À l’origine d’une attaque et potentiellement d’une fuite de données se trouvent probablement des données précédemment exposées.
Des réseaux sociaux jusqu’au darkweb, les sources de données utiles aux attaquants n’ont jamais été aussi abondantes, surtout pour atteindre les dirigeants et collaborateurs d’une organisation. Les vulnérabilités humaines ont toujours été exploitées, comme finalité (ex. : déstabilisation) ou vecteurs d’attaques (phishing ciblé, usurpation d’identité, etc.).
La généralisation de l’usage des réseaux sociaux entraîne une exposition croissante des utilisateurs et de leurs données personnelles, volontaire ou contre leur gré (Yahoo : 3 milliards de données fuitées en 2013 ; LinkedIn : 700 millions de comptes exposés en 2021).
Les données fuitées issues d’attaques contre les entreprises et administrations publiques sont identifiables sur des sites de fuites de données, forums et blogs de groupes de ransomware qui publient les données volées. Notre veille quotidienne et l’analyse de ces données nous permettent de constater que 80 % des données fuitées liées au ransomware exposent des données personnelles des salariés et clients. Cette multiplicité de sources de vulnérabilités est difficile à surveiller pour les équipes sécurité, mais pourtant incontournable, chaque nouvelle fuite exposant toujours plus tout un chacun et, avec, son entreprise.
La phase de reconnaissance des attaquants est le point de départ de toutes les cyberattaques ciblées. Les données fuitées représentent ainsi une mine d’or d’informations pour eux. Elles permettent d’identifier la victime et son environnement proche. Le niveau d’exposition d’une cible et la somme de données disponibles sont aussi un critère d’évaluation de son niveau de maturité et de sa vigilance. Les attaquants vont ainsi privilégier les “cibles faciles”.
Très souvent, les attaquants usurpent l’identité d’un proche ou d’un supérieur. Ils utilisent l’ingénierie sociale pour contacter la victime par e-mail ou par téléphone. L’individu malveillant, après avoir étudié l’entreprise et son actualité, peut par exemple profiter d’un voyage à l’étranger du PDG pour déclencher une attaque en usurpant son identité. La fraude au président, ou escroquerie aux faux ordres de virement, est en recrudescence : elle représente, ces trois dernières années, 55 % des fraudes par usurpation d’identité. Les indicateurs de compromission sont des indices et des preuves de fuites de données. Non seulement ils peuvent révéler qu’une attaque a eu lieu, mais aussi quels sont les outils utilisés pour conduire l’attaque. Les IoC “techniques” tels que communément admis ne suffisent plus aujourd’hui à qualifier et contrecarrer les formes de menaces impliquant l’humain.
Ainsi, nous appelons les “indicateurs de compromission humains” les données compromises et exposées en source ouverte d’un individu. Elles sont relatives à l’identité civile et numérique d’une personne physique, résultant soit de la violation de la sécurité d’un système d’information, de nature accidentelle ou illicite (ex. : extorsion par ransomware), soit de la publication d’informations, volontairement ou accidentellement, par des utilisateurs et des éditeurs de service en ligne. Il s’agit de ses données d’identité physiques (prénom, nom, date de naissances, etc.) ou numériques (e-mails, numéro de téléphone, etc.), ses données professionnelles, financières ou de santé. Mais aussi l’ensemble de ses centres d’intérêt et de son cercle familial et amical.
L’analyse de ces indicateurs de compromission humains et leur corrélation avec des IoC “techniques” participent à la maîtrise de l’empreinte numérique d’une organisation et, in fine, à la prévention de toute nouvelle attaque. Elles doivent être pleinement intégrées dans les stratégies de défense actuelles.