L’ingénierie sociale consiste à contourner les règles de sécurité en exploitant des cibles humaines. Le but est d'accéder à des données ou à des informations en utilisant les pulsions humaines pour contourner les systèmes de sécurité. Voici quelques exemples d’attaque par social ingénierie et comment s’en prémunir.
Contrairement une croyance largement partagée : le piratage informatique ne consiste pas seulement à trouver des failles dans les logiciels qui permettent à l’attaquant d’accéder à des informations sensibles. Les vulnérabilités dans le comportement, les habitudes et la psychologie humaines peuvent être autant de failles dommageables pour la sécurité d’une organisation. « L’ingénierie sociale est en phase de devenir l’une des méthodes les plus utilisées par les cybercriminels pour commettre des crimes », estime NordVPN dans une récente publication.
L’ingénierie sociale repose sur la tromperie et la persuasion pour contourner les mesures de sécurité technologiques. Elle s’adresse directement à la psychologie de la victime afin de le mettre en confiance et l’amener à utiliser des vecteurs d’infection ou d’intrusion. Parmi ces techniques, la plus répandue est l’hameçonnage. Il s’agit pour l’attaquant d’envoyer un e-mail invitant la personne visée à cliquer sur un lien qui le mènera vers un site ou un document infecté.
Le défi dans ce genre d’attaques est d’élaborer un mail qui soit le plus convaincant possible pour amener l’utilisateur à cliquer sur le lien ou le document joint. L’exemple le plus connu est celui du mail vous invitant à mettre à jour votre carte vitale (attaque de 2018 en France), ou à entrer vos coordonnées bancaires… Malgré les mises en garde cette forme d’attaque reste très répandue, car peu onéreuse et pouvant être menée à grande échelle.
L’« appâtage » ou le cadeau tombé du ciel
C’est l’une des techniques qui nécessitent le moins d’interaction humaine. Il s’agit de proposer, ou mieux d’offrir tout ce qui peut être un vecteur de contamination. Ce peut être sous forme numérique comme des logiciels gratuits, des films ou de la musique ou un objet, le plus souvent une clé USB.
Pendant une certaine période, l’une des attaques pas « appâtage » les plus populaires consistaient simplement à offrir ou à laisser traîner une clé USB infectée. Dans un contexte professionnel, la clé une fois branchée peut infecter tout le réseau de l’entreprise et causer de gros dégâts.
Le pretexting ou comment endormir la méfiance
Cette technique peut prendre plusieurs formes. Il s’agit pour les attaquants de susciter un climat de confiance en se faisant passer pour un interlocuteur de confiance. Cette méthode est généralement utilisée dans les attaques ciblées, car elle nécessite de faire des recherches poussées pour mieux connaitre la victime. Ainsi, l’attaquant peut inventer des histoires crédibles qui s’insèrent dans un contexte spécifique et connu de la victime.
En voici un exemple : lors d’une préparation d’attaque, le cybermalfaiteur découvre que sa victime, un riche homme d’affaires, est un généreux donateur à une fondation de bienfaisance. Quelques jours plus tard, le généreux donateur reçoit une superbe souris d’ordinateur de la part de sa fondation préférée, en remerciement de sa générosité. Bien entendu, la souris était piégée. Une attaque rondement menée, peu onéreuse et sans avoir besoin de téléphoner ou d’inventer des histoires abracadabrantes.
Comment se prémunir ?
Face aux attaques par ingénierie sociale, l’être humain est le maillon faible et les cybermalfaiteurs l’ont bien compris. Le meilleur antidote est la sensibilisation et la formation des utilisateurs. Il ne s’agit pas de créer un climat de paranoïa, mais d’apprendre aux utilisateurs à détecter les anomalies qui pourraient révéler une tentative d’ingénierie sociale.
Un utilisateur bien entraîné appliquera des procédures de vérification instinctivement. Et avec la pratique, il pourra rapidement repérer les anomalies, et les petits indices qui le mettront en alerte. Voici quelques recommandations dont certaines peuvent sembler évidentes, mais en matière de sécurité rien n’est évident :
- Ne pas cliquer et télécharger à tort et à travers est le premier précepte à intégrer,
- Vérifier la provenance des messages. L’adresse de l’envoyeur est un indice généralement fiable de la provenance d’un e-mail d’hameçonnage,
- Vérifier les e-mails en provenance de personnes connues, collègues, amis ou famille. Le vol d’identité permet aux cybermalfaiteurs de se faire passer pour des personnes de confiance,
- N’accepter aucun cadeau physique ou numérique à moins d’être sûre de sa provenance,
- Ne pas répondre à des demandes d’information. Certaines propositions peuvent aussi être des pièges comme des propositions d’aide ou des demandes d’aide,
- Verrouiller systématiquement ses ordinateurs, mobiles et périphériques,
- Avoir conscience des informations que vous disséminez sur vous et sur votre entreprise…
Sources : diverses