C’est comme «Ocean’s Eleven» (ou presque).
Plus besoin de constituer une équipe avec un expert en explosifs, un pickpocket et un perceur de coffre dont la réputation n’est plus à faire pour braquer un casino à Las Vegas. Un téléphone et un compte LinkedIn peuvent désormais faire le job, comme le rapporte Ars Technica.
Le groupe MGM Resort, propriétaire d’établissements aussi connus que le Bellagio, le Luxor ou le MGM Grand sur le strip de Las Vegas, en a fait la douloureuse expérience avec une spectaculaire cyberattaque la semaine dernière. L’impact de cette intrusion est en cours d’évaluation, mais cet épisode qui a vu la suspension des services en ligne pendant plusieurs jours, le blocage des clés électroniques dans les hôtels et la désactivation des machines à sous a déjà lourdement écorné l’image du groupe.
Pas de sacs de billets dérobés donc, mais des térabytes de données sur les clients et la menace d’un ransomware… Pas très réjouissant, donc. Mais par quelle sorcellerie ces malandrins ont-ils pu pénétrer le système informatique de MGM? Par un simple coup de fil. Le groupe de hackers à l’origine de cette attaque, Scattered Spider, aurait tout bonnement appelé des employés en se faisant passer pour des prestataires informatiques.
La méthode est d’une simplicité effrayante: après avoir rassemblé via les réseaux sociaux des informations sur les employés de MGM, les pirates ont passé des coups de fils aux intéressés avec le petit coup de pression qui permet d’obtenir un mot de passe ou un accès à un service en contournant les procédures de sécurité habituelles.
Ingénierie sociale et facteur humain
L’affaire illustre une réalité à laquelle toutes les organisations sont confrontées: le maillon faible de la cybersécurité est toujours l’humain, celui qui utilise le même mot de passe (sa date de naissance) pour tout les services en ligne, qui donne des informations sensibles en réponse à un mail douteux et qui donc peut juger bon de transgresser une règle de sécurité quand on lui dit par téléphone que son zèle est contre-productif.
Ces méthodes d’extorsion de données ont un nom: l’ingénierie sociale, et cible majoritairement les grands groupes, où des milliers d’employés qui ne se connaissant pas sont susceptibles de s’affranchir, avec la meilleure volonté du monde, des plus élémentaires règles de sécurité.
MGM devra néanmoins revoir drastiquement ses procédures d’identification, multiplier les facteurs d’authentification et cloisonner ses services pour qu’on ne puisse plus en une seule opération gripper les distributeurs de billets et empêcher le paiement du parking pour les clients. Reconnaissez que ça fait un peu amateur.
Vous avez appris à vous méfier de tous les mails que vous receviez sur votre boîte pro? Faites désormais de même avec les appels téléphoniques, c’est peut-être un ancien perceur de coffre qui est au bout du fil.
#Des #braqueurs #dévalisent #casino #Las #Vegas #dun #simple #coup #téléphone #korii.slate.fr
