Le Social Engineering
Le « Social engineering » (ou ingénierie sociale en français) est un terme bien complexe pour une pratique pourtant très courante chez les hackers. Ici on ne parlera pas de techniques informatiques, mais bien de psychologie. On peut d’ailleurs parfois appeler cette pratique le « piratage psychologique ». La faille exploitée est donc le facteur le plus faible de la sécurité informatique : l’humain.
Sommaire
ToggleObjectifs du Social Engineering
Avec cette pratique, le pirate cherche à avoir des informations. Comme dans tous les domaines, plus nous avons d’informations, plus on saura se préparer et être efficaces.
Pour les hackers c’est pareil, chaque information a son importance pour attaquer sa cible, que ce soit de simples informations sur le personnel d’une entreprise, ou bien avoir des informations plus complètes sur la structure informatique.
Quelques chiffres
- 98 % des attaques informatiques se basent sur le social engineering
- 43 % des professionnels de l’informatiques disent avoir été la cible de ces attaques en 2019
- 21 % des employés actuels ou des anciens employés d’une entreprise utilisent le social engineering pour se venger, pour gagner un peu plus d’argent, par curiosité ou pour s’amuser.
- 48 % des entreprises disent que chaque attaque liée au Social Engineering leur coûte plus de 25 000€
Les provenances sont multiples, mais les principales sont:
- 56 % des attaques viennent d’une attaque extérieure
- 34 % sont dues à une perte des identifiants ou de données, récupérés par une autre personne
- 7 % des attaques viennent directement de l’intérieur de l’entreprise
Scénarios Social Engineering
Nous allons présenter ici 2 scénarios possibles utilisant le Social Engineering:
-
- Vous êtes un employé de bureau tout à fait normal, apprécié de ses équipes et aimant tout particulièrement votre fils né en mars 2015. Vous avez donc choisi d’avoir le nom et la date de naissance de votre fils comme mot de passe pour votre boîte mail professionnelle. Vous recevez un jour un mail vous demandant de renouveler vos informations administratives pour une assurance et y inscrivez toutes vos informations et celles de votre famille sans y prêter plus d’attention sans vous rendre compte que des informations sur votre mot de passe sont dans ce document. Malheureusement pour vous le hacker qui vous a envoyé ce faux mail a compris que vous aimez votre fils et trouve votre de mot passe grâce à ces informations, accède à votre boîte mail et utilise la confiance que vous porte votre équipe pour envoyer des virus et bloquer l’entreprise.
Ici, on notera la nécessité d’avoir un mot de passe qui n’est pas lié à des informations personnelles, car on pourrait le deviner, ainsi que l’importance de faire attention à ce que l’on reçoit et aux informations que l’on envoie.
-
- Second scénario. Vous vous occupez de l’accueil de votre entreprise et un homme, très bien habillé, vient vous voir car il a rendez-vous avec le service informatique pour un audit à 10 h ce matin. Eh bien parfait, le rendez-vous est déjà prévu depuis une semaine. Malgré la confiance et le charisme de votre interlocuteur, vous avez quand même un petit doute sur cette personne et lui demandez pourquoi c’est lui qui vient et non la personne habituelle. « Elle est malade, je viens donc la remplacer ». Le doute subsistant, vous appelez tout de même l’entreprise à laquelle il appartient pour demander confirmation sur cette maladie et ce remplacement. C’est bien le cas, votre correspondant habituel et malade et remplacé, mais aucun rendez-vous n’a été pris pour vous aujourd’hui. Il s’agit donc d’une personne venant voler des informations et vous avez empêché cela.
Malgré un charisme et une confiance absolue de l’interlocuteur, demandez toujours des confirmations auprès des personnes compétentes. En général le hacker sera très bien renseigné, au point de connaître les vacances et maladies de ceux pour qui il se fait passer pour crédibiliser son discours. Gardez donc toujours un doute.
Méthodes d’attaque
Comme nous avons pu le voir au-dessus, on ne se limite pas qu’aux ordinateurs pour ces attaques. Le hacker pourra passer par des mails, par des appels ou même venir vous voir en personne. Pour des attaques plus ciblées et importantes il va généralement combiner tout cela. Par exemple vous appelez pour prendre rendez-vous, envoyer un mail pour une confirmation écrite puis venir vous voir directement. Souvent il se fera passer pour quelqu’un d’autre, faites donc bien attention à confirmer son identité. De plus il aura étudié le terrain à l’avance et saura se montrer persuasif, ne vous faites pas avoir par son charisme!
Vous avez peut être déjà entendu le terme « Phishing » (hameçonnage en français)? Eh bien c’est une des techniques les plus courantes et vous en avez sûrement déjà été victime. Il s’agit de créer un mail ou un sms identique à ce que vous pourriez recevoir en temps normal, avec un nom d’expéditeur, une signature et un texte ressemblant en tous points à un message normal. La vidéo de Cisco suivante est un exemple parfait, où seulement une lettre de l’expéditeur est changée pour une autre y ressemblant fortement: https://www.youtube.com/watch?v=j0EZpH_eIsY
Comment contrer le social engineering?
Concrètement, il n’y a pas de recette miracle pour contrer cette pratique. Il faut seulement être vigilant, bien vérifier les informations que l’on reçoit (leur provenance, le contenu) ou bien l’identité des personnes se présentant à vous.
Dans une entreprise il peut être intéressant de former le personnel à cette problématique. Les personnes non formées, plus faibles ou recrutées récemment sous plus souvent la cible de ces attaques.
Dans le cas du phishing, les détails comptent. Une lettre de l’adresse mail a changée ? On vous demande des informations qu’on ne vous demanderait pas habituellement ? On vous renvoie vers un site douteux ? Supprimez le mail et demandez confirmation auprès des autres si cela ne ressemble pas à une arnaque.
Attention à la paranoïa !
Malgré tout ce qui est expliqué au-dessus, il ne faut pas non plus tomber dans une paranoïa totale. Bien qu’il faille faire attention, cela ne doit pas non plus vous empêcher de vivre, de faire votre travail, doubler le temps nécessaire pour chaque tâche ou ébranler la confiance entre chacun de vos collègues.
Et c’est là toute la difficulté. Il faut pouvoir trouver un juste milieu. Cela nécessite de l’expérience et de la connaissance dans le sujet. Nous insisterons donc une nouvelle fois sur l’idée de former le personnel. Un professionnel saura aider chacun à faire suffisamment attention en fonction de son rôle dans une entreprise sans en faire trop.