danger-copie-4.jpgLes Conciles de la sécurité viennent de débuter.
 
Le journal Global Security Mag  publie deux articles sur le sujet * dont je reprends de larges extraits :
  
Qu'est ce que c'est ?
« Le Concile de la sécurité est un regroupement de personnes participant à la réflexion sur la sécurité informatique. Il regroupe des experts de cabinets de sécurité informatique, une avocate spécialisée, une trentaine de DSI ou RSSI des plus grandes entreprises françaises, des membres des ministères sensibles. » peut-on lire dans l'article de Marc Jacob.
Le président honoraire est bien connu des professionnels de l'IE puisqu'il s'agit de Bernard Besson, du cabinet du HRIE (Haut responsable à l'intelligence économique ? Alain Juillet).
Il n'y a pas de numerus clausus à ce rassemblement d'experts pour que chacun puisse coopter des spécialistes en fonction des sujets débattus.
 
Quel buts ?
« Ces Conciles ont pour but d'aider une communauté (DSI / RSSI ou gérants de PME), qui évolue dans de plus petites structures que les participants, afin de leur offrir le savoir-faire et l'expérience de grands groupes ou d'experts dans le domaine, alors qu'ils n'auraient pas forcément les moyens de consacrer temps ou argent à ces problématiques. »
 
Comment vont-ils s'organiser ?
« Les Conciles se déroulent de manière pluri annuelle, la fréquence étant déterminée par les capacités d'organisation de la société soutenant le projet (NBS System) et par la disponibilité des membres du Concile de la sécurité. L'orientation d'un Concile est déterminée par l'actualité dans le domaine de la sécurité, les menaces émergentes, les sujets demandés par les membres ou encore l'envie des experts d'aborder en profondeur un point précis. »
 
Focus sur les réseaux sociaux
Lors de la première journée, 27 novembre 2007, le thème des réseaux sociaux a été abordé.
Voilà le résumé qu'en fait Marc Jacob :
« Philippe Humeau, Directeur Commercial de NBS a présenté la « Small World Domination » qui permet en quelques mois d'accumuler des informations confidentielles sur une cible. Dans ce domaine, tout commence par la détermination d'une cible : dirigeant d'entreprise, spécialiste d'un domaine, responsable de production, DAF? Le principe est de réduire au maximum le nombre de contacts entre la cible et le « pirate ». Pour cela, le pirate va utiliser plusieurs techniques et en premier lieu toutes les possibilités de récolter des informations telles : CSP, ages proches, milieux et habitudes urbaines, milieux professionnels comparables, filières scolaires (Ecoles, Universités, Grandes Ecoles?.). Ces sources d'information proviennent en général des sites de networking (small worlds) tel Viadéo, Linkdin, Plaxo, Meetic, ebay, Facebook? Puis, le pirate va tenter de deviner les mots de passe faibles sur les sites visités par sa cible en le profilant littéralement sur Internet, comme le font les criminologues. En général, ces mots de passe sont toujours les mêmes pour un même utilisateur. Ainsi, le pirate va pouvoir obtenir une multitude d'informations personnelles sur cible. Il pourra par la suite établir le contact en se servant de « rebonds humains » par l'utilisation de relations de proches en proches. Puis il pourra créer une relation de confiance et sous un prétexte le plus anodin du monde, il amènera une cible sensibilisée sur un terrain contrôlé. Il provoquera une raison pour que cette cible se connecte depuis un PC dont le clavier est écouté? Une méthode simple pour prendre le contrôle des réseaux les plus sécurisés existants.
 
Utiliser par la suite les réseaux sociaux de manière plus avancée permettra de mettre en place un réseau de chantage à très vaste échelle en découvrant les secrets de nombreuses personnes puis en leur faisant du chantage. Ces personnes se retrouveraient ensuite à devoir « infecter » leurs connaissances sous peine de voir leurs secrets révélés. Une sorte de Ver social à grande échelle. »
 
Interrogation :
Il n'est pas étonnant que des professionnels de la sécurité aient une vision aussi critique des réseaux sociaux. Une chose néanmoins m'interpelle. Pour qu'il y ait intérêt à mettre en place un tel processus de ciblage, il faut que la cible ait de la valeur. Or, je connais peu de haut responsables qui aient un profil sur ces réseaux sociaux. Dès que l'on rentre dans les sphères sensibles, la DST fait son travail de prévention.
 
Analyse :
Je vois trois explications à cette mise en garde :
- Soit, ces professionnels de la sécurité anticipent une popularisation de ces outils dans les hautes sphères, avec les dangers évidents que cela engendre et bien décrits ci-dessus,
- Soit, ils anticipent la future montée en puissance des « jeunes » qui, actuellement se dévoilent trop dans les réseaux sociaux.
- Soit (pour aller dans un sens différent) ils surestiment la capacité de nuisance de ces solutions.
 
Jérôme Bondu
 
 * Source : « Les Conciles de la Sécurité sont lancés »
Edité en décembre 2007 par Marc Jacob 
Voir le 1er article
Voir le 2eme article