Ingénierie sociale : de quoi s’agit-il exactement ?

Une attaque d’ingénierie sociale décrit les interactions où l’une des parties essaie d’extorquer des informations ou de l’argent chez l’autre. Nombreuses sont les techniques que les malfaiteurs utilisent pour manipuler leur victime. Il existe toutefois des mesures préventives pour s’en prémunir.

En 2007, les frères Mishali ont réussi un gros coup en volant 28 millions de dollars à la banque ABM AMRO en Belgique. Ils n’ont pas eu besoin d’utiliser des techniques sophistiquées pour cela. Leur seule arme était de gagner la confiance du personnel pendant une année entière en leur apportant du chocolat. Cette confiance leur a permis de voler 120 000 carats de pierres précieuses en un seul coup. Aujourd’hui encore, une telle technique est à l’origine de plusieurs vols et arnaques partout dans le monde. C’est ce qu’on appelle ingénierie sociale. Dans ce dossier, on va découvrir en quoi cela consiste exactement, comment elle fonctionne et comment faire pour la prévenir.

Définition de l’ingénierie sociale

L’ingénierie sociale est une sorte de ruse dont la finalité est généralement malveillante. Elle implique d’interagir avec une ou plusieurs personnes afin de les manipuler. Cette manipulation va ensuite les conduire à enfreindre les procédures de sécurité normales et accéder de manière irrégulière à un système ou à un réseau. Dans cette technique, les gains sont souvent financiers, mais la technique vise parfois à obtenir d’autres résultats dont la divulgation d’informations sensibles.

L’ingénierie sociale est particulièrement dangereuse puisqu’elle profite de l’erreur humaine. En effet, l’inclination naturelle est plus facile à exploiter. Celle-ci permet d’accéder facilement aux informations confidentielles de la victime sans recourir à la force.

Par exemple, à moins que le mot de passe ne soit très faible, les criminels préfèrent obtenir le code ou le mot de passe plutôt que de le pirater. En plus, on sait que la plupart des utilisateurs optent pour les gestionnaires de mot de passe.

Son fonctionnement

Les techniques d’ingénierie sociale comprennent plusieurs étapes, à commencer par l’identification de la cible. Une fois la cible identifiée, les criminels cherchent toutes les informations la concernant, c’est la phase de reconnaissance. En majorité, les criminels ciblent les entreprises. Ainsi, les recherches sont axées sur les renseignements/opérations internes, sur les partenaires commerciaux, la structure organisationnelle.

Les criminels se focalisent surtout sur les comportements des employés de bas niveau de l’entreprise à l’instar des agents de sécurité et du réceptionniste. L’étude peut alors porter sur leurs informations personnelles et même sur leur profil sur les médias sociaux. Ce qui permet aux malfaiteurs d’analyser leur comportement aussi bien en ligne que dans la vie réelle.

Ces diverses informations vont servir à l’ingénieur social pendant la conception de son attaque. Il va se baser sur les faiblesses du maillon faible de la cible, c’est-à-dire les informations collectées. Dans le cas où la cible est une personne particulière, l’attaque s’effectue après avoir accédé à ses informations sensibles : numéro de sécurité sociale, informations sur ses comptes bancaires, etc.

Les différentes techniques d’ingénierie sociale

On ne peut pas dénombrer les cas d’ingénierie sociale. On en rencontre partout du moment où il y a une interaction humaine. Il existe cependant quelques formes plus courantes d’attaques qui prennent de l’ampleur avec le développement numérique et l’intelligence artificielle :

Le hameçonnage, la technique d’ingénierie sociale la plus populaire

Le hameçonnage est la technique d’ingénierie sociale la plus répandue. Il se manifeste par des e-mails ou des SMS qui incitent la victime à agir en urgence ou par curiosité. Le hameçonnage vise à obtenir des informations sensibles ou à introduire par erreur des malwares via des liens ou pièces jointes.

Par exemple, on vient de recevoir un e-mail ordonnant une modification immédiate de votre mot de passe suite à des tentatives de violation de votre compte. Le courriel contient un lien vers un site Web illégal qui s’apparente à sa version légale. Du coup, on envoie des informations d’identification à l’attaquant sans s’en rendre compte.

Le spear phishing

Le spear phishing est une forme de hameçonnage, mais la cible est bien choisie. Les criminels visent une personne ou une entreprise particulière. Ce qui implique un effort plus considérable de la part de l’attaquant. Sa préparation peut prendre des semaines, voire des mois. De la sorte, le spear phishing est plus difficile à détecter.

La méthode est la même que pour le hameçonnage. Le malfaiteur usurpe l’identité d’une personne que la cible connaît et l’envoie un e-mail d’alerte incitant à la modification du mot de passe. L’e-mail contient un lien vers un site Web qui n’est autre qu’un site malveillant par lequel il redirige la victime. L’attaquant accède facilement aux informations confidentielles grâce à ce lien malveillant.

L’ingénierie sociale par appâtage (phishing)

Dans ce cas, les criminels utilisent des appâts pour piéger les victimes. En touchant l’appât, la victime disperse des malwares dans ses appareils et ses comptes. Il se peut également que les criminels leur piquent des informations sensibles et les utilisent pour pouvoir extorquer de l’argent.

