Vous n'êtes pas sans savoir que Tempest est un nom de code utilisé par la NSA pour désigner un phénomène électromagnétique lors d'utilisation de matériel informatique. A partir d'un équipement bien spécial on arrive à capter le champ électromagnétique produit sur le cable d'un clavier ou d'un écran pour reconstituer le signal.
Un papier très intéressant se trouve sur le site de la NSA : ici.
Ainsi à plusieurs mètres de distance on peut observer ce qu'un utilisateur peut avoir sur son écran, ou mieux encore on peut récolter le message en clair d'un processus de chiffrement sur un matériel spécialisé. C'est d'ailleurs pour cela que les lieux les plus sensibles au niveau des données (stockage ou même chiffrement) sont toujours entourés de ce que l'on appelle "cage de faraday". Il suffit d'entourer la pièce à protéger de matériel métallique pour empêcher fortement toute radiation électromagnétique vers l'extérieur, pour preuve le téléphone portable ne fonctionne plus dans ces enceintes protégées. Le micro-onde est un exemple de cage de faraday dans la vie courante.
mercredi 4 février 2009
lundi 2 février 2009
Compte rendu de Granit du 24/01/09 sur le social engineering
Une présentation très intéressante, et très suivie !!! En effet on n'avait jamais vu autant de monde le soir à une réunion Granit sur la sécurité organisationnelle.
Je n'ai pas grand chose à dire sur ce sujet a part que le danger des réseaux sociaux est une exposition plus forte au social engineering. Hier, il fallait faire beaucoup d'efforts pour obtenir des informations personnelles sur les cibles potentielles d'une attaque, comme fouiller ses poubelles, faire de la surveillance rapprochée, etc. Aujourd'hui il suffit parfois de se connecter sur Facebook, d'aller chercher des informations sur Copain d'Avants, et de connaitre ainsi un peu mieux sa victime.
Les réseaux sociaux sont ainsi devenus des vecteurs d'attaques très puissantes et très ciblées sur le monde de l'entreprise, il est ainsi possible de connaitre beaucoup de choses à la fois sur la vie personnelle et aussi sur les projets de l'entreprise (certaines personnes indiquent quasiment en temps réel sur leur CV en ligne sur quels projets ils travaillent).
Le social engineering est la première prise d'information permettant de personnaliser une attaque traditionnelle comme la plus connue le phishing. En effet comment être vigilant lorsque l'on reçoit un mail d'un ancien copain qui veut renouer le contact. Ce présumé contact est en fait une identité forgée d'après les informations récoltées sur Copain d'Avant.
Pour contrer ou plus précisément limiter ce genre d'attaque aujourd'hui l'éducation est le meilleur remède. Aujourd'hui difficile d'éduquer un tas d'utilisateurs indiciplinés mais la démonstration par l'exemple est parfois très frappante. L'exemple du Journal "Le tigre" est très convainquante : ici. Marc L un internaute lambda voit sa vie décrite avec tous les traces qu'il a pu laisser sur le net.
Aujourd'hui laisser tomber les sites de réseaux sociaux n'est pas forcément la voie à suivre, beaucoup de professionnels misent dessus pour leur carrière (Viadeo, Linkedin). Il faut juste savoir ce que l'on met sur ces sites et ne pas mélanger le professionnel et le personnel. Il faut être en quelque sorte plus prudent s'il on reçoit des informations personnalisées, et vérifier la provenance des ses informations (ne pas ajouter n'importe qui dans son profil Facebook).
Pour conclure voila le lien de la présentation.
Je n'ai pas grand chose à dire sur ce sujet a part que le danger des réseaux sociaux est une exposition plus forte au social engineering. Hier, il fallait faire beaucoup d'efforts pour obtenir des informations personnelles sur les cibles potentielles d'une attaque, comme fouiller ses poubelles, faire de la surveillance rapprochée, etc. Aujourd'hui il suffit parfois de se connecter sur Facebook, d'aller chercher des informations sur Copain d'Avants, et de connaitre ainsi un peu mieux sa victime.
Les réseaux sociaux sont ainsi devenus des vecteurs d'attaques très puissantes et très ciblées sur le monde de l'entreprise, il est ainsi possible de connaitre beaucoup de choses à la fois sur la vie personnelle et aussi sur les projets de l'entreprise (certaines personnes indiquent quasiment en temps réel sur leur CV en ligne sur quels projets ils travaillent).
Le social engineering est la première prise d'information permettant de personnaliser une attaque traditionnelle comme la plus connue le phishing. En effet comment être vigilant lorsque l'on reçoit un mail d'un ancien copain qui veut renouer le contact. Ce présumé contact est en fait une identité forgée d'après les informations récoltées sur Copain d'Avant.
Pour contrer ou plus précisément limiter ce genre d'attaque aujourd'hui l'éducation est le meilleur remède. Aujourd'hui difficile d'éduquer un tas d'utilisateurs indiciplinés mais la démonstration par l'exemple est parfois très frappante. L'exemple du Journal "Le tigre" est très convainquante : ici. Marc L un internaute lambda voit sa vie décrite avec tous les traces qu'il a pu laisser sur le net.
Aujourd'hui laisser tomber les sites de réseaux sociaux n'est pas forcément la voie à suivre, beaucoup de professionnels misent dessus pour leur carrière (Viadeo, Linkedin). Il faut juste savoir ce que l'on met sur ces sites et ne pas mélanger le professionnel et le personnel. Il faut être en quelque sorte plus prudent s'il on reçoit des informations personnalisées, et vérifier la provenance des ses informations (ne pas ajouter n'importe qui dans son profil Facebook).
Pour conclure voila le lien de la présentation.
Inscription à :
Messages (Atom)