Lorsque nous pensons à la cybersécurité, la plupart d’entre nous pensent aux mesures de défense contre les pirates informatiques qui utilisent les faiblesses technologiques pour attaquer les réseaux de données. Cependant, il existe une autre façon de s’introduire dans les organisations et les réseaux : profiter des faiblesses humaines. C’est ce qu’on appelle l’ingénierie sociale, une technique qui permet d’accéder à des informations ou à des réseaux de données grâce à une technique de manipulation.
Par exemple, un intrus peut se présenter comme le personnel du service d’assistance informatique et demander aux utilisateurs de fournir des données, comme leurs noms d’utilisateur et leurs mots de passe. Il est surprenant de constater le nombre de personnes qui fournissent ces informations sans réfléchir, surtout si ces renseignements semblent être demandés par un représentant officiel.
Autrement dit, l’ingénierie sociale consiste à tromper une personne pour la manipuler de manière à accéder à des informations ou à des données ou de manière à ce que l’utilisateur divulgue celles-ci.
Il existe différents types d’attaques d’ingénierie sociale. Il est important de comprendre la définition de l’ingénierie sociale ainsi que le fonctionnement de celle-ci. Une fois que le modus operandi général est défini, il est beaucoup plus facile de reconnaître des attaques d’ingénierie sociale.
La technique de l’appât consiste à créer un piège, par exemple une clé USB contenant des logiciels malveillants. Lorsque quelqu’un est curieux de voir ce qui se trouve sur la clé, il connecte celle-ci à son lecteur USB, ce qui entraîne la contamination du système. Il existe en fait une clé USB qui permet de détruire les ordinateurs. Une fois insérée, elle se charge avec l’énergie du lecteur USB et la libère sous forme d’une surtension féroce, endommageant ainsi l’appareil dans lequel elle a été insérée. (Une telle clé USB coûte 54 dollars.)
Cette attaque utilise un prétexte pour attirer l’attention et inciter la victime à fournir des informations. Par exemple, un sondage sur Internet peut sembler tout à fait innocent au début, mais peut ensuite demander les détails d’un compte bancaire. Une personne munie d’un porte-bloc pourrait également se présenter et vous dire qu’elle effectue un contrôle des systèmes internes. Toutefois, il se peut qu’elle ne soit pas la personne qu’elle prétend être et qu’elle cherche à vous voler des informations précieuses.
Les attaques d’hameçonnage utilisent un email ou un message textuel qui prétend provenir d’une source fiable et qui demande des informations. Un exemple bien connu : un email est prétendument envoyé par une banque, qui veut que ses clients confirment leurs informations de sécurité et qui dirige les utilisateurs vers un faux site où leurs informations d’identification seront enregistrées. Le harponnage vise une seule personne au sein d’une entreprise. Cette pratique consiste à envoyer un email censé provenir d’un cadre supérieur de l’entreprise et qui demande des informations confidentielles.
Ces types d’attaques d’ingénierie sociale sont des variantes de l’hameçonnage : l’« hameçonnage » consiste simplement à appeler une personne et à lui demander de communiquer des données. Le malfaiteur peut se faire passer pour un collègue de travail, en se présentant par exemple comme un membre du service d’assistance informatique, et demander des identifiants de connexion. L’hameçonnage par SMS utilise des messages texte SMS pour tenter d’obtenir ces informations.
L’expression dit : « échange équitable n’est pas vol ». Toutefois, il s’agit bien d’un vol dans ce cas-ci. De nombreuses attaques d’ingénierie sociale font croire aux victimes qu’elles obtiennent quelque chose en échange des données ou de l’accès qu’elles fournissent. Les « faux logiciels de sécurité » fonctionnent de cette manière. Ils promettent aux utilisateurs une mise à jour pour corriger un problème de sécurité urgent, alors qu’en fait, ce sont les logiciels eux-mêmes qui représentent la menace de sécurité.
Ce type d’attaque implique le piratage des comptes de messageries ou des réseaux sociaux d’une personne pour accéder à ses contacts. Les contacts peuvent recevoir un message indiquant que cette personne a été agressée et qu’elle a perdu toutes ses cartes de crédit. Ensuite, elles seront invitées à effectuer un virement sur un compte de transfert d’argent. Ou encore, une personne qui prétend être un ami peut envoyer une « vidéo à voir obligatoirement » qui redirige vers un logiciel malveillant ou vers un cheval de Troie enregistreur de frappe.
Il faut savoir que certaines attaques d’ingénierie sociale sont beaucoup plus développées. La plupart des stratégies que nous avons décrites sont une forme de « chasse ». En bref, il s’agit d’entrer, de saisir l’information et de sortir.
