Speaker #0Hey, comment tu vas mon coma breaker préféré ? Ces derniers temps, je prends souvent le train pour aller à Paris et cela m'a rappelé un truc. Le train est probablement l'endroit où les gens deviennent le plus transparent. Et non, je ne vais pas te parler de wifi dans les trains, pourtant la vidéo sur les wifi dans les aéroports est un vrai banger. Bienvenue dans Compliance Without Coma, le podcast qui parle de cybersécurité, de gouvernance et de conformité, 10h27 mieux aussi, mais sans te plonger dans le coma, même pendant une grève de la SNCF. Je suis Fabrice Depape et aujourd'hui je vais te parler des pickpockets numériques. N'oublie pas de liker, partager et mettre 5 étoiles, pour que d'autres puissent aussi découvrir ce podcast. N'hésite pas à en discuter de cela avec un collègue CISO ou RSSI ou un CELS qui prend le train en première classe. Oui, car la première classe a cette tendance à croire qu'ils sont immunisés et que les autres personnes en première n'écoutent pas leurs conversations. Ben tiens. On te parle toujours de faire attention dans les transports en commun à ton portefeuille. Mais est-ce que ton ciseau te dit de faire attention à ce que tu dis dans les lieux publics ? C'est exactement comme les pickpockets dans les transports en commun pourtant. Tout le monde sait qu'ils existent jusqu'au jour où cela lui arrive. Et même lorsqu'un proche se fait voler, on se dit souvent « Oui, mais moi je ferai attention. » L'ego. Encore lui. En réalité, le pickpocket n'a pas besoin que tu sois imprudent. Il lui suffit que tu sois humain. Et en cybersécurité, c'est pareil. Le pickpocket numérique n'a souvent qu'à écouter, observer ou recouper quelques informations publiques. L'OSINT, pour Open Source Intelligence, c'est partout. Et la plupart des gens ne s'en rendent simplement pas encore compte. Et en plus, attention spoiler, l'auditeur ne peut pas te mettre de non-conformité là-dessus. Il ne sait pas évaluer ton écart. Tranquille, quoi. Pourquoi changerais-je, alors ? Note qu'un détective pourrait. Mais le RGPD a aussi fortement réduit leur champ d'action. Et pour que tu aies un détective qui te colle à tes baskets, il y aura déjà des fortes suspicions à ton égard. Donc, oublions le détective pour le coup. Tu ne crains rien. Te voilà rassuré. Mais... Nous sommes entre adultes. Et je considère qu'on ne doit pas être traités comme des enfants. Mais que cela ne m'empêche pas... T'éduquer, cher comme un breaker, pour que tu puisses à ton tour éduquer les membres de ton organisation. Donc oui, les pickpockets, tout le monde sait qu'ils existent. Merci Fabrice pour ça. Pourtant, portefeuille dans la poche arrière, sac ouvert, pourquoi ? Parce que le cerveau s'habitue. Et les pickpockets numériques, eux, ils ne prennent plus ton portefeuille. Ils prennent ton badge, ou le copient rapidement, ton prénom sur ton badge, ou ailleurs d'ailleurs, ton LinkedIn, ton rôle, tes habitudes, et ils construisent un puzzle. Et le problème n'est pas le CIO, le problème est son assistante, ou son assistant, son RH, les achats, le stagiaire, le sales, tout le monde qui finalement a un pouvoir sans véritablement s'en rendre compte en fait, le pouvoir des datas. Parce qu'ils parlent, parce qu'ils veulent aider, parce qu'ils sont humains, et tellement bookés qu'ils travaillent dans le train. Et un pickpocket ne te vole pas parce que tu es stupide, il te vole parce qu'il attend le bon moment. Puis, un attaquant ne pirate pas une entreprise parce qu'elle est mauvaise. Il attend simplement le bon comportement humain. Parfois par opportunité, ou pour simplement revendre tes datas. Tes datas ne l'intéressent pas, pas toujours. Mais cela vaut de l'argent sur le dark web. Ou alors t'es vraiment la cible, et là t'as vraiment pas de chance. Car tu es déjà suivi à ce moment-là. Et là tout le monde parle Firewall, EDR, IA, Zero Trust. Mais personne ne parle du gars dans le train. assis dans le même wagon, 4 places derrière toi, très discret avec ses écouteurs alors qu'il t'écoute. Alors je vais quand même te révéler quelques techniques pour contrer des