Qu'est-ce que l'ingénierie sociale ?

par | 5 Nov 2019 | Info

Dans le milieu informatique, l'ingénierie sociale ou piratage psychologique est l'ensemble des pratiques reposant sur la manipulation et l'exploitation des faiblesses humaines dans le but de duper, voler, arnaquer. Comme évoqué dans notre dossier consacré aux hackers, Kevin Mitnick, un ancien pirate informatique très célèbre, a bâti sa réputation en exploitant ces faiblesses. Si depuis le principe de base est inchangé, les moyens d'y parvenir ont été très largement améliorés depuis les années 80.

L'erreur est humaine.

Nous sommes conscient que beaucoup d'entre vous passeront votre chemin au terme de cette introduction s'estimant suffisamment informés pour ne pas se faire avoir par un faux mail, un lien douteux ou une publicité grossière. Nous attirons cependant votre attention sur le fait que dans de nombreux cas, les internautes se retrouvent souvent pris de panique face à certaines sommations et que c'est à ce moment-là qu'une erreur est commise. Par ailleurs, l'utilisation d'VPN, peu importe son prix, ne vous sera d'aucun secours puisque l’ingénierie sociale s'appuie sur le comportement humain afin d'appeler à une action spécifique.

l'ingénierie sociale incite à commettre des erreurs

Une partie de pêche ?

Les hackers sont de plus en plus créatifs dans l'élaboration de tactiques pour influencer et tromper des individus dans le but d'obtenir des données sensibles. L'hameçonnage est une des principales méthodes utilisées. Les vecteurs d'attaques sont les SMS, les médias sociaux et plus fréquemment les e-mails.

Le scénario, bien qu'assez connu, est toujours aussi efficace. L'attaquant contacte sa potentielle victime en se faisant passer généralement pour une entreprise dont la légitimité n'est pas à remettre en question (une banque, une compagnie d’électricité …). Le message est toujours pressant et s'appuie sur des problèmes de sécurité liés au compte, des impayés ou encore des remboursements, s'en suivra toujours une injonction incitant la cible à passer à l'action très rapidement pour éviter des conséquences fâcheuses. En règle générale, l'internaute doit cliquer sur un lien malveillant et devra communiquer des informations confidentielles.

différents style d'ingénierie socialeLes goûts et les couleurs...

En matière d'ingénierie sociale, les arnaques sont conçues en se basant sur des données statistiques visant à coller au plus près avec la réalité des internautes et ratissent très large.

  • La « sextorsion » consiste à envoyer un mail accompagné d'une demande de rançon. Le courrier indique que la webcam de l'utilisation a été piratée et que les images compromettantes seront envoyées à l'intégralité des contacts de la victime si celle-ci ne paie pas.
  • L'escroquerie aux bons d'achats (coupons) est en général un mail, un sms ou un message sur Whatapp se faisant passer pour une grande marque invitant l'internaute à cliquer sur un lien pour bénéficier de réductions importantes. Une fois sur le faux site, la victime sera invitée à rentrer ses coordonnées pour que l'offre promotionnelle soit validée.
  • Les Amazon day Prime sont également une période propice à la réception de faux mails promotionnels incitant à divulguer les informations personnelles relatives au compte des utilisateurs. D'autres grandes marques sont également régulièrement usurpées, Apple, UPS, FedEx, Microsoft...
  • L'agenda Google peut également servir de vecteur d'attaque. Le pirate s'en servira pour placer des faux événements sur lesquels il faut cliquer, s'inscrire et fournir des données sensibles.

Une question d'échelle

Si pour tromper des particuliers un simple hameçon peut parfois suffire, pour ce qui est des entreprises, un harpon est nécessaire. Le Spread phishing est une technique d’ingénierie sociale extrêmement ciblée et capable de causer énormément de dégâts à une entreprise.

Un peu plus exigeant en terme de moyens à déployer le Spread phishing nécessite au préalable des recherches approfondies sur l'entreprise qui est visée (en générale des firmes manipulant des données sensibles à travers leur propre système d'information), ses employés et plus particulièrement les nouveaux venus. En effet, les erreurs les plus courantes liées à la sécurité des données dans les entreprises sont souvent le fruit d'un excès de zèle de la part d'un salarié désireux de bien faire. Inexpérimenté et donc peu familier des différentes interfaces et procédures en vigueur, ils deviennent des cibles de premier choix.
Pour les très grosses entreprises et pour des cibles qui occupent des postes stratégiques assez haut placés, le terme utilisé est le whaling, la pêche à la baleine.

illustration ingénierie sociale : différentes tailles des cibles potentielles

Vous reprendrez bien un peu de frayeur ?

Parmi les leviers les plus efficaces, la peur est le sentiment qui permet de créer la panique chez les victimes. Il existe d'ailleurs un mode d'attaque exclusivement basée sur celle-ci. Les peurs croissantes liées à la cyber-sécurité sont devenues un terreau particulièrement fertile pour les hackers. Depuis quelques années des fenêtres contextuelles apparaissent de manière inopinée sur les écrans. Particulièrement intrusives et menaçantes, elles alertent l'internaute sur une faille de sécurité et/ou sur la présence d'un malware dans son système et intime l'ordre de télécharger l'antivirus proposé pour régler le problème. Dans le pire des cas, l'utilisateur aura même à débourser de l'argent pour acquérir un virus qui permettra l'accès aux hackers à toutes les informations sensibles contenues dans l'ordinateur.

D'autres techniques de manipulation entrent dans le champ que couvre le terme d'ingénierie sociale comme le quiproquo, l'usurpation d'identité (pretexting) ou le tailgating (ouvrir une porte à quelqu'un qui aurait oublié sa carte d'accès ou le code secret)

Et si par hasard vous trouvez une clef USB dans un café, remettez là à un serveur ou au gérant. Aussi surréaliste que cela puisse paraître, la clef peut contenir des malwares dissimulés sur des fichiers de musique par exemple, assez peu pratiquée, mais déjà recensée, le Baiting (appâter en anglais) n'existe pas que dans les films.

ingénierie sociale : passez les liens à la loupe

En conclusion

Soyez toujours sceptique, et ce, même si le message que vous recevez vous presse ou vous fait peur. Ne paniquez pas et trouvez un moyen de communiquer directement avec vos interlocuteurs s'il s'agit de votre banque par exemple. Vérifiez toujours les liens et les sites sur lesquelles vous vous rendez, bien souvent, certains détails trahissent leur authenticité.

Share This