La source de la faille de sécurité

Pas de service informatique à proprement parler dans cette PME, mais un responsable informatique qui pilote un prestataire. La fonction support est donc externalisée, comme c’est malheureusement trop souvent le cas quand un consultant vient se mêler des relations humaines.

Le chef d’entreprise m’accueille un peu surpris : « je croyais que la réunion était prévue à 9h ». Je lui explique que j’arrive toujours en avance pour être sur que les conditions d’accueil de la réunion d’expertise sont optimales. Il opine du chef, étant lui-même fort en avance.

Nous échangeons quelques banalités, puis il me dit : « sale affaire quand même ». Je le rassure en lui disant qu’il n’y a pas de raison pour qu’on n’avance pas sur le sujet, même si je n’en sais rien moi-même…

L’entreprise s’est faite dérober 40 000 euros le mois précédent et personne ne comprend comment cela a pu se produire. Plusieurs personnes sont suspectées, la police est en train d’enquêter. Mais le chef d’entreprise est inquiet et voudrait que les choses avancent BEAUCOUP plus vite, car la police n’a pas vraiment encore commencé son enquête. Son avocat lui a conseillé de faire appel à un expert judiciaire pour une mission privée. Son directeur financier m’a contacté et me voilà sur site pour démêler la pelote. Je ne suis pas sur d’y arriver, mais j’ai proposé d’essayer.

L’heure de la réunion est arrivée. Le comité de direction est au complet, je pourrais dire au garde à vous. Ma discussion informelle avec le chef d’entreprise m’a permis de cerner un peu le profil du personnage : autoritaire, exigeant avec lui-même et avec les autres, ne laissant pas ou peu la place aux doutes ou aux hésitations, intelligent mais avec des idées bien arrêtées.

Je regarde les personnes assises autour de la table. Je remarque une certain tension dans l’air. Personne ne parle, tout le monde attend que le patron prenne la parole. Celui-ci laisse une dizaine de secondes de silence s’écouler, puis introduit rapidement le sujet et me passe la main. Je me présente, puis je demande aux personnes autour de la table de se présenter, tout en prenant le temps de noter leurs prénom, nom et fonction. Cela pose la réunion dans un rite qui ne leur est pas habituel.

Puis le directeur financier m’explique qu’une facture de 40 000 euros a été payée à un fournisseur, mais à la mauvaise banque. Ce qui fait que le fournisseur réclame toujours le paiement de sa facture. Classique. J’évoque une arnaque au président ou une usurpation d’identité. Plusieurs personnes hochent la tête. Je me fais remettre des impressions des échanges, j’écoute les explications et les interrogations. Je vois bien que tout le monde a sorti le parapluie et que le chef d’entreprise cherche le coupable de cette catastrophe. Le directeur financier me vante les mérites de ses procédures à double vérification, le responsable informatique me vante les mérites de la sécurité de son parc informatique, de ses serveurs infonuagiques et de ses parefeux « gérés par le meilleur prestataire qui soit »… Bref, l’entreprise est sure, impossible de se faire piéger. Et pourtant…

A la pause de 10h30, je propose discrètement au chef d’entreprise de me laisser gérer la réunion « qui va prendre un tournant très technique ennuyeux » et lui suggère subliminalement de prendre la décision de quitter la salle pour aller gérer des choses plus importantes, ce qu’il fait d’assez bonne grâce (étant bien clair que c’est lui qui a pris cette décision). A la reprise de la réunion, j’annonce aux personnes présentes que compte tenu de la tournure technique que va prendre la suite des opérations, je souhaite ne pas leur faire perdre leur temps et les recevrait individuellement en tête à tête sur des créneaux d’une heure. Tout le monde a l’air un peu plus à l’aise

Je commence à lancer mes filets à grosses mailles.

Je reste seul avec le responsable informatique. Je lui demande de me fournir les impressions des emails avec leurs entêtes complètes. Je lui demande de convoquer le responsable technique du prestataire informatique immédiatement pour une réunion d’une heure dans l’après-midi. Je veux l’accès à tous les logs des équipements : postes de travail, routeurs réseaux, serveurs, téléphonies, parefeux, etc. Il est plus à l’aise qu’en présence de son chef d’entreprise et voit en moi l’un de ses pairs.

Je vois ensuite le responsable administratif et financiers. Je lui pose des questions sur le fonctionnement de son équipe, sur qui fait quoi. Il se lance dans une explication détaillée des subtilités de son art. Je l’arrête rapidement en lui disant que je suis nul en comptabilité/finance et que je souhaite voir rapidement en tête à tête la personne qui a mené les opérations de changement des informations bancaires. Il est un peu dépité, résiste au fait que je sois seul avec son collaborateur. Mais je suis intraitable.

