Méfiez-vous de l'ingénierie sociale : attention aux appels pour réinitialiser votre mot de passe !

Le personnel du helpdesk est formé pour aider les utilisateurs ayant des problèmes de mot de passe à accéder à leurs comptes. Ils sont donc des cibles privilégiées pour les pirates informatiques. Comme le montre le Verizon Data Breach Investigations Report, l'ingénierie sociale – cette technique pour tromper les utilisateurs afin qu'ils divulguent des informations confidentielles - a connu un pic au 2^e trimestre 2018. Tous les secteurs d'activité sont touchés, et cela reste l'une des tactiques les plus efficaces utilisées contre les helpdesks. 

Une technique classique d'ingénierie sociale consiste à appeler le helpdesk pour réinitialiser des mots de passe en se faisant passer pour quelqu'un d'autre afin d'accéder aux données sensibles d'une organisation. En réalité, le personnel du helpdesk est souvent surchargé d'appels de réinitialisation de mot de passe, et n'a guère le temps de vérifier soigneusement l'identité de chaque appelant. Il s'agit donc d'une méthode de piratage relativement facile à mettre en œuvre, car le pirate n'a qu'à convaincre le personnel du helpdesk de lui fournir un nouveau mot de passe, au lieu d'essayer de deviner ou de craquer un mot de passe. 

Pour protéger votre organisation, l'OS humain a besoin d'un patch d'ingénierie sociale

. Les entreprises négligent parfois le maillon le plus faible : les humains. Une formation continue est nécessaire pour informer les employés des dernières menaces de sécurité et de ce qu'ils peuvent faire pour prévenir les attaques. 

Mais les logiciels peuvent contribuer grandement à renforcer votre cyberdéfense.

Nombreuses sont les organisations qui recourent encore à la réinitialisation manuelle des mots de passe, ce qui les rend plus vulnérables à l'ingénierie sociale. Le personnel du helpdesk pose à l'appelant des questions de vérification qui portent généralement sur le nom, le lieu de travail, l'adresse électronique ou l'identifiant de l'employé. Mais de telles questions sont faciles à prévoir. Une fois l'identité confirmée, de nouveaux mots de passe sont attribués... une victoire très facile pour les pirates. Si vous voulez lutter efficacement contre les attaques potentielles d'ingénierie sociale, vous devriez envisager de mettre en place un outil pour vous aider. 

Il existe plusieurs façons de s'attaquer à ce problème. 

1. La réinitialisation du mot de passe en libre-service avec une MFA.

Mettez en place une solution de réinitialisation des mots de passe en libre-service et donnez aux employés un contrôle direct sur leurs comptes. Le processus automatisé supprime l'interaction humaine et réduit les risques d'usurpation d'identité. Activez également l'authentification multifacteurs (MFA) dans la réinitialisation du mot de passe. Le MFA doit exiger plusieurs formes d'authentification telles que les questions secrètes, un code de vérification mobile, des services d'identité personnels, l'authentification du gestionnaire et les cartes à puce. Cela vous permet de créer une défense à plusieurs niveaux et de vous prémunir contre différents types d'attaques. 

Specops uReset est une solution de réinitialisation de mots de passe en libre-service qui prend en charge l'authentification multifacteurs. Elle peut fonctionner avec un large éventail de services d'identité. Non seulement les méthodes d’authentification courantes (comme les questions secrètes, les codes de vérification mobile ou encore les codes à usage unique générés par des applications comme Google Authenticator ou encore Microsoft Authenticator) sont disponibles, mais on peut également y trouver divers services d'identité numérique allant des services d'identité personnels (par exemple LinkedIn) aux services d'identité d'entreprise (par exemple salesforce.com), en plus des méthodes d’authentification à confiance plus élevée comme les cartes à puce. 

2. Sécuriser le helpdesk pour l'authentification des utilisateurs liée à la réinitialisation du mot de passe

Si vous hésitez encore à adopter une solution de réinitialisation de mots de passe en libre-service, pensez au minimum à sécuriser le processus avec le helpdesk. Des solutions telles que Specops Secure Service Desk permettent à votre helpdesk d'utiliser la méthode MFA pour vérifier l'identité de la personne qui demande une réinitialisation de mot de passe. Cette étape supplémentaire vous aidera à atténuer les attaques potentielles d'ingénierie sociale. Cela permet également de soulager le personnel du helpdesk, bien souvent surchargé par l'assistance apportée aux employés. 

Qu'il soit géré par le helpdesk ou par chaque employé, il est essentiel de sécuriser le processus de vérification des utilisateurs pour la réinitialisation du mot de passe. La menace d'ingénierie sociale est réelle - comme le montre l'exemple d'Uber - alors prenez des mesures pour éviter qu'elle ne touche votre organisation.