Le social engineering est une technique de piratage consistant à manipuler un individu dans le but de l’inciter à télécharger un malware ou à fournir ses données.
Actuellement, les programmes antivirus modernes peuvent bloquer la majorité des malwares. Cependant, l’humain reste un maillon faible dans la chaîne de la sécurité de l’information. En effet, il n’existe pas encore de logiciel capable de prévenir la tromperie et la manipulation. C’est exactement pour cette raison que les cybercriminels se servent de l’ingénierie sociale, couramment appelée Social Engineering. Zoom sur le sujet.
Social engineering : de quoi s’agit-il exactement ?
Le social engineering ou ingénierie sociale est un procédé qui consiste à profiter de la psychologie humaine pour entrer sur les systèmes informatiques ou avoir accès aux informations confidentielles. Pour les pirates informatiques, la technique est une alternative aux méthodes de hacking.
À titre d’exemple, au lieu de trouver une faille à exploiter dans un programme, un hacker peut appeler un salarié et usurper l’identité d’un collaborateur du service informatique. De cette manière, il peut piéger la personne afin de le contraindre à donner son mot de passe.
Le mot ingénierie sociale a été rendu célèbre par Kevin Mitnick dans les années 1990. Néanmoins, cette méthode existe certainement depuis très longtemps, lors des premières escroqueries.
Ainsi, l’investissement dans des solutions de cybersécurité et la solution physique d’une organisation ne suffirent plus. Même avec une politique de cyberdéfense robuste, un hacker pourra toujours utiliser des techniques innovantes pour piéger un employé. C’est pour cette raison qu’il est important d’apprendre l’effectif aux bonnes pratiques de la sécurité de l’information.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
Comment fonctionne le social engineering ?
La notion de social engineering implique plusieurs méthodes qui ont un seul objectif commun : exploiter les vulnérabilités universelles de l’humain comme la politesse, la cupidité, le respect de l’autorité ou encore la curiosité.
Le social engineering est capable de prendre place dans l’univers réel. À titre d’exemple, un attaquant déguisé en uniforme de livreur peut s’infiltrer dans un local professionnel.
Néanmoins, la majorité des interactions sociales se déroulent actuellement en ligne. Ainsi, la plupart de ces attaques ont lieu sur internet.
Parmi les attaques les plus courantes, on peut citer le smishing et le phishing. Ces cyberattaques sont totalement créées sur l’usurpation d’identité et la tromperie, car elles ont pour objectif de persuader la cible d’installer un malware sur son appareil.
En général, l’ingénierie sociale est la première phase d’une cyberattaque d’une ampleur plus importante. Par exemple, un pirate informatique peut se servir du phishing et voler l’identité du proche de la cible pour que cette dernière télécharge le malware. Ensuite, il pourra contrôler l’appareil infecté et l’exploiter grâce à ses compétences techniques.
Qu’est-ce qui rend le social engineering aussi dangereux ?
Le social engineering est particulièrement dangereux, car les humains font des erreurs. Même si les cibles sont conscientes qu’elles doivent faire très attention aux courriels qui proposent des rabais ou encore des appels téléphoniques les obligeant à fournir leurs données fiscales sous peine d’être incarcérés immédiatement, elles peuvent être prises au dépourvu.
La réussite de l’ingénierie sociale dépend de la nature humaine : être occupé, complaisant, être trop confiant, ne pas faire attention ou tout simplement oublier les fondamentaux de la sensibilisation à la cybersécurité. D’ailleurs, c’est la raison pour laquelle une personne peut être la cible de ce type d’attaque à plusieurs reprises.
Pour un hacker, un être humain est plus facile à pirater qu’un réseau d’entreprise. Ainsi, il est important de bien former les salariés sur les techniques de la sécurité de l’information. Cela leur permet d’avoir les ressources et les outils essentiels pour maintenir leur vigilance face à cette attaque.
Que peut-on obtenir du social engineering ?
On peut obtenir de nombreuses informations indispensables à partir d’une attaque social engineering. Voici quelques exemples de données qu’un cybercriminel peut soustraire à l’aide de ce type de cyberattaque :
Des informations confidentielles
L’un des objectifs que l’on peut atteindre à partir de l’ingénierie sociale est l’accès à des données confidentielles. Les ingénieurs sociaux peuvent essayer de récupérer :
- des mots de passe ;
- des données personnelles ;
- des numéros de carte de crédit ;
- des informations sensibles pour réaliser un sabotage, un vol d’identité, des fraudes ou encore du cyberespionnage.
Pour accéder à des zones sécurisées
Le social engineering peut être utilisé pour accéder de manière physique à des zones sécurisées. Le cybercriminel peut se faire passer pour un livreur, un technicien ou pour tout autre professionnel afin d’escroquer le responsable de sécurité et accéder à des locaux fermés.
Une fois sur place, il peut poser des dispositifs d’écoute, voler des biens, réaliser d’autres actes malveillants et compromettre des systèmes informatiques.
