La meilleure arme du pirate informatique contre votre société : le social engineering
Lorsque l'on parle de piratage informatique, on s'imagine qu'il faut des compétences en informatique très pointues et des lignes de codes interminables. Détrompez-vous, la plupart des pirates exploiteront d'abord la faille humaine !
Je m'abonneL'attaque par ingénierie sociale (ou social engineering) peut en effet être utilisée par tout le monde sans connaissance spécifique. Elle consiste à obtenir des informations par un moyen déloyal, notamment la psychologie sociale appliquée à l'informatique. Elle regroupe un ensemble de pratiques visant à exploiter les faiblesses sociales, psychologiques ou organisationnelles. En se servant de vos émotions et en abusant de votre confiance, de votre crédulité ou de votre gentillesse, une personne mal intentionnée peut réussir à vous dérober des informations confidentielles (mots de passe, données sensibles, etc.) pour les utiliser à votre encontre.
Le manipulateur adore les adresses e-mail, il cherche à identifier vos centres d'intérêt, vos loisirs, vos habitudes, vos amis, etc. Il cherche à créer une carte d'identité fictive et plus il aura de contenu pour la dessiner, plus il lui sera facile de vous manipuler.
Il va chercher à exercer une pression psychologique en invoquant la plupart du temps l'urgence et la confidentialité pour obtenir rapidement les informations espérées afin d'usurper votre identité, des faux ordres de virement ou toute arnaque qui pourraient lui permettre d'obtenir des informations confidentielles. Il peut vous attaquer par téléphone, courrier électronique, via des réseaux sociaux ou en face à face.
Concrètement comment procèdent-ils ?
Les scénarios d'attaque sont nombreux. Parmi les plus simples, vous retrouverez des méthodes reprises de nombreuses fois au cinéma : fouiller les poubelles de la cible (dumpster), entrer dans les locaux à accès contrôlé en suivant une personne autorisée (piggy backing / tail getting), récupérer des données par une personne travaillant en interne (evil maid), récolter des informations confidentielles en regardant par-dessus l'épaule d'un utilisateur légitime (shoulder surfing).
Il existe aussi d'autres méthodes plus vicieuses qui exigent l'élaboration d'un stratagème très précis comme le l'hameçonnage (phishing). Cette technique consiste à créer des e-mails réalistes avec le logo d'une entreprise reconnue et réclamer des informations personnelles. Elle vise à vous dérober vos identifiants de connexion, mots de passe ou numéros de cartes bancaires. C'est une forme de spam conçu pour décourager les contrôles de sécurité et encourager le clic de liens non sécurisés, l'ouverture de documents ou le téléchargement de fichiers qui installent des malwares sur vos appareils.
La technique du faux-semblant (pretexting) est également très répandue. Dans ce cas, le fraudeur se fait passer pour un individu investi d'une autorité ou d'un droit (banquier, police, etc.) et va chercher à instaurer une réelle confiance entre vous et lui pour que vous lui donniez les informations qu'il espère.
Nous pouvons aussi citer le scareware, une forme de logiciel malveillant qui cherchera à vous tromper en vous faisant croire que votre ordinateur est infecté par un virus ou que vous avez téléchargé par mégarde un contenu illicite. L'attaquant vous proposera ensuite une solution pour corriger le problème, mais, en réalité, vous serez amené à télécharger et à installer un logiciel malveillant.
Quelques solutions pour empêcher ces tentatives de social engineering ?
Force est de constater malheureusement qu'il est difficile de contrer ce type d'attaque de manière systématique et que la meilleure arme contre ce type de piratage reste votre vigilance.
- La première chose à faire et que nous conseillons est de laisser le moins de traces possible sur Internet : n'enregistrez jamais vos mots de passe sur vos appareils et ne mélangez pas votre messagerie personnelle et professionnelle.
- Adoptez une utilisation responsable d'Internet au travail pour ne pas mettre en péril la sécurité de l'entreprise. Vous pouvez notamment établir une politique Bring Your Own Device (BYOD) ;
- Changez régulièrement vos mots de passe et n'utilisez surtout pas de mots de passe trop simples comme 123456 ou azerty ;
- Utilisez une solution de sécurité contre les virus et autres attaques et maintenez-là à jour régulièrement ;
- Evitez les réseaux wi-fi publics ou inconnus qui permettraient aux autres utilisateurs de visiter votre ordinateur;
- En cas d'impératif de connexion à un de ces réseaux, utilisez un Virtual Private Network (VPN) efficace ;
- Méfiez-vous des offres spéciales glissées dans des mails frauduleux.... Rien n'est jamais gratuit !
Enfin, gardez toujours en mémoire que des dizaines de nouvelles failles sont découvertes chaque jour et qu'un système de sécurité requiert une attention permanente. Il est indispensable de se former régulièrement pour être tenu informé des nouveaux risques à éviter et des bonnes pratiques. Vous devez définir une politique de sécurité en vous aidant de la famille des normes ISO 27000 pour assurer la sécurité de vos informations et, dans la mesure du possible, vous faire accompagner par des professionnels.
Pour en savoir plus
Hadrien Gravet est co-fondateur de l'agence de cybersécurité DND Agency.
Chef de projet en sécurité IT et DPO, Hadrien accompagne les entreprises en pleine actualisation de leurs processus numériques. Il intervient dans la mise à l'épreuve des SI existants, dans leur amélioration, leur mise à jour et le maintien de leur sécurité au meilleur niveau.