Pourquoi se fatiguer alors que la plupart des employés livrent eux-mêmes et de plein gré les informations qui vont permettre à des hackers de lancer des campagnes hyperpersonnalisées contre la société pour laquelle ils travaillent?

La question est posée – évidemment pas en ces termes – . Le phénomène, classique en temps normal, prend un sens particulier parce que les communications en face à face diminuent.

Neuf employés sur dix (même 93% des moins de 34 ans) postent quotidiennement des informations sur les réseaux sociaux:

- 2,7 milliards de comptes Facebook, dont 55% sont totalement ouverts;

- 1,16 milliard de comptes Instagram;

- 722 millions de comptes Linkedin;

- et 353 millions de comptes Twitter.

Un salarié sur trois publie des informations très précises sur ses déplacements professionnels, 72% sur leur anniversaire, et 36% sur leur job, sans oublier les traditionnelles photos de leur conjoint ou partenaire, leurs enfants ou leurs animaux de compagnie. Plus d’un quart des salariés publient même des informations sur leurs clients.

Le champion des champions, pour Tessian, aura été l’ancien Premier ministre australien, Tony Abbott, qui avait publié sur son compte Instagram une photo de billets d’avion sur laquelle on pouvait voir la référence de son booking, son numéro de passeport et son numéro de téléphone. Certains ont déjà eu la mauvaise surprise de voir leur réservation transformée par un pirate…

Les trois quarts des salariés utilisent leur mot de passe sur plusieurs plateformes différentes, y compris pour leur login professionnel. 21% utilisent le nom de leur équipe de football préférée, le nom de leur animal de compagnie ou leur date de naissance, mais ils sont plus d’un sur trois à avoir eux-mêmes donné ces informations. Même les questions de sécurité sont souvent les mêmes et permettent elles aussi d’avoir accès au compte, comme «Comment s’appelait votre meilleur ami à l’école?» ou «Quel est le nom de jeune fille de votre mère?».

Out of office, source d’information négligée

Un des principaux problèmes pointés par la société de cybersécurité est le fameux «out of office» (OOO). Souvent, les salariés sont invités par leur direction des ressources humaines à bien veiller à mettre en place une réponse automatique quand ils ne sont pas là. Problème, dit Tessian, elle contient encore plus d’informations qu’une réponse classique à un e-mail.

- 43% des OOO contiennent la précision du lieu où est le salarié absent;

- 53% indiquent combien de temps le salarié sera absent;

- 48% donnent un autre point de contact avec toutes ses coordonnées;

- 51% remplacent même leur numéro ou leur adresse e-mail professionnels par des coordonnées privées.

Et alors? Alors Tessian raconte l’histoire d’une société où l’attaque avait commencé avec le «out of office» du directeur financier, qui était à une conférence à l’étranger et qui désignait une personne de contact. Les hackers ont commencé par créer une fausse série d’e-mails entre le directeur financier et une société cliente à propos d’un virement à effectuer. Et le virement fut effectué…

Dans un autre cas, les hackers avaient ciblé une consultante qui débutait pour avoir accès à une compagnie pharmaceutique. Le fait de recevoir des e-mails de cette consultante, même débutante, leur a permis de s’introduire dans la société et d’y déposer des logiciels malveillants.

Au travail, seuls 54% des salariés font attention à la personne qui leur envoie un e-mail, 44% vérifient la légitimité du lien sur lequel ils sont appelés à cliquer et 47% sont prudents avec une pièce jointe.

88% des salariés ont reçu un e-mail douteux l’an dernier, qui reste le premier canal de diffusion de dangers, selon l’étude, devant les messages reçus via les réseaux sociaux et les appels téléphoniques.