Quest-ce que le surf à lépaule ?

En sécurité informatique, il existe de nombreux risques et de nombreuses formes que ces risques peuvent prendre. Le surf sur l'épaule est une forme d'ingénierie sociale. Il fait référence à une classe d'attaques où un attaquant obtient des informations en regardant l'appareil de la victime. Cela impliquait historiquement de regarder physiquement par-dessus leur épaule, mais englobe également des techniques impliquant des caméras cachées et autres.

L'exemple classique du surf sur l'épaule est lorsqu'un attaquant regarde par-dessus l'épaule de la victime tout en tapant le code PIN de sa carte de paiement. La prise de conscience de ce type d'attaque a entraîné des changements de comportement, notamment en couvrant activement la main et en tapant le code PIN avec l'autre main. Certains terminaux de paiement incluent également un couvercle de confidentialité intégré sur le clavier NIP. Certains guichets automatiques rappellent également aux utilisateurs de vérifier par-dessus leurs épaules. Ils peuvent également comporter un petit miroir pour vous permettre de vérifier par-dessus votre épaule.

Remarque : Le miroir du guichet automatique est souvent minuscule et quelque peu brumeux. C'est délibéré. C'est assez bon pour vous permettre de vérifier par-dessus votre épaule. Ce n'est pas non plus suffisant pour permettre à un attaquant bien placé de voir votre code PIN.

Ces contre-mesures ont conduit à des techniques plus avancées dans le monde réel. De nombreuses entreprises criminelles ont utilisé des caméras cachées pour espionner le clavier NIP. Certains se sont placés plus loin et ont utilisé des jumelles ou un télescope pour voir le clavier NIP à une distance sécuritaire. Des caméras thermiques ont également été utilisées pour identifier le code PIN en raison de la chaleur résiduelle laissée sur les boutons lorsqu'ils ont été touchés. Dans certains cas, des dispositifs de skimmer ont été placés sur le devant de l'appareil, couvrant les vrais boutons. Bien que ce dernier cas entraîne toujours le vol de codes PIN et de détails de carte, ils ne sont pas strictement considérés comme du surf sur l'épaule, car aucune observation réelle n'était nécessaire.

Autres situations

Bien sûr, le surf à l'épaule peut également être un risque dans d'autres scénarios. Tout système avec un secret court – en particulier sur un clavier NIP numéroté – est exposé à ce risque. Un attaquant pourrait regarder un code saisi dans une porte de sécurité, voir les positions du gobelet lors de l'ouverture d'un coffre-fort ou observer la saisie d'un mot de passe.

Remarque : lorsqu'un seul code PIN est utilisé sur un clavier pendant une période prolongée, les boutons peuvent s'user ou s'encrasser simplement à cause de leur utilisation. Ceci est similaire - bien qu'il s'agisse d'une variante plus extrême - du concept d'imagerie thermique. Cela ne s'applique généralement qu'aux portes de sécurité car elles ont tendance à avoir un code PIN connu de toutes les personnes autorisées, qui n'est pas souvent modifié.

Le scénario d'un attaquant observant la saisie d'un mot de passe est particulièrement intéressant en sécurité informatique. Bien que vous ne donniez pas volontairement un mot de passe aux gens, il existe d'autres moyens de l'obtenir. Le phishing est un risque relativement bien connu et souvent sous-estimé. Le surf sur l'épaule est également un autre risque. Ce risque s'applique particulièrement dans les lieux publics où vous n'avez aucun contrôle sur les personnes qui vous entourent. À la maison ou au travail, on s'attend davantage à la fiabilité, aussi déplacée soit-elle.

Par exemple, un attaquant peut voir votre mot de passe par-dessus votre épaule si vous êtes dans un café et vous connecter à votre téléphone. Un attaquant peut également faire de même si vous utilisez un ordinateur portable. C'est plus facile car les touches sont plus visibles et plus faciles à distinguer si vous tapez rapidement votre mot de passe.

Autre contenu

Souvent, la plus grande cible des surfeurs d'épaule est quelque chose de petit et de grande valeur. Les codes PIN et les mots de passe sont idéaux pour cela car ils sont courts, relativement faciles à identifier et à mémoriser et offrent un accès supplémentaire aux fonds ou à un compte ou un appareil, par exemple. Dans d'autres cas, l'attaque peut être purement opportuniste ou résulter de ciblages particuliers, comme l'espionnage.

Une attaque opportuniste a tendance à être l'observation de quelque chose de sensible mais pas quelque chose d'utile pour l'attaquant. Par exemple, certains hommes d'affaires travaillent dans les transports en commun. Ils peuvent travailler sur des documents sensibles impliquant des prévisions financières ou tout autre type d'informations sensibles, internes et non publiques. Une personne assise à proximité peut voir son écran et recueillir des informations.

Dans ce cas, l'attaquant peut même ne pas être un attaquant réel. Ils peuvent être curieux mais n'ont aucune intention de faire quoi que ce soit avec ce qu'ils apprennent. Ce n'est pas toujours le cas, cependant, et il n'y a aucun moyen de le dire, il faut donc faire attention lorsqu'il s'agit d'informations sensibles dans des lieux publics. Cette notion s'applique également aux contenus personnels sensibles, notamment photographiques ou vidéo. Encore une fois, quelqu'un d'autre peut regarder votre écran. Même s'ils ne le partagent pas davantage, cela peut toujours être une intrusion indésirable.

Dans des contextes d'espionnage et d'ingénierie sociale, un attaquant peut délibérément cibler une victime ou un lieu pour voir des informations sensibles sur un écran. Cela ne fournira pas nécessairement à l'attaquant un accès direct comme le ferait un mot de passe. Comme dans l'exemple précédent, d'autres informations sensibles peuvent également être précieuses pour l'attaquant.

Conclusion

Le surf sur l'épaule est une classe d'attaques d'ingénierie sociale. Cela implique qu'un attaquant glane des informations en regardant les actions ou l'écran de la victime. Le surf sur épaule couvre principalement les tentatives d'identification de mots de passe ou de codes PIN. Elle couvre également les tentatives de voir des informations privées sur des écrans, telles que des secrets d'entreprise ou gouvernementaux ou des informations compromettantes. Le surf sur l'épaule est essentiellement l'équivalent visuel de l'écoute clandestine ou de l'écoute de conversations que vous n'étiez pas censé pouvoir entendre.