Influencer les décisions et les actions d’autrui
Le social engineering est une attaque efficace pour inciter une personne à prendre une décision ou à réaliser une action. À titre d’exemple, l’ingénieur social peut influencer une personne à prendre une décision financière fatale. Il peut même aller jusqu’à persuader une personne à collaborer à des activités illégales et de soutenir un candidat politique. Dans certains cas, il peut également influencer des groupes de personnes pour arriver à ses fins, en exploitant des biais de groupes, des méthodes de persuasion ou encore des normes culturelles.
Les différents canaux du social engineering
On distingue plusieurs types d’attaques de social engineering. Certains d’entre eux existent depuis très longtemps. En effet, les pirates n’ont pas attendu l’évolution des technologies pour pratiquer. Voici les méthodes les plus utilisées dans le cadre des cyberattaques :
Contact direct
Les attaques par social engineering peuvent se réaliser par contact direct avec la cible. Cette dernière sera souvent plus fragile et plus confiante pendant un échange physique.
Ce type d’attaque peut être associée à des échanges à partir d’autres canaux : mail, téléphone, SMS, etc. pour rendre encore plus crédible l’identité de l’individu.
Une personne malveillante peut s’immiscer dans les locaux d’une entreprise en prétendant réaliser un entretien d’embauche ou en volant l’identité d’une nouvelle recrue.
Courrier Postal
Le courrier postal est aussi l’un des moyens utilisés par l’ingénierie sociale. Le cybercriminel envoie ainsi de faux courriers en usurpant l’identité d’une organisation ou d’un individu pour compromettre sa cible. La lettre à votre destination pourra contenir une adresse et un logo de l’entreprise usurpée.
Vous allez certainement accorder votre confiance à un courrier de votre banque avec les informations associées à l’agence et son logo.
Phishing
Il s’agit d’une pratique frauduleuse qui consiste à extorquer des données personnelles comme les données bancaires, les pièces d’identité et les mots de passe. Le hacker vole l’identité d’une organisation dont la victime utilise les services : fournisseurs, Slack, Google, etc. Cette attaque a généralement lieu à travers un courrier électronique sollicitant la cible à ouvrir une pièce jointe ou à cliquer sur un lien.
Smishing
Connu aussi sous le nom de SMS-phishing, le smishing est une variante du phishing. Au lieu d’utiliser l’email, le hacker envoie un SMS pour attaquer ses victimes. L’attaque peut être aussi utilisée pour les messageries instantanées.
Vishing
Cette attaque est aussi une variante du phishing. Le vishing ou voice-phishing est une pratique qui a pour principal objectif de réunir des informations sensibles ou réaliser des actions compromettantes par la cible à travers un appel téléphonique ou par message vocal.
À l’image du contact physique, le fait d’avoir un contact plus humain qu’un simple message texte peut établir plus de confiance avec la victime.
Des techniques pour contrer le social engineering
Pour contrer le social engineering, voici quelques conseils que vous pouvez adopter.
Éducation et sensibilisation
Il est indispensable de former et sensibiliser aux techniques d’ingénierie sociale et aux risques associés. Pour ce faire, il est possible de réaliser des ateliers, des formations ou encore des simulations.
Notez que le hacker cible principalement les plus vulnérables de l’entreprise, notamment le personnel non technique comme le personnel administratif, les secrétaires, le personnel d’entretien des locaux, les comptables, etc. Il cible aussi les derniers recrutés qui ne connaissent pas très bien le fonctionnement interne ainsi que les procédures de l’organisation.
Mettre en place des politiques de sécurité
Établissez des politiques de sécurité distinctes et strictes pour renforcer la protection des données sensibles ainsi que les systèmes informatiques. Faites en sorte que ces politiques soient respectées et mises à jour fréquemment.
Vérification de l’identité
Il est judicieux de toujours vérifier l’identité d’une personne avant de communiquer avec elle, surtout si elle demande des données sensibles. Évitez de partager des renseignements personnels ou d’entreprises sans s’assurer de l’identité de l’individu concerné.
Restez vigilant avec les pièces jointes et les liens
Lorsque vous recevez des courriels ou des messages qui contiennent des pièces jointes ou des liens, il faut rester prudent, particulièrement face à des expéditeurs inconnus. Vous devez vérifier au préalable l’e-mail de l’expéditeur et ne pas cliquer sur les liens avant d’en avoir la certitude qu’il s’agit de quelque chose de légitime.
Utilisez des mots de passe forts et une authentification à deux facteurs
Privilégiez des mots de passe complexes et uniques pour tous vos comptes. Si c’est possible, vous pouvez aussi activer l’authentification à deux facteurs.
Gérer les droits d’accès
Il est judicieux de limiter l’accès aux renseignements sensibles et aux systèmes informatiques. Pour ce faire, il suffit d’attribuer des droits d’accès selon les besoins de chaque utilisateur.
