l'équipe financière et lui faire virer des fonds urgents à un nouveau fournisseur.
En voici des exemples bien réels...
Ce qui précède n'est qu'une hypothèse. Mais il existe de nombreux exemples réels d'acteurs malveillants utilisant des techniques de « renseignement open source » (OSINT) dans les premières phases d'une attaque. Parmi ceux-ci, on peut citer :
- Une attaque BEC qui a coûté 3,6 millions de dollars à Children's Healthcare of Atlanta (CHOA) : les acteurs malveillants ont probablement épluché les communiqués de presse concernant un campus nouvellement annoncé afin d'obtenir plus de détails, notamment sur le partenaire de construction de l'hôpital. Ils auraient ensuite utilisé LinkedIn et/ou le site web de l'entreprise pour identifier les principaux dirigeants et les membres de l'équipe financière de l'entreprise de construction concernée (JE Dunn). Enfin, ils se sont fait passer pour le directeur financier dans un e-mail adressé à l'équipe financière du CHOA, leur demandant de mettre à jour leurs coordonnées bancaires pour JE Dunn.
- Les groupes SEABORGIUM, basé en Russie, et TA453, aligné sur l'Iran, utilisent l'OSINT pour effectuer des reconnaissances avant de lancer des attaques de spearphishing contre des cibles présélectionnées. Selon le NCSC britannique, ils utilisent les réseaux sociaux et les plateformes sociales professionnelles pour « rechercher les centres d'intérêt [de leurs cibles] et identifier leurs contacts sociaux ou professionnels dans le monde réel ». Une fois la confiance et une relation établies par e-mail, ils envoient un lien pour récolter les identifiants des victimes.
Faut-il stopper les publications ? Comment atténuer le risque de spearphishing auprès des employés ?
Les risques liés au partage excessif sont réels, mais heureusement, les solutions sont simples. L'arme la plus puissante à votre disposition est la sensibilisation. Mettez à jour vos programmes de sensibilisation à la sécurité afin de vous assurer que tous vos employés, des cadres supérieurs aux simples employés, comprennent l'importance de ne pas partager trop d'informations sur les réseaux sociaux.
Dans certains cas, cela nécessitera de rééquilibrer soigneusement les priorités, en s'éloignant à tout prix de la communication sur l'entreprise par les employés. Avertissez votre personnel d'éviter de partager des informations via des messages privés non sollicités, même s'ils reconnaissent l'utilisateur (car le compte a peut-être été piraté au préalable). Et assurez-vous qu'ils sont capables de repérer les tentatives de phishing, de BEC et de deepfake.
Appuyez cette démarche par une politique stricte sur l'utilisation des réseaux sociaux, définissant clairement ce qui peut et ne peut pas être partagé, et établissez des limites claires entre les comptes personnels et professionnels/officiels. Les sites web et les comptes d'entreprise devront peut-être également être revus et mis à jour afin de supprimer toute information susceptible d'être utilisée à des fins malveillantes.
L'authentification multifacteur (MFA) et les mots de passe forts (stockés dans un gestionnaire de mots de passe) devraient également être une évidence pour tous les comptes de réseaux sociaux, au cas où des comptes professionnels seraient piratés pour cibler des collègues.
Enfin, surveillez autant que possible les comptes accessibles au public afin de détecter toute information susceptible d'être exploitée à des fins de spearphishing et de BEC. Et organisez des exercices de type « red team » avec vos employés afin de tester leur niveau de sensibilisation.
Malheureusement, l'IA permet aux acteurs malveillants de profiler plus rapidement et plus facilement que jamais leurs cibles, de collecter des informations OSINT, puis de rédiger des e-mails/messages convaincants dans un langage parfait. Les deepfakes alimentés par l'IA élargissent encore davantage leurs options. En conclusion, si une information est dans le domaine public, attendez-vous à ce qu'un cybercriminel en ait également connaissance... et qu'il puisse la réutiliser pour tenter une attaque !