L’utilisation de supports physiques est la forme la plus populaire d’appâtage. On tombe par hasard sur une clé USB sur le chemin du retour ou dans le parking et on le ramasse sans souci. Là, on est loin de savoir qu’on est dans le collimateur d’un cyberattaquant. Le fait est que lorsqu’on branche la clé USB sur les appareils, on y répand des logiciels malveillants.

Il y a aussi ce qu’on appelle appâtage en ligne. Celle-ci consiste à envoyer des publicités attrayantes qui nous conduisent vers des sites du Dark Web.

Le scareware

Le scareware est une technique d’ingénierie sociale qui consiste à envoyer des tonnes de menaces et d’alertes fictives aux victimes. Ces derniers vont alors penser que des logiciels malveillants ont infecté leurs appareils et vont installer un nouveau logiciel.

Ce nouveau logiciel pourrait être un scareware, aussi appelé logiciel de tromperie, de scanner non fiable ou logiciel frauduleux. Parfois, les victimes reçoivent des courriels indésirables contenant des faux avertissements ou qui proposent l’achat de services qui n’ont pas vraiment d’utilité.

Le faux-semblant, un classique de l’ingénierie sociale

Dans un faux-semblant, l’escroc et la victime sont en étroite interaction. Le malfaiteur usurpe l’identité d’une personne qui connaît la victime (collègue, banquier, etc.) ou une personne du secteur public (policier ou agent de l’administration fiscale, etc.).

L’ingénieur social essaie d’établir un climat de confiance avec sa victime et, au fil du temps, pose des questions conduisant à la confirmation de son identité. Les réponses obtenues vont lui servir à collecter des informations confidentielles. L’escroc peut obtenir un tas d’informations sensibles telles que le numéro de sécurité sociale, les enregistrements téléphoniques et les dossiers bancaires.

Quelques exemples d’attaques d’ingénierie sociale

Outre le coup des frères Mishali, on dénombre d’autres cas d’ingénierie sociale qui sont de plus en plus fréquents, notamment avec le développement de l’intelligence artificielle. En voici quelques exemples :

L’attaque d’ingénierie sociale de Frank Abagnale

Frank Abagnale est l’une des célébrités de l’ingénierie sociale. Il a connu son heure de gloire grâce à son ouvrage intitulé Catch Me If You Can qui a été adapté plus tard dans le cinéma par Steven Spielberg. En effet, dans les années 60, Abagnale a réussi à usurper l’identité de plusieurs personnes dont un médecin et un pilote de ligne. Il a également falsifié des chèques pendant ces aventures d’usurpation.

La violation de sécurité de la RSA

L’exemple suivant est un e-mail de phishing qui a provoqué une fuite de données de la société de sécurité RSA en 2011. En seulement deux jours, le cyberattaquant a envoyé deux emails différents contenant un malware qui endommagerait la sécurité de la société. Aucun document ou affirmation n’a confirmé la nature et le volume des données volées. Toutefois, cela a coûté 66 millions de dollars à l’entreprise pour réparer les dégâts.

Le phishing de l’armée électronique syrienne

Le dernier exemple d’attaque d’ingénierie sociale s’est passé en 2013. A l’époque, l’armée électronique syrienne s’est introduite dans le compte Twitter de l’Associated Press (AP) par le biais d’un e-mail de phishing. L’armée syrienne s’est fait passer pour un journaliste et a tweeté une fausse information racontant deux explosions à la Maison Blanche qui ont blessé le Président Obama. Cette fausse information a tout de suite entraîné une chute de 150 points pour le Dow Jones Industrial Average en moins de cinq minutes.

Comment prévenir l’ingénierie sociale ?

Voici des conseils pratiques permettant d’éviter les attaques d’ingénierie sociale :

  • Mettre à jour continuellement les logiciels antivirus et antimalwares :

Pour bénéficier des mises à jour, il faut activer la mise à jour automatique des logiciels et du système pour tous les appareils. Par ailleurs, il est important de vérifier leur application effective et effectuer une analyse du système pour détecter d’éventuels problèmes.

  • Vérifier les sources avant d’ouvrir les e-mails :

Parfois, des courriels venant d’expéditeurs inconnus atterrissent dans la boîte de réception. Il est plus prudent de ne pas ouvrir ces courriels de peur qu’ils contiennent des malwares. Par contre, si on connaît l’expéditeur et que l’e-mail contient un lien, il convient de l’appeler pour confirmer la véracité du lien.

  • Ne pas se laisser emporter par les différentes offres attrayantes :

Quand on tombe sur des offres alléchantes, c’est peut-être trop beau pour être vrai. Il vaut mieux réfléchir à deux fois avant de l’accepter. On peut toujours vérifier sur le site officiel si l’offre est réelle.

  • Opter pour l’authentification multifacteur :

L’authentification multifacteur est une méthode efficace pour éviter l’ingénierie sociale. Elle assure la protection du compte lorsque le système est endommagé. 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Pin It on Pinterest