San Francisco, 18 février 2011 - Comment empêcher un salarié indélicat et motivé, disposant des bonnes autorisations, de piller les secrets auxquels il a accès ? C'est tout simplement quasi-impossible et c'est bien pour ça que depuis la nuit des temps l'espionnage est avant tout une affaire de recrutement.
Recruter la bonne personne au bon poste : voilà le vrai visage des opérations d'espionnage, très loin des clichés véhiculés par le cinéma. Et c'est précisément le message qu'est venu délivrer Ira Winkler aux participants de la RSA Conference 2011. Cet ancien analyste à la NSA est aujourd'hui spécialiste des tests d'intrusion. Il a détaillé le processus de recrutement qui pourra amener en quelques semaines l'un de vos collaborateurs à livrer vos secrets à un parfait inconnu. Rien de nouveau ici : les techniques utilisées sont exactement les mêmes que celles utilisées par les services de renseignement à travers le monde.
La première étape d'une telle opération sera bien entendu d'identifier les collaborateurs disposants d'un accès aux informations visées. Cela peut se faire via des sources Internet publiques, mais aussi tout simplement en abordant des collaborateurs dans un restaurant proche de l'entreprise ou sur un salon professionnel.
L'attaquant cherchera avant tout à isoler des individus présentant certaines vulnérabilités psychologiques particulières afin de les exploiter. Il tentera notamment d'appuyer sur quatre "boutons" bien connus :
- Idéologie : L'opérateur recherchera des employés mécontents. Mais, attention : pas ceux ouvertement en guerre contre leur entreprise, ou ceux dont la haine est clairement débordante. Il préfèrera de loin identifier un ressentiment naissant, modéré, et le faire grandir sous son contrôle.
- Ego : Flatter la cible afin de l'amener à souhaiter briller encore plus aux yeux de l'opérateur - et donc de fournir des informations plus juteuses - est une vieille technique. D'après Ira Winkler cela marche encore mieux depuis l'avènement des réseaux sociaux, où beaucoup souhaitent briller en montrant l'importance de leur travail.
- Coercition : Le chantage est un excellent moyen d'obliger la cible à livrer des informations sensibles. Pour cela l'opérateur pourra tenter d'obtenir (par le piratage de son ordinateur familial par exemple) des informations ou photographies compromettantes.
- Argent : Le plus souvent utilisé en addition d'une autre motivation ci-dessus, notamment afin de "cimenter" psychologiquement la cible dans son engagement.
La formule d'un recrutement réussi est donc finalement très simple : une faiblesse psychologique exploitable + une source de mécontentement à faire grandir + une dose de naïveté.
Par ailleurs des techniques de programmation neuro-linguistiques seront utilisées dans un premier temps afin de s'adapter à la cible (pour faciliter l'approche) et ensuite afin de "reprogrammer" son système de valeurs : "voler" devient alors "emprunter" et "copier" devient par exemple "rendre service". Ce recours à la PNL n'est pas anodin : "Il ne s'agit pas d'un Art mais d'une science, les opérateurs cherchent à obtenir des résultats prévisibles et reproductibles", explique Ira Winkler.
Si Winkler a bien pris soin de préciser à plusieurs reprises qu'il n'y a rien de nouveau ici, et notamment que ces techniques étaient déjà utilisées bien avant qu'Internet ne voit le jour, il reconnaît toutefois que les réseaux sociaux facilitent désormais grandement le recrutement des taupes : "Facebook permet par exemple de savoir immédiatement qui a des problèmes avec son employeur, ou des soucis d'argent, ou encore qui a un égo démesuré. Paradoxalement tout ce qui rend une personne vulnérable au recrutement, c'est elle qui l'affiche volontairement sur Facebook", poursuit Ira Winkler.
Se protéger contre de telles attaques est bien entendu très difficiles pour une entreprise. "D'autant plus que tout le monde peut être une cible en raison de ses fréquentations ou de ses amitiés, et pas uniquement les collaborateurs", note Ira Winkler.
Il serait toutefois dangereux de ne pas sensibiliser les salariés à l'existence de telles opérations. Outre des programmes privés, en France la DCRI propose aux entreprises des interventions de sensibilisation sur ce thème. Tous les membres de SecurityVibes ayant participé à ces séances ont trouvé l'exercice très enrichissant et particulièrement bien ficelé.
Enfin les salariés eux-mêmes devraient comprendre qu'exposer leurs griefs à l'encontre de leur entreprise ou leurs problèmes d'argent sur les réseaux sociaux ne sert concrètement à rien mais les expose à être recrutés et manipulés par un opérateur. Et il ne s'agit pas vraiment d'un sort très glamour : "Le rôle de l'opérateur est celui d'un marionnettiste : il tire les ficelles mais ne se mouille jamais. Si ses agents sont démasqués il pourra en être contrarié mais il ne fera rien pour eux. Un agent recruté est une ressource, c'est tout", conclue Ira Winkler.