L’ingénierie sociale, nouvel eldorado des cybercriminels

Écrit par charon
Publié le : {{ dayjs(1488445212*1000).local().format("L").toString()}}
Suivez-nous

Jamais les affaires de piratage n’ont été aussi nombreuses à travers le monde et, depuis quelques années, les cybercriminels mettent en place de nouvelles formes d’attaques qui profitent de plus en plus de l’ingénierie sociale.

Le Social Engineering (ingénierie sociale), c’est quoi ? Pour résumer les choses simplement, il s’agit d’un ensemble de méthodes permettant de manipuler les personnes afin d’en obtenir un acte ou un partage d’information sans qu’elles ne s’en aperçoivent. De l’abus de confiance en passant par l’influence, il s’agit pour les cybercriminels de tenter d’obtenir un mot de passe, des données confidentielles ou d’amener la victime à exposer une vulnérabilité pour profiter de la très fameuse « faille humaine ».

Le domaine est désormais au coeur d’un nombre grandissant d’attaques en ligne, et pour cause : le facteur humain est un élément de réussite pour 90% des piratages et bien souvent, l’ingénierie sociale reste sous le radar des antivirus, laissant penser à sa victime qu’elle n’a pas à se méfier.

La forme la plus répandue et connue qui exploite le social engineering est sans conteste l’hameçonnage (phishing). En jouant sur divers facteurs exploités dans un email : annonce d’un gain, d’une facture impayée, d’un problème de facturation, d’un remboursement de trop-perçu, de la nécessité de confirmer son compte suite à une tentative de piratage, la victime est invitée à se connecter avec ses identifiants auprès du service concerné via un lien directement intégré au message. En réalité, le lien renvoie vers une copie du site original qui se charge alors de stocker les identifiants et mots de passe des victimes, ce qui peut rapidement se montrer préjudiciable si l’utilisateur dispose d’identifiants communs sur l’ensemble de services Internet et plus encore s’il s’agit de partager ses informations liées aux comptes bancaires.

Pour mener à bien des campagnes misant sur l’ingénierie sociale, les pirates ont à leur disposition un vivier inépuisable d’informations sur leurs victimes. Plus on partage d’informations sur les sites en ligne, plus on s’expose à voir ces informations être utilisées contre nous. Cela vaut pour les plus évidentes partagées sur les réseaux sociaux comme les moins flagrantes comme les CV laissés sur les sites de recherche d’emploi.

Il devient ainsi facile d’encourager une personne à la recherche d’un emploi en étudiant son CV et en le redirigeant vers le site d’une fausse entreprise qui lui promet un poste correspondant à ses attentes, de cibler les centres d’intérêt des utilisateurs en fonction de leurs photos et publications partagées sur Instagram, Facebook ou même d’exploiter les penchants politiques ou religieux de chacun en fonction de ses retweets…

Concrètement, l’ingénierie sociale ne sert qu’à préparer le terrain pour s’assurer de la réussite d’une attaque qui repose de son côté sur la diffusion d’un malware. Le piratage de l’humain permet de l’exposer aux risques et ainsi d’exploiter les failles pour mettre en place un piratage informatique.

Lorsque l’on dispose d’une foule d’information sur chacun simplement en effectuant des recherches auprès d’informations disponibles librement sur Internet, il devient plus simple de donner du crédit à un message et de donner confiance à la victime pendant l’ensemble de la procédure qui l’amènera lui-même à s’exposer au danger.

Pour les attaques les plus élaborées, les cybercriminels vont sélectionner leur cible avec précaution. Les cibles peuvent ainsi être indirectes, car inaccessibles autrement. Ce fut le cas d’Hilary Clinton lors de la campagne présidentielle puisque les pirates ont ciblé John Podesta avec une campagne de phishing. Le directeur de campagne de Clinton s’est ainsi fait prendre au piège, et les criminels ont ainsi pu récupérer des milliers d’emails et dossiers échangés avec la candidate démocrate, avec l’issue que l’on connaît aujourd’hui.

Les pirates auront également davantage intérêt à cibler les victimes d’une société ayant un haut niveau d’accès dans les systèmes informatiques pour organiser du cyberespionnage et la fuite de données.

Reste qu’auprès des particuliers, la peur reste le principal moteur amenant à exposer ses données. Qu’il s’agisse d’un coup de téléphone d’un prétendu opérateur qui invite l’utilisateur à partager ses identifiants sous peine de coupure du service en passant par l’annonce d’une perte d’argent impliquant une identification sur un site précis, la plupart des humains laissent la rationalité de côté sous les effets de la panique ou de la peur. Surfant sur ce facteur, de nouveaux outils sont à disposition des cybercriminels. On les appelle les Scarewares, comme le détaille précisément l’article de 1&1 intitulé « L’ingénierie sociale ou la faille humaine« . Ils sont spécialisés dans le fait d’effrayer les utilisateurs pour les amener à commettre des actions non désirées. On peut ainsi facilement faire télécharger un faux patch de sécurité, une mise à jour vérolée ou un antivirus qui cache en réalité un malware, simplement en jouant sur la peur de l’utilisateur ou sa méconnaissance des risques informatiques.

Mais alors, comment se prémunir de ces attaques ?

La situation est relativement complexe, étant donné que toutes les personnes sont exposées à un moment ou l’autre. Reste que pour les entreprises, quelques consignes permettent d’éviter de tomber dans la plupart des attaques exploitant l’ingénierie sociale.

La mise en place de procédures administratives standard représente le premier rempart : obliger les employés à adopter une réaction ordonnée et rationnelle en fonction de chaque événement lui arrivant permet de contourner une partie des menaces.

Quelques rappels de base sont ainsi de mise : ne jamais donner d’informations personnelles ou confidentielles par téléphone, ni même d’information annexe qui pourrait servir lors d’une autre attaque. On invite également chacun à se méfier des emails reçus de personnes inconnues, et de tout message invitant là encore à s’identifier ou à partager des informations privées, le cas échéant on prendra soin de se rendre directement sur le site de l’opérateur/ partenaire sans cliquer sur le lien intégré au message.

Les pièces jointes et liens intégrés aux emails sont à manipuler avec la plus grande attention. Là encore, on prendra soin de vérifier l’identité de l’expéditeur et on se refusera à ouvrir une pièce jointe provenant d’un expéditeur inconnu ou via un email que l’on n’attendait pas.

Enfin, c’est sans doute le plus difficile pour les particuliers : veiller à filtrer les données partagées sur les réseaux sociaux et à limiter son empreinte numérique. Il est de plus en plus facile pour les cybercriminels de passer par des « amis » pour accéder aux données, de fait, les protections en place concernant la restriction de partage des données ne suffisent plus pour se prémunir de ces nouvelles menaces. Par ailleurs, on ne peut que recommander d’éviter de faire la chasse au maximum d’amis et de se concentrer à établir un réseau d’amis constitué de proches ou de personnes dont l’identité est vérifiable pour s’éviter de faire entrer un loup dans la bergerie.

Malgré ces précautions, on ne peut garantir à quiconque de se prémunir de ces nouvelles attaques. Dans la majorité des cas, l’utilisateur n’a pas conscience de se mettre en danger en partageant des informations qui paraissent anodines. Mises bout à bout, ces informations permettent pourtant d’établir des profils et de deviner bien plus que les brides de données laissées ci et là au fil de son activité sur la toile.