Entretien avec une pirate (éthique) : Rachel Tobac vous explique comment vous protéger… d’elle (entre autres) !
Rachel Tobac, pirate éthique et PDG de SocialProof Security, nous explique à quel point la méfiance est indispensable en ligne.
Rachel Tobac est pirate informatique. Non, elle n’arbore pas de lunettes noires ni de sweat à capuche et ne cherche pas à dérober vos informations pour vous nuire (c’est ce qu’elle appellerait un criminel). Au contraire, elle vient en aide aux particuliers et aux entreprises et les aide à se protéger des cyberattaques. Elle fait partie de ce qu’on appelle les « pirates éthiques ».
Rachel Tobac n’était pas partie pour être pirate éthique. Son arrivée dans le monde de la technologie fut un concours de circonstances, ou plutôt un moyen inattendu d’allier ses autres passions : elle a étudié les sciences comportementales, les neurosciences et est passionnée d’impro et de comédie musicale. Et bien que ces domaines ne semblent pas de prime abord liés au monde de la cybersécurité, il y a de la logique derrière tout ça. Rachel Tobac s’est premièrement intéressée à une forme de piratage qu’on appelle l’ingénierie sociale – dans laquelle un pirate se fait passer pour quelqu’un d’autre afin de manipuler la victime et l'amener à divulguer des informations – lors d’une convention DEF CON à Las Vegas. Fascinée par les défis de hacking en direct lors de l’événement, elle passe un an à étudier pour revenir à la convention l’année suivante, où elle participe à un concours de hacking devant un public de 500 personnes et obtient la deuxième place lors de son premier essai. Elle attribue une partie de sa réussite à l’énergie de la foule.
Plus tard, Rachel Tobac fonde SocialProof Security avec son mari, un chercheur en sécurité. Ils aident les entreprises et les particuliers (comme des figures politiques et des célébrités) à protéger leurs données. Nous nous sommes entretenus avec Rachel pour lui demander ce qu’elle fait en tant que pirate éthique et comment elle se sert de ses pouvoirs pour la bonne cause.
Les conseils d’une pro
Au sein de SocialProof Security, Rachel Tobac sensibilise les entreprises et les particuliers aux attaques d’ingénierie sociale pour y mettre fin, via des démonstrations. Comment fait-elle ?
« L’ingénierie sociale par téléphone est aussi appelée vishing ou phishing par téléphone. Le téléphone est un vecteur connu d’ingénierie sociale car il est très, très efficace. Cette méthode s’appuie sur l’usurpation d’identité, entre autres. On peut très bien falsifier un numéro de téléphone et faire en sorte qu’il s’affiche différemment sur l’écran de téléphone de la victime. Et il est également possible de changer la voix à l’autre bout du fil. » (Découvrez Rachel à l’œuvre ici alors qu’elle vole les points d’une chaîne d’hôtels à un journaliste en technologie de CNN).
« Je change totalement d’identité quand j’opère par téléphone. Imaginons que j’essaie de pirater votre compte. Je me poserais d’abord plusieurs questions : quel niveau d’accès avez-vous ? À quelles données pouvez-vous accéder ? À qui devez-vous faire confiance pour accomplir vos tâches ? Ces collaborateurs en qui vous avez confiance et qui vous permettent de faire votre travail sont les personnes pour qui je vais me faire passer, lorsque je tenterai de pirater votre compte. »
Où les pirates obtiennent leurs informations
« Rien que sur Instagram, je peux récupérer environ 60 % des informations dont j’ai besoin pour pirater quelqu’un. Cela comprend les publications, la géolocalisation, les commentaires et les simples tags. Twitter et Facebook peuvent également être utiles. J’utilise des recherches avancées dans ces deux cas. »
« Je me sers également d’une technique appelée Google dorking, qui consiste à utiliser des préfixes spécifiques sur le moteur de recherche pour découvrir des informations censées être privées, mais qui en réalité ne le sont pas. Un critère de recherche spécial peut ainsi mettre au jour un fichier PDF destiné uniquement à une utilisation en interne ou confidentiel. Or, je peux le récupérer parce que quelqu’un [souvent à son insu] l’a intégré un jour à un fichier PowerPoint et maintenant ce PowerPoint est disponible publiquement. »
« L’une de mes plus grandes missions est d’aider les gens à devenir Politely Paranoid™, une expression qui signifie faire preuve de méfiance. Êtes-vous une personnalité publique ? Êtes-vous une figure politique ? Le président de la République ? Siégez-vous au Sénat ? Les personnes exposées publiquement, comme les célébrités, doivent faire preuve d’une extrême prudence sur ce qu’elles publient. Si vous n’êtes pas connu(e) publiquement, publier une photo de vous en train de boire un mojito sur la plage ne représente aucun risque. Je conseillerais simplement de ne pas identifier l’hôtel dans lequel vous séjournez. Si vous ne taguez pas votre hôtel, alors je ne sais pas quel hôtel appeler pour me faire passer pour vous et obtenir le numéro de votre chambre.