Cependant, certains types d’attaques d’ingénierie sociale consistent à établir une relation avec la cible afin d’extraire plus d’informations sur une période plus longue. Cette méthode est appelée « exploitation » (farming) et est plus risquée pour l’attaquant, car les chances d’être découvert sont plus élevées. Toutefois, si l’infiltration réussit, elle peut permettre d’obtenir beaucoup plus d’informations.
Les attaques d’ingénierie sociale sont particulièrement difficiles à neutraliser, car elles sont conçues pour agir sur des qualités humaines naturelles, comme la curiosité, le respect de l’autorité et le désir d’aider ses amis. Voici quelques conseils qui peuvent aider à détecter les attaques d’ingénierie sociale…
Réfléchissez un instant à la source de l’information et ne vous y fiez pas aveuglément. Une clé USB apparaît sur votre bureau, et vous ne savez pas d’où elle vient ? Un appel soudain révèle que vous avez hérité de 5 millions de dollars ? Un email du PDG de votre entreprise vous demande une série d’informations sur des employés ? Tous ces éléments semblent suspects et doivent être traités avec prudence.
Il n’est pas difficile de vérifier la source. Par exemple, dans le cas d’un email, examinez l’en-tête de l’email et comparez-le à celui d’emails reçus et vérifiés du même expéditeur. Regardez où mènent les liens. Les hyperliens usurpés sont faciles à repérer. Il suffit de les survoler avec votre souris (mais ne cliquez pas sur les liens !) Vérifiez l’orthographe : les banques emploient un ensemble de personnes qualifiées qui se consacrent à la rédaction des communications avec les clients, donc un email comportant des erreurs flagrantes est probablement faux.
En cas de doute, consultez le site officiel et prenez contact avec un représentant officiel, qui pourra vous confirmer que l’email ou le message est officiel.
La source ne détient pas des informations qu’elle est censée connaître, comme votre nom complet, etc. ? Sachez que quand une banque vous appelle, le représentant devrait avoir toutes vos données sous les yeux. En plus de cela, il vous posera toujours des questions de sécurité avant de procéder à tout changement sur votre compte. Si ce n’est pas le cas, il y a de fortes chances que ce soit un faux email/appel/message, et vous devez vous méfier.
Les méthodes de l’ingénierie sociale reposent sur un sentiment d’urgence. Les attaquants attendent de leurs cibles qu’elles ne se posent pas trop de questions sur la situation. Un moment de réflexion peut ainsi prévenir des attaques ou dévoiler la fausse identité de l’appelant.
Appelez le numéro officiel ou consultez le site officiel, plutôt que de communiquer des données par téléphone ou de cliquer sur un lien. Utilisez un autre mode de communication pour vérifier la crédibilité de la source. Par exemple, si vous recevez un email d’un ami vous demandant de transférer de l’argent, envoyez-lui un SMS sur son téléphone portable ou appelez-le pour vérifier qu’il s’agit bien de lui.
L’une des attaques d’ingénierie sociale les plus faciles consiste à contourner la sécurité pour entrer dans un bâtiment en transportant une grosse boîte ou une pile de documents. Après tout, une personne bienveillante tiendra la porte et laissera passer le fraudeur. Ne vous laissez pas avoir. Demandez toujours une preuve d’identité.
Le même principe s’applique aux autres méthodes. Toute demande d’informations devrait être suivie d’une vérification du nom et du numéro d’identité de la personne qui appelle ou de la question « Quel organisme représentez-vous ? ». Il suffit ensuite de consulter l’organigramme de l’organisation ou l’annuaire téléphonique avant de communiquer des informations privées ou des données personnelles. Si vous ne connaissez pas la personne qui réclame les informations et si vous hésitez encore à les lui transmettre, dites-lui que vous devez vérifier son identité auprès d’une autre personne et que vous la rappellerez.
If your email program isn't filtering out enough spam or marking emails as suspicious, you might want to alter the settings. Good spam filters use various kinds of information to determine which emails are likely to be spam. They might detect suspicious files or links, they may have a blacklist of suspicious IP addresses or sender IDs, or they may analyze the content of messages to determine which are likely to be fake.
Some social engineering attacks work by trying to trick you into not being analytical and taking the time to assess whether the situation is realistic can help detect many attacks. For example:
Be particularly wary when you feel a sense of urgency coming into a conversation. This is a standard way for malicious actors to stop their targets thinking the issue through. If you're feeling pressured, slow the whole thing down. Say you need time to get the information, you need to ask your manager, you don't have the right details with you right now — anything to slow things down and give yourself time to think.
Most of the time, social engineers won't push their luck if they realize they've lost the advantage of surprise.