Le responsable informatique revient avec une pile de feuilles d’impression contenant tous les emails échangés. Il reste avec moi pour m’aider à en prendre connaissance et à écrire sur le grand tableau blanc la ligne de temps des échanges, façon FBI. J’ai vu ça dans les séries et c’est vrai que c’est une bonne idée (sauf que c’est difficile à afficher proprement). Je repère un problème dans les entêtes des emails.

Une personne passe la tête par la porte et m’informe être en charge de la facturation. Je change de table en laissant le tas de papier en vrac, demande à l’informaticien de sortir et reçoit les confidences du comptable. « Vous savez, c’est dur de travailler ici. tout le monde est chef, mais nous sommes peu nombreux à faire, vous comprenez ? ». Je comprends. Je lui explique que je suis moi-même un peu chef, et donc très ignorant de son travail et que s’il pouvait me l’expliquer en termes simples. Il sourit et me détaille son activité. Je lui demande s’il se souvient d’une intervention particulière du service informatique dans le mois qui précède, il réfléchit et me signale une intervention assez longue sur son poste par le service informatique. Intrigué, je demande des détails : « Oh, j’avais des soucis avec Excel, et le service support de Microsoft m’a contacté par téléphone et m’a aidé à les régler. »

Le responsable technique du prestataire informatique arrive en retard sur son créneau horaire, mais avec tous les accès techniques. « Nous avons un puits de logs, vous savez ».

J’ai une idée en tête, je vais pouvoir lancer mes filets à petites mailles.

Deux heures plus tard, je crois avoir la solution. Je convoque à nouveau le comptable, mais en présence de l’informaticien et du responsable technique du prestataire. Je lui demande de nous détailler l’intervention du support informatique Microsoft. Et avant que les deux chefs ne réagissent, je leur demande d’écouter attentivement et de laisser parler le sachant.

« Alors voilà, j’ai reçu un coup de téléphone du support Microsoft pour le problème d’Excel que j’avais signalé, et nous avons passé une heure au téléphone. Ils m’ont fait installer un logiciel sur son poste pour pouvoir intervenir à distance, et ils ont fait plein de trucs pour me dépanner ». Je vois la mine déconfite du responsable informatique, mais avant qu’il n’intervienne, je dis de ma voix la plus douce possible « mais avez-vous imaginé que la personne au téléphone puisse ne pas appartenir au support Microsoft ? ». Et là, j’ai vu le visage du comptable se décomposer : « vous voulez dire que c’est moi qui ait donné accès à un pirate à mon ordinateur ? »

Trust – Antisocial – blague de vieux geek

Dans ce dossier, un pirate s’est fait passer pour le service support de Microsoft auprès d’un employé et a pu installer un logiciel de prise de contrôle à distance, sans éveiller de soupçons ni d’alerte, parce que la politique de sécurité informatique de l’entreprise n’interdisait pas l’utilisation de ce type de logiciel et par manque de sensibilisation du personnel (et des chefs) à la sécurité informatique. Le pirate a eu tout loisir d’accéder à l’ordinateur, d’analyser les échanges, les procédures et les habitudes. Quand j’ai regardé les entêtes des emails, j’ai remarqué le changement de domaine au moment où le pirate a expliqué le changement de banque et a adressé une facture parfaitement conforme à celle de l’année précédente (mais avec une nouvelle banque). Les outils de messagerie n’affichant pas l’adresse réelle de l’expéditeur, et de toutes façons celle utilisée par le pirate étant très proche de l’adresse de l’utilisateur légitime, le comptable ne s’est pas méfié (pas plus que les différentes personnes en copie des échanges). La procédure de double vérification consistait en des échanges emails « OK » complètement inefficients. Le terrain était prêt pour la catastrophe. Nous avons vérifié, la dernière utilisation du logiciel de contrôle à distance (toujours installé) remontait à la date de paiement de la facture.

J’ai passé plus de temps à expliquer au chef d’entreprise que le comptable était une victime (qu’il fallait défendre) qu’à lui présenter la méthode utilisée par le pirate.

J’ai eu la satisfaction d’apprendre par la suite que tout le monde s’était fait remonter les bretelles, mais que le comptable était toujours en poste. Sans doute le patron a-t-il eu la lucidité de comprendre qu’il n’avait pas tant de sachants que cela dans l’entreprise.

