L’objectif d’une cyberattaque est d’enfreindre la sécurité le plus rapidement et le plus économiquement possible. Pour ce faire, les pirates s’attaquent au maillon faible de la sécurité d’une entreprise : les personnes. Selon une étude de Symantec, 97 % des attaques sont dues à l’ingénierie sociale, mais savez-vous vraiment de quoi il s’agit ?
Qu’est-ce que l’ingénierie sociale ?
Pour faire simple, l’ingénierie sociale repose sur le fait qu’il est plus facile de dominer les personnes que les machines. Sur cette base, les pirates utilisent différentes techniques de manipulation psychologique afin de gagner la confiance de leurs victimes, en se faisant toujours passer pour des contacts ou des entités de confiance.
Ils utilisent principalement le courrier électronique, en raison de son utilisation massive, mais ils peuvent également essayer de mettre en œuvre cette même technique par le biais des réseaux sociaux, de la messagerie mobile ou même des appels téléphoniques.
Pour réaliser la supercherie, le cybercriminel exploite des données essentielles telles que nos goûts, notre emploi, nos habitudes… dans le but de nous amener à fournir les informations confidentielles demandées, à cliquer sur un lien ou encore à télécharger un fichier.
Principes de base de l’ingénierie sociale
L’ingénierie sociale est basée sur la théorie des 6 principes d’influence et de persuasion du Dr Robert Cialdini, auteur du livre « Influence : the psychology of persuasion » de 1993, qui consistent en :
- Réciprocité : les gens traitent les autres en fonction de la façon dont ils perçoivent qu’ils sont traités. Si quelqu’un nous fait un cadeau, nous aide ou nous offre quelque chose, nous nous sentons redevables envers cette personne et sommes plus susceptibles de lui rendre la pareille.
- Cohérence et engagement : les êtres humains ont tendance à être cohérents avec leur comportement antérieur. En d’autres termes, nous sommes plus enclins à accomplir des actions que nous avons déjà faites auparavant, même si elles sont plus ou moins fréquentes. Si nous avons donné notre sang une fois et que nous recevons une carte de donneur, nous nous sentons mieux si nous avons tendance à le faire de temps en temps, ce qui renforce l’image que nous avons de nous-mêmes.
- Approbation sociale : il s’agit d’un mécanisme psychologique par lequel nous avons tendance à être influencés par le comportement social dominant ou l’opinion publique. Par exemple, si un produit a déjà été testé par un grand nombre de personnes ayant une bonne opinion, nous l’acceptons sans autre forme de procès ; si, au contraire, il a été rejeté, nous ne perdons pas de temps à le tester. Entre deux produits, l’un avec 5 étoiles et l’autre avec 4 étoiles ayant des caractéristiques similaires, lequel choisiriez-vous ?
- L’autorité : selon ce principe, les personnalités qui ont plus d’autorité ou qui sont des leaders jouissent d’une plus grande crédibilité. Le fait de mettre en avant des qualifications académiques ou des années d’expérience dans un certain domaine confère à l’orateur une plus grande crédibilité. Ce principe est utilisé dans de nombreux canulars, comme celui qui attribue au prix Nobel de médecine Tasuko Honjo la déclaration que le coronavirus « est un virus fabriqué par l’homme ». Cette affirmation a été contredite par l’université de Kyoto elle-même, où enseigne le professeur Honjo.
- L’amabilité : le principe est simple, nous sommes plus enclins à faire des choses lorsque quelqu’un de sympathique et d’aimable nous demande de les faire. De plus, dans ce cas, la sympathie ne doit pas nécessairement être liée à la beauté, mais elle affecte d’autres caractéristiques telles que la ressemblance avec cette personne ou le fait qu’elle participe aux mêmes groupes ou activités que nous. Nous sommes par exemple plus enclins à aider quelqu’un qui a étudié dans la même université que nous, même s’il y a 20 ans de différence.
- Rareté : lorsque nous savons que quelque chose est sur le point de s’épuiser, nous l’apprécions et en voulons plus. Dans la publicité, cela se traduit par des « offres limitées dans le temps » ou des « éditions limitées ». Les marqueurs de compte à rebours sont des objets largement utilisés sur la base de ce principe.
Techniques d’attaque d’ingénierie sociale les plus courantes
Avant d’examiner les principales techniques d’ingénierie sociale, il convient de noter qu’elles peuvent être divisées en deux types, en fonction du type d’interactions requises par le cybercriminel :
- La chasse(Hunting) : elle vise à toucher le plus grand nombre d’utilisateurs par le biais d’une seule action de contact.
- La collecte (Farming) : dans ce cas, plusieurs communications sont effectuées pour collecter des informations auprès de la victime.
Analysons maintenant en détail les techniques les plus courantes :
- Baiting : l’objectif est de voler des données d’entreprise en laissant des clés USB infectées à la portée d’un ou plusieurs employés. Ainsi, lorsqu’elles sont connectées à l’ordinateur, le logiciel malveillant est exécuté, ce qui permet d’accéder à toutes les informations de l’entreprise. Il existe un autre type de clés USB, appelées Killer USB, qui, par le biais d’un choc électrique lorsqu’elles sont connectées à l’ordinateur, sont capables de faire fondre les composants internes de l’ordinateur.
