“Votre mot de passe contre un bâton de chocolat?” Il y a un mieux, mais…

A l’occasion de l’événement Infosecurity organisé à Londres, l’on a, conformément à une tradition annuelle, demandé dans une gare londonienne à un certain nombre d’employés navetteurs s’ils accepteraient de confier leur mot de passe au bureau en échange d’un bâton de chocolat. Les résultats révèlent un mieux, mais…

Les résultats ont en fait été nettement meilleurs que ceux obtenus les années précédentes. En 2007, 64 pour cent des personnes interrogées indiquaient en effet encore avoir révélé leur mot de passe contre 21 pour cent seulement cette année. Il convient par ailleurs d’observer que quatre fois plus de femmes que d’hommes sont tentées de succomber à la tentation contre un bâton de chocolat. L’organisateur d’Infosecurity fait observer à juste titre que les utilisateurs deviennent cependant de plus en plus conscients du danger que cela représente. Une personne – un fonctionnaire ministériel – a même répondu qu’il ne confierait jamais son mot de passé, parce que cela pourrait provoquer son licenciement!

Et pourtantQuoique… Du sondage, il apparaît aussi que plus ou moins la moitié des personnes interrogées connaissent les mots de passe de leurs collègues au bureau et que 58 pour cent d’entre eux confieraient par téléphone leur mot de passe à quelqu’un du département IT! Quelque 35 pour cent déclaraient aussi que le mot de passe du chef de bureau ou d’entreprise serait connu par quelqu’un d’autre que lui, comme son assistant, sa secrétaire et/ou des collaborateurs du département IT. Bref, sur tous ces points, les entreprises concernées étaient particulièrement vulnérables vis-à-vis de personnes qui s’infiltrent et/ou exploitent des tactiques d’ingénierie sociale dans leurs attaques.

Qui plus est, lorsqu’on a demandé à ces personnes leur date de naissance par exemple dans le cadre du sondage, quelque 61 pour cent l’ont déclinée sans problème. Ensuite, on leur a dit qu’ils pouvaient remporter un voyage d’un week-end à Paris, s’ils acceptaient de donner leur nom et leur numéro de téléphone. 60 pour cent des hommes et 62 pour cent des femmes les ont confiés aisément. Ce n’est qu’ensuite qu’on leur a signalé qu’avec ces trois données – date de naissance, nom et numéro de téléphone – il était possible de lancer des attaques relativement sophistiquées (y compris des actions de hameçonnage) et qu’heureusement pour eux/elles, les enquêteurs collaboraient simplement à un exercice de conscientisation de la sécurité. Ce à quoi pas mal de participants ont clairement fait remarquer que les enquêteurs ne leur avaient pas paru être des malfaiteurs en raison de leur bonne présentation.Bref, il y a certes un mieux, mais il reste encore du pain sur la planche!