Shoulder surfing
Regarder par-dessus l'épaule (anglais : Shoulder surfing) est une technique d'ingénierie sociale utilisée pour dérober de l'information à une personne en particulier, en sécurité informatique.
Normalement, cette technique est utilisée pour obtenir le numéro de sécurité sociale de la victime ainsi que ses mots de passe ou d'autres données confidentielles. Pour mettre en œuvre cette technique, il n'y a pas besoin de compétences particulières, uniquement d'agilité et de préparation.
Il existe deux façons de réaliser l'attaque, la première, assez rapprochée, consiste à regarder par-dessus l'épaule de la personne espionnée en tentant d'observer les données qu'elle introduit dans des champs. La seconde, plus éloignée, implique l'utilisation de jumelles ou d'appareils adaptés, tels que des micros ou des caméras-espion.
Historique
Au début des années 1980, cette technique était appliquée à proximité des cabines téléphoniques dans le but d'obtenir des informations sur la carte d'appel et pouvoir ensuite effectuer des appels à longue distance gratuitement. Parfois, ces informations pouvaient être vendues illégalement.
Néanmoins, l'essor de nouvelles technologies telles que les caméra ou les microphones discrets ont facilité cette pratique, notamment en favorisant des attaques à plus longue distance.
Une caméra-espion permet de capturer tout le processus d'identification ainsi que des données confidentielles de la victime, ce qui peut être exploité en vue d'usurpations d'identité ou dans le but d'effectuer des achats à partir des données de l'attaqué.
Les lieux massivement fréquentés sont les plus propices pour les attaquants et souvent ils observent l’environnement des victimes potentielles avant de mener leur méfait.
Contexte
Les procédures les plus propices à l'usurpation d'identité sont les suivantes :
- la saisie de l'adresse mail sur une page d'identification ;
- l'identification au sein d'une application ;
- le retrait d'argent en distributeur automatique ;
- le remplissage de documents bancaires (dépôts, prêts...).
D'après des enquêtes réalisées auprès des utilisateurs de dispositifs portables, les résultats ont de quoi être alarmants, en effet:
- 85 % des sondés ont admis avoir déjà vu des informations sensibles sur des écrans qu'ils n’étaient pas autorisés à observer.
- 82 % ont admis qu'il était possible que des informations confidentielles affichées sur leur écran aient pu être observées par d'autres personnes.
- 82 % ont reconnu avoir peu ou pas confiance dans le fait que les membres de leur organisation protégeaient leurs écrans des regards indiscrets.
Prévention
Il convient, à l'heure de saisir des informations confidentielles, de s'assurer que personne autour ne porte un intérêt déplacé envers nos activités, en cherchant à obtenir une certaine discrétion.
Certains modèles de lecteur de cartes ont un clavier incliné et une protection en plastique qui entoure une partie importante de celui-ci, ce qui rend l'application de cette technique bien plus compliquée du fait qu'il faut se situer face au clavier pour pouvoir l'observer distinctement, ce qui n'est pas toujours le cas pour certains anciens modèles.
Certains distributeurs ont un écran sophistiqué qui dissuade les attaquants : grâce à des filtres, ils s'assombrissent au fur et à mesure que l'on augmente l'angle de vision et le seul moyen de distinguer les informations est de se tenir précisément en face de l'écran. Malgré une certaine protection, ces écrans n'assurent pas pour autant une sécurité absolue. Ce genre de filtres sont commercialisés pour être positionnés sur des écrans de téléphone ou d'ordinateur portable.
En général, les techniques évoquées ne sont pas utilisées pour cacher le code secret étant donné qu'il n'est pas affiché pendant la saisie. Un moyen d’éviter son observation pendant celle-ci est de disposer un cache autour du clavier ou à défaut de celui-ci, d'abriter le clavier sous une main.
Bibliographie
- Eric Cole, Network Security Bible, 2nd Edition, John Wiley & Sons, 2009
- John Vacca, Computer and Information Security Handbook, Morgan Kaufmann, 2009
- Johnny Long et Kevin D. Mitnick, Shoulder surfing, Burlington, 2008
- Visual Data Security
- « ISO - 9564 »(Archive.org • Wikiwix • Archive.is • Google • Que faire ?)