It's also important to secure devices so that a social engineering attack, even if successful, is limited in what it can achieve. The basic principles are the same, whether it's a smartphone, a basic home network or a major enterprise system.
You might also want to give some thought to your digital footprint. Over-sharing personal information online, such as through social media, can help attackers. For instance, many banks have 'name of your first pet' as a possible security question — did you share that on Facebook? If so, you could be vulnerable! In addition, some social engineering attacks will try to gain credibility by referring to recent events you may have shared on social networks.
We recommend you turn your social media settings to 'friends only' and be careful what you share. You don't need to be paranoid, just be careful.
Think about other aspects of your life that you share online. If you have an online resumé, for instance, you should consider redacting your address, phone number and date of birth - all useful information for anyone planning a social engineering attack. While some social engineering attacks don't engage the victim deeply, others are meticulously prepared - give these criminals less information to work with.
Social engineering is very dangerous because it takes perfectly normal situations and manipulates them for malicious ends. However, by being fully aware of how it works, and taking basic precautions, you'll be far less likely to become a victim of social engineering.
Related links
Social Engineering - Definition
How Malware Penetrates Computers and IT Systems
Si votre messagerie ne filtre pas suffisamment les spams ou ne marque pas les emails suspects, envisagez de modifier les paramètres. Les filtres anti-spam efficaces utilisent divers types d’informations pour détecter les messages suspects. Ils peuvent détecter des fichiers ou des liens suspects, avoir une liste noire d’adresses IP ou d’identifiants d’expéditeurs suspects, ou analyser le contenu des messages pour déterminer ceux qui sont susceptibles d’être faux.
Certaines attaques d’ingénierie sociale parviennent à vous piéger en essayant de vous précipiter, alors qu’en gardant la tête froide, il est possible de détecter de nombreuses attaques. Par exemple :
Soyez particulièrement vigilant si vous ressentez un sentiment d’urgence lors d’une conversation. Il s’agit d’une méthode classique utilisée par les personnes malveillantes, qui permet d’empêcher leurs cibles de réfléchir à la question. Si vous sentez que vous faites face à une pression, prenez le temps de réfléchir. Dites que vous avez besoin de temps pour rassembler les informations, que vous devez poser la question à votre responsable ou que vous n’avez pas les détails exacts sous les yeux pour le moment. Faites tout pour retarder la procédure et vous donner le temps de réfléchir.
Dans la plupart des cas, les acteurs d’ingénierie sociale ne tenteront pas d’aller plus loin s’ils se rendent compte qu’ils ont perdu l’avantage de la surprise.
Il est également important de sécuriser les appareils de sorte à limiter les dégâts d’une attaque d’ingénierie sociale, même si celle-ci est réussie. Les principes de base sont les mêmes, qu’il s’agisse d’un smartphone, d’un réseau domestique traditionnel ou d’un grand système d’entreprise.
Réfléchissez aussi un instant à votre empreinte numérique. Le partage excessif d’informations personnelles en ligne, par exemple par le biais des réseaux sociaux, peut faciliter le travail des attaquants. Par exemple, de nombreuses banques utilisent le nom de votre premier animal comme question de sécurité. Avez-vous partagé cette information sur Facebook ? Si c’est le cas, vous risquez d’être vulnérable ! En outre, les acteurs de certaines attaques d’ingénierie sociale tenteront de gagner en crédibilité en se référant à des événements récents que vous avez pu partager sur les réseaux sociaux.
Nous vous recommandons de paramétrer vos réseaux sociaux de manière à ce que les publications soient accessibles aux « amis uniquement » et de trier les informations que vous partagez. Il ne s’agit pas de paranoïa, juste de la prudence.
Pensez à d’autres aspects de votre vie que vous partagez en ligne. Par exemple, si vous affichez votre CV en ligne, vous devriez envisager de supprimer votre adresse, votre numéro de téléphone ainsi que votre date de naissance du document. Toutes ces informations sont utiles dans le cas d’une attaque d’ingénierie sociale. Si certaines attaques d’ingénierie sociale ne sollicitent pas intensément la victime, d’autres sont méticuleusement préparées. Donnez à ces criminels le moins d’informations possible.
L’ingénierie sociale est très dangereuse, car elle consiste à exploiter des situations parfaitement normales et à les utiliser à des fins malveillantes. Cependant, en étant pleinement conscient de son fonctionnement et en prenant des précautions de base, vous serez beaucoup moins vulnérable à l’ingénierie sociale.
Liens connexes
Définition de l’ingénierie sociale
Comment les logiciels malveillants infiltrent-ils les ordinateurs et les systèmes informatiques ?