La prochaine grande menace de cybersécurité
« La désinformation, nous en sommes tous témoins, est en plein essor sur les réseaux sociaux. Alors que les avancées technologiques et le deepfake deviennent de plus en plus sophistiqués et crédibles, nous devrons être capables de trouver, détecter, marquer et supprimer ce type de contenu, de façon programmatique, car ces contenus peuvent avoir un réel impact sur l’opinion publique. »
Comment les pirates se tiennent à jour sur les menaces de cybersécurité
« Les pirates éthiques et les criminels travaillent souvent coude à coude. Par exemple, j’essaie une toute nouvelle méthodologie de hacking et puis deux semaines plus tard, j’apprends qu’un criminel a tenté exactement la même chose, sur un fichier dump. Avec la vitesse à laquelle nous essayons de manipuler et d’accéder à de nouveaux outils, ou essayons des méthodes de piratage de compte, il y a très peu d’écart entre nous et ça risque d’être le cas pendant quelque temps encore. »
Les outils essentiels de sécurité pour les entreprises
« Les outils les plus essentiels qu’une entreprise peut déployer pour tous ses utilisateurs sont l’authentification à plusieurs facteurs et un gestionnaire de mots de passe. Ces deux outils sont essentiels pour chaque employé. Sans gestionnaire de mots de passe, de nombreux mots de passe sont réutilisés, et sans authentification à plusieurs facteurs, il est encore plus facile pour un attaquant de pirater un compte. »
« L’authentification à plusieurs facteurs devrait être obligatoire, et si vous avez des utilisateurs, trouvez un moyen de les encourager à l’activer. Plus vous pouvez vous approcher d’une authentification à plusieurs facteurs au niveau de vos équipements, mieux c’est. Nous voulons abandonner peu à peu les SMS, même si souvent, cette méthode est mieux que rien. Si vous gagnez en popularité ou que vous êtes de plus en plus présent en ligne, vous devriez envisager des outils comme Google Authenticator ou Duo, ou un outil d’authentification à plusieurs facteurs basé sur des jetons, comme YubiKey ou Google Titan Key. Ce sont des solutions qui devraient être déployées au niveau de l’entreprise. »
« Les outils qui permettent aux gens de supprimer et de gérer leur identité en ligne sont essentiels. J’aime beaucoup l’outil DeleteMe de la société Abine. C’est un service qui supprime vos informations des sites de courtage de données. Je conseille aux entreprises de fournir ce service à tous leurs employés si possible. »
Erreurs courantes
« Les erreurs les plus courantes que font les gens sont de réutiliser leurs mots de passe et de ne pas maintenir à jour leurs machines et leurs navigateurs. Il est capital de ne pas réutiliser vos mots de passe. Or, 52 % des gens le font, d’après un sondage sur la sécurité en ligne de Google réalisé en 2019. [Note de la rédaction : il ne s’agit que d’un chiffre parmi d’autres, et certaines statistiques indiquent même que jusqu’à 72 % des gens réutiliseraient leurs mots de passe.] Il ne s’agit que des personnes qui admettent réutiliser leurs mots de passe. Dans les faits, cette proportion est peut-être beaucoup plus élevée. »
« Une autre erreur que l’on rencontre fréquemment consiste à négliger l’actualisation des machines et des logiciels. Grâce aux mises à jour logicielles, les entreprises corrigent les vulnérabilités connues. Sinon, il me suffit de trouver le nom d’une vulnérabilité recensée pour votre machine, d’obtenir des informations auprès de vous sur les versions que vous utilisez, puis d’adapter mon malware spécifiquement pour votre appareil. »
Conseil pour renforcer la sécurité des mots de passe
« Beaucoup de gens me disent "Rachel, je suis bien trop parano pour utiliser un gestionnaire de mots de passe, j’ai l’impression de mettre tous mes œufs dans le même panier." Je leur réponds qu’il vaut mieux utiliser un gestionnaire de mots de passe que réutiliser ses mots de passe. Si vous avez besoin d’une astuce supplémentaire pour vous convaincre que votre gestionnaire de mots de passe est sécurisé, je vous conseille de "doubler" vos mots de passe. Cela signifie que vous stockez toujours vos mots de passe dans le gestionnaire de mots de passe, mais vous ajoutez un bout de code que vous seul(e) connaissez et qui n’est pas stocké dans le gestionnaire de mots de passe. »
« Vous saisissez ce code manuellement pour votre mot de passe [après qu’il ait été saisi automatiquement par le gestionnaire de mots de passe]. Il faudrait alors qu’un attaquant craque le chiffrement (ce qui n’est pas possible à l’heure actuelle), qu’il trouve votre mot de passe Maître, qu’il contourne l’authentification à plusieurs facteurs de votre gestionnaire de mots de passe et, s’il arrive jusque-là (ce qui encore une fois n’est pas possible grâce au chiffrement, mais poussons l’hypothèse jusqu’au bout), il ne pourra toujours pas utiliser les mots de passe de votre gestionnaire car vous leur ajoutez ce code secret dont l’attaquant n’a aucune idée. »
Inscrivez-vous pour connaître toute l'actualité de Dashlane
Nous vous remercions ! Vous êtes abonné. Soyez à l'affût des mises à jour envoyées directement à votre boîte de réception.
