Ingénierie sociale : comprendre et se protéger des manipulations

La France se trouve aujourd’hui face à une vague sans précédent de cyberattaques, avec l’ingénierie sociale au premier plan de cette menace numérique. Cette technique de manipulation, qui joue sur les faiblesses humaines pour extorquer des informations ou de l’argent, n’a jamais été aussi pertinente.

Alors que le pays se remet d’une attaque majeure contre l’un de ses services publics essentiels, France travail, la vigilance est de mise. Les cybercriminels, armés de stratégies toujours plus sophistiquées, cherchent à exploiter la moindre faille dans notre armure collective. Dans ce contexte, comprendre les mécanismes de l’ingénierie sociale et les moyens de s’en prémunir est crucial pour la sécurité individuelle et nationale. Cet article se propose de démystifier l’ingénierie sociale, en explorant ses méthodes les plus courantes et en offrant des conseils pratiques pour renforcer notre défense contre ces attaques insidieuses.

L’ingénierie sociale : L’erreur est humaine.

Nous sommes conscient que beaucoup d’entre vous passeront votre chemin au terme de cette introduction s’estimant suffisamment informés pour ne pas se faire avoir par un faux mail, un lien douteux ou une publicité grossière. Nous attirons cependant votre attention sur le fait que dans de nombreux cas, les internautes se retrouvent souvent pris de panique face à certaines sommations et que c’est à ce moment-là qu’une erreur est commise. Par ailleurs, l’utilisation du meilleur VPN, ne vous sera d’aucun secours puisque l’ingénierie sociale s’appuie sur le comportement humain afin d’appeler à une action spécifique.

Le phishing, un cas d’ingénierie sociale courant

Les hackers sont de plus en plus créatifs dans l’élaboration de tactiques pour influencer et tromper des individus dans le but d’obtenir des données sensibles. L’hameçonnage est une des principales méthodes utilisées. Les vecteurs d’attaques sont les SMS, les médias sociaux et plus fréquemment les e-mails.

Le scénario, bien qu’assez connu, est toujours aussi efficace. L’attaquant contacte sa potentielle victime en se faisant passer généralement pour une entreprise dont la légitimité n’est pas à remettre en question (une banque, une compagnie d’électricité …).

Le message est toujours pressant et s’appuie sur des problèmes de sécurité liés au compte, des impayés ou encore des remboursements, s’en suivra toujours une injonction incitant la cible à passer à l’action très rapidement pour éviter des conséquences fâcheuses. En règle générale, l’internaute doit cliquer sur un lien malveillant et devra communiquer des informations confidentielles.

Voici comment cela fonctionne généralement :

Le mail initial : Vous recevez un courrier électronique qui semble provenir d’une entreprise légitime avec laquelle vous faites affaire, comme votre banque, un service de streaming comme Netflix, ou un service de courrier électronique comme Google. Le courrier électronique vous informe généralement d’un problème urgent avec votre compte qui nécessite votre attention immédiate.

Le lien : Le courrier électronique contient un lien vers ce qui semble être le site web de l’entreprise. Cependant, si vous regardez attentivement l’URL, vous verrez qu’elle ne correspond pas exactement à l’URL officielle de l’entreprise. Par exemple, au lieu de « www.netflix.com », l’URL pourrait être « www.netflix.billing-problem.com ».

La page de connexion : Lorsque vous cliquez sur le lien, vous êtes dirigé vers une page de connexion qui ressemble exactement à celle de l’entreprise légitime. On vous demandera de vous connecter avec votre nom d’utilisateur et votre mot de passe.

Le vol d’informations : Lorsque vous vous connectez, vos informations de connexion sont enregistrées par le pirate informatique. Ils peuvent alors utiliser ces informations pour accéder à votre compte réel et commettre des fraudes, comme voler de l’argent de votre compte bancaire ou faire des achats en votre nom.

Les goûts et les couleurs…

En matière d’ingénierie sociale, les arnaques sont conçues en se basant sur des données statistiques visant à coller au plus près avec la réalité des internautes et ratissent très large.