spécialistes au synth dans les trains. Tu as déjà certainement entendu parler du shoulder surfing. Ben oui, le gars qui lit par-dessus ton épaule ou regarde ton écran. Pas de chance pour lui, je lis un livre, moi. Donc pas d'écran, un peu de détox ça fait du bien. Mais toi tu pourrais acheter un filtre, 50€ en moyenne. Et je ne te cite pas de marque, car elles n'ont pas encore voulu sponsoriser cet épisode. Ah, quel dommage. Lol. J'en ai pourtant testé quelques-uns, des filtres et des biens sympas. Donc ici, plus besoin, à titre perso, puisque j'évite le risque. Oui, il y a toujours plusieurs solutions de contrôler un risque. Mais il existe aussi un autre concept. Si on continue avec les autres parties du corps, il y a le e-surfing. Tu l'as ? Mais non, je déconne. Personne ne l'appelle comme ça officiellement. C'est du broken english, ça. Ça n'existe pas. Ça s'appelle plutôt du eavesdropping. Et ça, c'est une question d'examen. Mais aujourd'hui, les attaquants ne regardent plus seulement ton écran. Ils écoutent aussi ta conversation. Et le meilleur attaquant est aussi celui qui sait observer et écouter avant d'agir. Un peu comme un sniper. Il lui faut beaucoup de patience. Mais si tu lui sers toutes tes datas de ta boîte, parce que t'es en première, et ça sur un plateau d'argent, Qu'est-ce que tu veux que j'y fasse ? Note, si tu as par contre des playbooks de comment tu rattrapes une sauce ratée, ça m'intéresse toujours. Donc, évite les conversations confidentielles. Je me fiche de savoir que tu mets des croquettes dans le quatrième bac du réfrigérateur, que ton chat t'a réveillé à 3h du matin, que ton fils a réussi son bac, ou bien que ton enfant a le diabète de type 2. Quoique, pour te lancer un courrier cible, ça c'est intéressant. Oui, j'ai ton mail. Tu as donné... Tu parles toujours de toi comme Alain Delon à la troisième personne, et j'ai le nom de ta boîte et ton LinkedIn. Parle moins fort, déplace-toi, va dans un endroit plus calme, je ne sais pas moi, si tu as cette maladie, comment on appelle ça encore ? Loggeré verbal, voilà. Préfère un message écrit si possible, mais attention au shoulder surfing alors. Contre le synth dans le train, retourne ton badge. Mais déjà, pourquoi tu le montres ? Qu'est-ce qu'il fait à ta chatte à ceinture ? T'es à l'extérieur de ta société. À l'intérieur de ta boîte, ok, mais à l'extérieur. Dis pareil pour le batch corporate de ta société qui bosse dans le nucléaire, sur ton sac à dos. C'est la même. C'est la même chose. Oh mais attends, je vois que tu es geek. Tu es un linuxien. Tu aimes Pac-Man. Chiche, on fait un banger dans la conversation. Et je te parle du dernier trône. Tu vois, être transparent, c'est tout le contraire de ça en fait. Je t'écoute. Et peut-être que tu ne m'as pas remarqué. Je peux être un homme, une femme, ou un non-binaire. Ou un punk aux cheveux roses fuchsia. J'ai attiré ton attention dans ce cas-là, mais pas pour ce que tu crois. Et confiance. Fais attention aussi aux voisins sympathiques. Ils sont aussi transparents car ils peuvent te parler de manière banale pour confirmer ou infirmer certaines choses. Ou même de la pseudo-famille à côté de toi. Donc, ne donne pas la techno utilisée sur le projet qui va révolutionner l'humanité dans ta boîte. Pas besoin, car tu le mets déjà sur LinkedIn. Et si t'es dev, j'ai même vu toutes les technos utilisées chez tel ou tel client. Y'a qu'à se baisser. Sauf si le ciseau a compris et t'as expliqué ce qu'on entend par NDA autrement. Donc ne me raconte pas ta journée, ne parle pas de projet, ne donne pas les noms de clients. Avec un de même programme manager, on a des codes clients. Et du coup, on ne donne pas les noms de clients. Nous, on sait de qui on parle. Donc, ça, c'est ce que j'appelle le OSEF. On s'en fout. C'est pas très oscite. Et tu comprends pourquoi je lis des livres dans les transports ? Tu comprends ma condition ? Je parle de la condition humaine, ici. J'écoute des podcasts, aussi. C'est un bon plan, ça. Écouter des podcasts. Dis-moi ce que t'en penses. Mais tout cela me rappelle aussi cette société américaine pour