{ CV } Quand le curriculum vitae met en péril votre entreprise
Ciao l'ami !
Aujourd'hui je souhaite te parler d'un sujet assez banal, un petit quelque chose qui fait partie de notre quotidien sur lequel nous devrions nous attarder davantage : Notre CV
En effet, dans le domaine de l'IT, les administrateurs systèmes, les développeurs, les designers, ... etc ... changent d'entreprise en moyenne tous les 3/4 ans , c'est alors l'occasion de prendre le temps de dépoussiérer et actualiser son CV.
CV, réseau social professionnel et histoire de l'entreprise
Comme souvent c'est l'agrégation de données qui permet de déterminer la richesse d'une information.
Un CV seul révélera un certain nombre d'informations, mais imaginez à présent que vous avez la visibilité sur toutes les personnes ayant travaillés dans une entreprise.
Par déduction, en observant les dates et les intitulés de postes vous pourrez déterminer rapidement (ou faire des suppositions) les vagues de départ, d'embauche, ou les personnes ayant remplacées telle ou telle autre personne.
Ainsi, une personne malintentionnée, même avec très peu de compétences techniques, sera en mesure d'exploiter ces informations pour créer des mails de phishing ciblés et personnalisés
Bonjour Caroline,
Je suis Bertrand de la société Toutébidon.
Nickel nous a sollicité par le biais de Maxime afin de réaliser un PoC de notre solution d’envoi de SMS.
Il semblerait que Maxime B........ ait récemment quitté votre entreprise.
Aussi, il me manquait certains documents techniques.
Vous serait-il possible de me communiquer … etc …
L'exemple de mail ci-dessus s'appuie sur le CV de Caroline et de Maxime B. qui ont travaillé et / ou travaille pour la même société au même poste.
Après une rapide analyse, notre acteur malveillant s'est aperçu que Maxime B. ne travaillait plus depuis peu de temps dans l'entreprise.
Autant d'informations qui lui permettent de crédibiliser un email à des fins de vols de données.
Partons pour une campagne de phishing
En listant les profils affiliés à une entreprise, nous obtenons, des noms, des prénoms et des postes occupés.
Avec un peu d'imagination nous pouvons déduire que l'entreprise "Entreprise" utilisera certainement son nom de domaine principal "Entreprise.fr" et s'appuiera sur des combinaisons standards pour créer les emails de ses collaborateurs.
- h.dupont @ entreprise .fr
- hdupont @ entreprise .fr
- henri.dupont @ entreprise .fr
- henridupont @ entreprise .fr
- henri @ entreprise .fr
Les campagnes de phishing ne ciblent pas précisément une personne.
Le but étant de toucher le plus grand nombre de personne afin de récupérer un minimum de résultat.
En effet, une seule personne peut suffire à faire basculer toute une entreprise.
Tout d'abord le mail envoyé contiendra potentiellement un tracker, permettant d'identifier quel collaborateur a cliqué.
Ensuite, le collaborateur qui cliquera transmettra implicitement des informations (IP personnelle, Proxy, Configuration du poste de travail (user Agent), …)
L'acteur malveillant après avoir identifié le ou les employés "crédules" pourra mettre en œuvre une attaque beaucoup plus ciblé pour diffuser un malware, un ransomware ou bien pour exfiltrer de l'information.
Ce que dit mon CV sur les technologies de mon entreprise.
Nous avons tous le vilain défaut de vouloir en dire beaucoup sur notre CV.
L'idée principale étant de mettre un maximum d'arguments pour dire aux recruteurs que vous êtes le meilleur des meilleurs, la crème de la crème !
Alors vous allez certainement mettre des tartines d'informations et ne pas lésiner sur le détails.
Mauvaise idées !!!!
Trouver des applications vulnérables
Admettons qu'un pirate soit très à l'aise sur un type de vulnérabilité, ou bien plus basiquement qu'une grosse vulnérabilité vient de sortir dans l'actualité !
Comment s'y prendrait-il pour trouver rapidement des victimes ?
Encore une fois, votre CV en dit long sur vous, sur votre entreprise, et ce que vous y avez fait.
Une simple recherche sur Google pourra me renvoyer des noms d'entreprise susceptible d'être concerné par la technologie vulnérable que je cherche à exploiter !
Identifier des produits qui ne sont pas encore officiel
Dans le principe de mondialisation, la concurrence est rude, et les bonnes idées sont rares et valent cher !
Malgré toutes les actions mises en œuvre pour éviter de faire fuiter une innovation en cours de développement, vous n'êtes pas à l'abri de divulguer dans votre CV une information qui sera activement exploitée par la concurrence, ou par des pirates cherchant à élargir le périmètre de leurs recherches sur votre entreprise ...
Découvrir des secrets d'entreprise
Sans vouloir parler de la part d'ombre de certaines entreprises avec des projets TOP SECRET, il n'est pas interdit de penser que chaque entreprise a des sujets extrêmement sensibles qui n'ont pas vocation à être exposés au grand public.
Là encore vous avez entre vos mains une information qui pourrait s'avérer vitale pour votre entreprise, qu'il ne faudra probablement pas mettre par écrit dans votre CV.
Conclusion & Recommandation(s)
Il s'agit de recommandations que je vous donne à titre personnel.
En rien je ne vous oblige à les mettre en application.
Nom et Prénom
Utilisez sur votre CV un autre nom et un prénom.
Après vos premiers contacts avec le recruteur vous pourrez alors lui exposer ce qui vous a amené à faire ce choix. Cela vous fera très certainement gagner des points en démontrant que vous vous souciez de la sécurité de votre entreprise.
De plus, les personnes malveillantes ne pourront pas se faire passer pour vous en utilisant cette personne fictive pour des mails de phishing ciblés, ou pour créer des campagnes de phishing.
Technologies utilisées
Dissociez les technos sur lesquels vous avez travaillé, de vos expériences en entreprise ou en parcours scolaire.
Un simple bloc à part dans votre CV, où vous pourrez lister les logiciels et technos que vous avez manipulés.
Un recruteur recherche avant tout une technologique pour répondre à un besoin, il n'a pas nécessairement besoin à la lecture de votre cv, de savoir si cette technologie a été étudiée à l'école ou dans telle entreprise.
Projets professionnels
Sachez différencier des sujets secrets (que vous pourriez éventuellement aborder avec prudence oralement), de sujets que vous allez inscrire sur un CV. Soyez synthétique, il n'est pas nécessaire de donner le nom d'un CMS, ou d'un FRAMEWORK, ou le nom exact d'un logiciel (que vous pourriez résumer en sa fonction : Outils de Versioning ? IDE ? Solution de containerisation ?, ...)
Il est possible d'aller encore plus loin, mais il s'agit vraiment d'un premier barrage.
Après tous ces conseils, vous êtes fin prêt pour refaire votre CV en toute sécurité ;)
RGPD
Bien entendu, chaque contexte est différent, certains métiers et ou employeurs nécessitent que vous fournissiez des CV détaillés.
Il faudra donc le faire en bonne intelligence :
Et savoir différencier un CV en ligne d'un CV transmis directement au service RH au sein d'une entreprise ou d'une organisation sérieuse.
N'oubliez pas non plus, que vous disposez de droits quant à l'utilisation de vos données personnelles. Vous avez le droit, et je vous recommande vivement de l'utiliser, de réclamer la suppression de vos données personnelles en cas d'entretien d'embauche infructueux !
Cela évite de vous retrouver au milieu de fuite de données sans comprendre pourquoi ^^