Les femmes mieux préparées aux attaques ?

Sécurité - L’être humain, maillon faible de la sécurité, plus encore s’il s’agit d’un homme d’après un concours d’attaques de social engineering organisé lors de la DefCon. Sur 135 salariés visés, seuls 5 n’ont pas divulgué les informations recherchées par les hackers. Les 5 étaient des femmes.

Les résultats d'un concours réalisé en août à l'occasion de la conférence DefCon ont été présentés aux agents fédéraux du FBI. Et ils soulignent une très grande vulnérabilité des salariés à des attaques de type social engineering.

Les femmes mieux préparées que les hommes aux attaques en "social engineering" ?

Durant les épreuves, les hackers devaient non pas réaliser une intrusion informatique mais obtenir des données potentiellement exploitables lors d'attaques ou encore de pousser un tiers à effectuer une action, comme d'ouvrir une page Web.

16 des 17 entreprises visées ont échoué

Les méthodes utilisées pour recueillir ces informations sont regroupées sous la dénomination de social engineering. En tout, ce sont ainsi 135 salariés de 17 grandes entreprises (dont Google, Wal-Mart, Symantec, Cisco et Microsoft) qui ont été contactés, par téléphone, par les hackers.

Selon un des organisateurs du concours, Chris Hadnagy, cité par Network World, seule une entreprise n'a pas divulgué les secrets que les participants étaient chargés de récupérer. Le mérite de cette société est toutefois à relativiser. Son inviolabilité tient avant tout à l'incapacité des hackers à joindre un employé.

Pour les autres entreprises, les participants ont réussi à obtenir les informations, non confidentielles, recherchées, comme le système d'exploitation, l'antivirus et le navigateur (IE6 pour la moitié des entreprises visées) utilisés par les personnes ciblées.

Les hackers ont même réussi à manipuler des salariés de façon à ce qu'elle ouvre une page Internet précise (qui en cas de véritable attaque aurait pu contenir du code malveillant, par exemple).

100% de réussite pour les hackers face à des hommes


Geek Girl


Christopher Burgess, ingénieur sécurité chez Cisco, explique à Network World qu'il est important que les salariés soient sensibilisés à ces menaces et formés afin d'adopter les comportements appropriés. D'après une enquête du Clusif, peu de moyens sont attribués en entreprise à la sensibilisation.

Précision : selon les organisateurs du concours, les femmes seraient généralement moins vulnérables à ces attaques en social engineering.

Lors de la Defcon, sur les 135 salariés (dont moins de la moitié étaient des femmes) ciblés, seuls 5 ont opposé une fin de non recevoir aux hackers. Tous étaient des femmes. Toutefois, toutes n'ont pas réagi de manière similaire. Mais chez les hommes, le taux de réussite a été de 100%.

Selon le consultant en sécurité Jonathan Ham, qui réalise des tests de social engineering dans le secteur de la finance, les femmes, plus encore lorsqu'elles ont des responsabilités de manager, sont plus difficiles à abuser car souvent plus suspicieuses.
 
Copyright 2007- Social Engineering