laquelle j'ai bossé il y a 25 ans maintenant et qui s'appelait à l'époque Sun Microsystems avant qu'ils ne se fassent racheter par Oracle. où, dans les cours de sensibilisation, on devait fermer la porte au nez des gens qui nous suivaient dans l'escalier et qui ne portaient pas de badge Sun ou qu'on ne connaissait pas. Mais vrai de vrai, hein ? Alors, attention, on devait fermer la porte, mais avec diplomatie. Parfois, ça pouvait être conflictuel. Bon, j'aurais pu parler des protections contre le vol physique aussi, mais ton laptop, on te le vole pas pendant que t'es dans le train, s'il est sur ta tablette ou tes genoux avec toi en dessous, tu vois ? Non, non. On vole tes valises qui ne sont pas sous tes yeux et tu le découvres à l'arrivée. Et là, la personne a profité de la confusion du départ pour attendre que tu t'asseilles et est descendue à la même gare que tu viens monter. Et je ne vais pas non plus te parler de l'utilisation du wifi public, pas ici. Il y a une vidéo banger pour ça. Je te l'ai épinglé à 180 000 vues plus ou moins sur Insta, en tout cas au moment où j'enregistre cet épisode, et seulement 29 000 sur TikTok. La bizarrerie des algos. Je comprends pas toujours. Alors, conclusion, et là je vais faire court. Donc la cybersécurité commence parfois en parlant un peu moins fort dans le TGV. Dis-moi ce que tu en penses, et fais-moi part de tes anecdotes, et tout ce qui est à UR100 que tu as déjà vu ou entendu dans les transports en commun. Et je te parle pas du gars qui transporte un WC ou une Echelle dans le métro parisien. Ceux-là, c'est pas des pickpockets, ce sont des parisiens. Quoique, pour attirer l'attention, c'est fort. C'est peut-être des pickpockets. Il y a vraiment une termine. J'ai reçu pas mal de messages encore cette semaine et ces derniers jours. Vous êtes en forme ? C'est la canicule ou quoi ? J'ai eu notamment l'avis d'un ciseau sur un expert BCP qui cherche assurément à placer des mots comme MTBF à la direction et par la même occasion étendre ses jours de mission. J'ai eu des questions sur comment gérer le DLP si je connais certaines solutions, par retour d'expérience. Dis-moi, c'est quoi la nab ? Et que penses-tu du dernier actique du DAO sur PQC ? Le DAO, c'est le Department of War aux Etats-Unis, sur le post-quantum cryptographie. Et oui, rien que ça. Bon, l'article est public. Et est-ce que ma certification est bien accréditée ? Ben non, il n'y a pas de stamp, d'organisme d'accréditation sur ton papier, de certif. J'ai déjà dit, déjà. Moi, SOA ne me plaît pas. Tu peux le relire ? Il manque quoi ? J'ai une non-conformité majeure. Tu répondrais comment ? Mon client veut certifier un seul département. Est-ce que c'est une bonne idée ? Je peux exclure cette fameuse annexe SOA ? Combien de risques documenterait Fab ? Je ne suis pas de rat, mais est-ce que je dois l'être ? Oui, tu as bien entendu. Toi, tu mettrais un écart ou une observation ? Quelles preuves je peux apporter pour réduire l'écart en offi ? Je passe le LA ou le CISA ? Ou les deux ? Comment je rédige une policier ? Des Fab à ma place, tu ferais quoi ? Et parfois, on a simplement besoin d'un deuxième avis. C'est exactement pour ça que je prépare l'abonnement à Comma Breaker Solo. Et si tu préfères apprendre en groupe, échanger sur des cas réels et progresser avec d'autres professionnels, alors ce sera Coma Breakers Academy. On part sur de l'hebdomadaire. Si ça t'intéresse, tu sais maintenant où me trouver. Et si cet épisode t'a plu, n'hésite pas à le partager autour de toi, l'écouter dans ton bain comme Gaëtan. Coucou Gaëtan. C'est encore le meilleur moyen de faire grandir Compliance Without Coma et de rester éveillé. Pense également à t'abonner au podcast pour ne manquer aucun épisode. Et pour prolonger la discussion, on peut se retrouver sur YouTube, Insta, TikTok. C'est simplement Compliance Without Comma. Et là-dedans, tu as les coulisses du podcast, des shorts, des reels, des punchlines, des guests en vidéo. Et à vendredi prochain déjà pour un nouvel épisode de Compliance Without Comma. D'ici là, prends soin de toi, Comma Breaker.