- Tailgating : l’arme secrète du cybercriminel n’est autre que la sympathie. Il cherche à pénétrer physiquement dans des zones restreintes en s’appuyant sur la politesse de la victime. Dans une entreprise, le cybercriminel peut attendre à la porte d’entrée en faisant croire qu’il attend quelqu’un ou qu’il a perdu sa carte d’identité et accéder ensemble à la zone d’accès réservée au personnel, en profitant de la courtoisie de tenir la porte. Cette technique est également largement utilisée dans les transports publics pour franchir les tourniquets en se plaçant à proximité d’une autre personne entrant par le tourniquet ou en la « talonnant ».
- Phishing : il s’agit de la technique la plus utilisée par les cybercriminels, qui consiste à envoyer des courriels en usurpant l’identité de connaissances ou d’entités dans le but d’obtenir des données personnelles, de faire cliquer la victime ou même de lui faire télécharger une pièce jointe. Cette technique, associée aux principes mentionnés ci-dessus, tels que l’autorité (banques, entreprises où l’on travaille, etc.) ou la rareté (prix ou offres exceptionnelles), peut s’avérer très efficace.
- Pretexting : Dans ce cas, certaines informations sur la victime sont nécessaires, telles que des données personnelles, le travail ou les habitudes, et l’attaquant se présente comme une personne appartenant à notre environnement (un collègue des RH), à des institutions publiques (police) ou privées (compagnie de gaz, banques, etc.) qui a besoin de corroborer certaines données confidentielles avec nous. Comme l’attaquant dispose déjà de certaines informations sur nous qu’il a recueillies sur les réseaux sociaux et d’autres médias, il est facile de tomber dans son piège.
- Shoulder Surfing : Cela ressemble à une blague, mais c’est une technique très efficace pour découvrir les mots de passe, les codes PIN ou les schémas de déverrouillage d’un téléphone portable, d’une application ou d’un réseau social. Ce type d’attaque d’ingénierie sociale est généralement mené dans des lieux publics très fréquentés, comme les transports, où l’on peut s’approcher très près de la victime sans avoir l’air de la menacer. Une fois ce mot de passe obtenu, l’attaquant a les mains libres pour effectuer toutes les actions qu’il souhaite. Cette technique peut également utiliser des miroirs ou des fenêtres et des caméras zoom. Bien qu’elle soit a priori utilisée à courte distance, l’attaquant peut également réaliser ces techniques depuis un immeuble de bureaux voisin et visualiser l’écran des ordinateurs faisant face aux fenêtres à l’aide de jumelles, de télescopes ou même de drones.
Comment se protéger de ces attaques ?
Les cybercriminels perfectionnent de plus en plus les attaques d’ingénierie sociale grâce aux informations qu’ils peuvent obtenir de l’utilisateur dans l’environnement numérique. Il est donc conseillé de se protéger contre ces attaques afin d’éviter les fraudes à grande échelle, tant au niveau personnel qu’au niveau de l’entreprise. Voici quelques conseils de base à suivre :
- Vérifiez l’adresse électronique de l’expéditeur : lorsque vous recevez un courriel vous demandant des informations sensibles (financières ou personnelles), vérifiez d’abord l’adresse de l’expéditeur. La plupart du temps, vous verrez qu’il parle au nom d’une entreprise, mais l’adresse ne correspond pas à l’entité qu’il désigne.
- Ne téléchargez pas de contenu provenant d’expéditeurs inconnus : en cas de doute, mieux vaut ne pas télécharger, vous éviterez ainsi d’installer des logiciels malveillants.
- Installez et mettez à jour votre antivirus pour être toujours protégé.
- Ne répondez pas aux messages suspects, surtout pas en fournissant des informations confidentielles.
- Faites preuve de bon sens : si votre banque souhaite confirmer certaines informations, il est plus probable qu’elle vous contacte par téléphone que par courrier électronique.
- Soyez attentif aux signes : dans de nombreux cas, les cybercriminels traduisent leur message dans différentes langues et celui-ci n’est pas bien adapté. Nous pouvons repérer les formulations ou les orthographes incorrectes. Une entité officielle n’écrirait pas de la sorte ; cette information suffit pour savoir que nous avons affaire à une fraude.
- Supprimer immédiatement tout message suspect.
- Formation : il est important de consacrer des ressources dans les entreprises pour prévenir ces attaques.
Comme vous pouvez le constater, il est beaucoup plus facile d’obtenir un mot de passe en « piratant » un humain qu’une machine, et un cybercriminel ne doit pas nécessairement être un expert en informatique ou disposer des dernières technologies pour déchiffrer les mots de passe. Maintenant que vous savez, lisez lentement et analysez avant de répondre car tout faux clic peut être un piratage inutile.