• La sextorsion consiste à envoyer un mail accompagné d’une demande de rançon. Le courrier indique que la webcam de l’utilisation a été piratée et que les images compromettantes seront envoyées à l’intégralité des contacts de la victime si celle-ci ne paie pas.
• L’escroquerie aux bons d’achats (coupons) est en général un mail, un sms ou un message sur Whatapp se faisant passer pour une grande marque invitant l’internaute à cliquer sur un lien pour bénéficier de réductions importantes. Une fois sur le faux site, la victime sera invitée à rentrer ses coordonnées pour que l’offre promotionnelle soit validée.
• Les Amazon day Prime sont également une période propice à la réception de faux mails promotionnels incitant à divulguer les informations personnelles relatives au compte des utilisateurs. D’autres grandes marques sont également régulièrement usurpées, Apple, UPS, FedEx, Microsoft…
• L’agenda Google peut également servir de vecteur d’attaque. Le pirate s’en servira pour placer des faux événements sur lesquels il faut cliquer, s’inscrire et fournir des données sensibles.

Une question d’échelle

Si pour tromper des particuliers un simple hameçon peut parfois suffire, pour ce qui est des entreprises, un harpon est nécessaire. Le Spread phishing ou spear phishing est une technique d’ingénierie sociale extrêmement ciblée et capable de causer énormément de dégâts à une entreprise.

Un peu plus exigeant en terme de moyens à déployer le Spread phishing nécessite au préalable des recherches approfondies sur l’entreprise qui est visée (en générale des firmes manipulant des données sensibles à travers leur propre système d’information), ses employés et plus particulièrement les nouveaux venus.

En effet, les erreurs les plus courantes liées à la sécurité des données dans les entreprises sont souvent le fruit d’un excès de zèle de la part d’un salarié désireux de bien faire. Inexpérimenté et donc peu familier des différentes interfaces et procédures en vigueur, ils deviennent des cibles de premier choix. Les VPN pour entreprise, même les plus sûrs et pointus techniquement, ne peuvent rien faire contre ça.
Pour les très grosses entreprises et pour des cibles qui occupent des postes stratégiques assez haut placés, le terme utilisé est le whaling, la pêche à la baleine. Cette technique cible spécifiquement les cadres supérieurs et les dirigeants d’entreprise, qui ont souvent accès à des informations particulièrement sensibles.

 

L’ingénierie sociale : La peur sur tous les systèmes

Parmi les leviers les plus efficaces, la peur est le sentiment qui permet de créer la panique chez les victimes. Il existe d’ailleurs un mode d’attaque exclusivement basée sur celle-ci. Les peurs croissantes liées à la cyber-sécurité sont devenues un terreau particulièrement fertile pour les hackers.

Depuis quelques années des fenêtres contextuelles apparaissent de manière inopinée sur les écrans. Particulièrement intrusives et menaçantes, elles alertent l’internaute sur une faille de sécurité et/ou sur la présence d’un malware dans son système et intime l’ordre de télécharger l’antivirus proposé pour régler le problème. Dans le pire des cas, l’utilisateur aura même à débourser de l’argent pour acquérir un virus qui permettra l’accès aux hackers à toutes les informations sensibles contenues dans l’ordinateur.

D’autres techniques de manipulation entrent dans le champ que couvre le terme d’ingénierie sociale comme le quiproquo, l’usurpation d’identité (pretexting) ou le tailgating (ouvrir une porte à quelqu’un qui aurait oublié sa carte d’accès ou le code secret)

Et si par hasard vous trouvez une clef USB dans un café, remettez là à un serveur ou au gérant. Aussi surréaliste que cela puisse paraître, la clef peut contenir des malwares dissimulés sur des fichiers de musique par exemple, assez peu pratiquée, mais déjà recensée, le Baiting (appâter en anglais) n’existe pas que dans les films.

L’ingénierie sociale, par sa nature même, est indépendante du système d’exploitation que vous utilisez. Que vous soyez sur Windows, Linux ou Mac, vous n’êtes pas à l’abri. Les attaques d’ingénierie sociale visent à exploiter les failles humaines, pas les failles logicielles. Aucun système d’exploitation n’est immunisé contre ces tactiques.

De plus, il est important de noter que l‘idée selon laquelle les Macs sont immunisés contre les virus est un mythe. Bien que les Macs aient été moins ciblés par les logiciels malveillants dans le passé, principalement en raison de leur part de marché plus petite par rapport à Windows, la situation a changé. Avec l’augmentation de la popularité des produits Apple, ils sont devenus une cible de plus en plus attrayante pour les cybercriminels. 

L’ingénierie sociale : En conclusion

Soyez toujours sceptique, et ce, même si le message que vous recevez vous presse ou vous fait peur. Ne paniquez pas et trouvez un moyen de communiquer directement avec vos interlocuteurs s’il s’agit de votre banque par exemple. Vérifiez toujours les liens et les sites sur lesquelles vous vous rendez, bien souvent, certains détails trahissent leur authenticité.