14 réflexions sur « La source de la faille de sécurité »

  1. Un truc que j’aimerais comprendre.
    “Alors voilà, j’ai reçu un coup de téléphone du support Microsoft pour le problème d’Excel que j’avais signalé »
    Le comptable a contacté Microsoft pour un problème Excel directement?
    Si c’est le cas, évidemment il y a un problème: c’est le boulot du responsable informatique.
    Mais si on est un simple comptable (et même si on est responsable informatique, après tout), comment savoir qu’on a bien affaire au bon dépanneur de chez microsoft? En demandant au préalable le numéro de téléphone?

    Et même pour un particulier: mon papa par exemple. Il contacte microsoft pour un problème d’excel. Comment mon papa peut-il éviter de se faire pirater?

    PS: au passage je suppose que cela signifie que le pirate a été mis au courant que le comptable avait un problème d’excel. Par quel moyen? Il avait déjà un logiciel espion sur la machine du comptable? Il a intercepté les emails adressé à microsoft? Fait un faux site de dépannage pour inciter les gens ayant des problèmes d’Excel à le contacter?

    • Non, le pirate a sans doute appelé au hasard. Comme un bon arnaqueur, il s’est présenté comme « support de Microsoft » car les utilisateurs ont toujours des problèmes avec la suite Office. Et puis, ça fait sérieux. Le problème ici est que les utilisateurs n’ont pas été sensibilisés au fait qu’ils ne doivent jamais croire quelqu’un qui se fait passer pour un prestataire : comme vous le signalez, c’est le travail du responsable informatique.
      Pour les particuliers, comme votre père, c’est plus difficile, et les arnaqueurs prospèrent (cf l’arnaque aux droits CPF).

    • Oui, la solution serait d’utiliser le bon numéro de téléphone… via un site fiable déjà connu (genre Microsoft), et de raccrocher l’appel en cours. Si l’appelant est frauduleux, il peut dire absolument n’importe quoi.
      C’est quasi-impossible de vérifier : l’arnaqueur peut tout à fait renvoyer la victime vers un « faux » numéro de téléphone, un faux site etc. parce que la victime a fait confiance à un faux appel à la base…

      Il y a une dkfférence entre l’incident et votre exemple :

      « j’ai reçu un coup de téléphone (du support Microsoft) » -> une personne inconnue lance la communication, donc difficile de vérifier l’identité

      « mon papa par exemple. Il contacte microsoft pour un problème d’excel » -> en supposant qu’il a obtenu les coordonnnées via le vrai site, il est bien sur le vrai support, car IL a lancé l’appel

  2. Quel plaisir de lire votre prose, Zythom.
    Tant le style que les éléments techniques et humains sont un régal.

  3. Le chef a fait bien de garder l’employé. Il a payé 40.000 € pour faire apprendre cette leçon, il va certainement pas répéter le même erreur. Si l’employé est viré, c’est le prochain employeur qui va profiter de cette « formation ».

  4. C’est quasi un Agatha christie, huis clos, l’enquêteur qui fait son chemin en parlant a tout le monde, etc. Il n’y a plus qu’a transformer ça en roman 😉

  5. Très bon article merci ! J’ai eu le cas récemment avec un client, il pensait communiquer avec sa comptable via mail (faux mail en gmail.com)… Et s’est fait prendre 9000€ en un virement.

    Pas de problème de responsabilité vu que c’était le patron directement, mais difficile à avaler, car sa banque ne voulait rien savoir, j’ai dû lui faire comprendre qu’il pouvait s’asseoir dessus… Le meilleur exercice de sensibilisation possible cela-dit, je pense que ça ne lui arrivera plus. Mais je ne pensais pas que ça arrivait aussi souvent.

    Bonne journée !

  6. Bonjour
    C’est aussi le résultat d’une situation provoquée par un abus de position dominante par une entreprise américaine doublée très certainement par des ententes verticales et horizontales (entre assembleurs, importateurs, grossistes, revendeurs, fabricants…). Moralité le marché de la bureautique est à 99,9% propulsée par cette entreprise américaine. De fait, cela facilite considérablement le marché du piratage alors qu’un marché beaucoup plus diversifié compliquerait sensiblement la tâche des pirates. Je souhaite bon courage au pirate informatique qui va se faire passer pour du support Microsoft chez cet avocat poitevin dont l’informatique est entièrement propulsée par linux (je ne sais plus quelle distribution – Suse de mémoire) ainsi que les serveurs de sauvegardes. Comme quoi, Linux est vraiment près pour le « desktop ». Et si il vous manque un truc, comme nous sommes dans le logiciel libre, il ne faut surtout pas hésiter à participer soit financièrement, soit en produisant du code, soit en remontant des bugs, plutôt que de dire que c’est nul.
    Bonne journée à tous.tes 😉
    ps: cher Zythom: pouvez vous me dire comment faire le . au milieu et non en bas avec une Debian ou une Mageia ? 😀

Les commentaires sont fermés.