Définition d’ingénierie sociale

Les 5 types les plus dangereux

Ingénierie sociale

Saviez-vous que les pirates peuvent pénétrer dans votre ordinateur et autres appareils connectés sans faire de piratage ? Ils peuvent vous manipuler pour établir une relation de confiance et vous amener à partager vos informations confidentielles, et vous ne le réalisez que lorsque c’est trop tard. Si vous ouvrez des liens accompagnant des e-mails que reçus sans vérifier le nom du destinataire ou dévoilez vos informations personnelles dans des e-mails, vous risquez de devenir une victime de l’ingénierie sociale.

Sommaire: L’ingénierie sociale est l’utilisation de méthodes non techniques pour duper une victime potentielle afin qu’elle partage ses informations personnelles avec un pirate. Les pirates utilisent des pratiques trompeuses pour obtenir les mots de passe, coordonnées bancaires et autres informations personnelles de leurs cibles. Lisez plus loin pour en apprendre plus sur les cinq types d’ingénierie sociale les plus courants.

Social Engineering

Qu’est-ce que l’ingénierie sociale ?

L’ingénierie sociale est un mot-parapluie qui désigne une variété de méthodes et techniques employées par les pirates et autres cybercriminels cherchant à tromper les victimes innocentes et leur faire partager leurs données personnelles, ouvrir des liens vers des sites web infectés ou, sans le savoir, permettre aux pirates d’installer des maliciels sur leurs ordinateurs. Ces pirates manipulent leurs victimes jusqu’à ce qu’elles contournent les procédures de sécurité en ligne habituelles pour gagner accès à leurs ordinateurs et/ou informations personnelles, généralement pour en tirer un profit financier.

Le terme « ingénierie sociale » est un terme utilisé en sciences sociales pour désigner un effort par les acteurs de changements importants (médias, gouvernement, groupes privés, etc…) pour influencer ou modeler le comportement de leur population cible. Plus simplement, l’ingénierie sociale est basée sur la manipulation pour atteindre un objectif, bon (par exemple promouvoir la tolérance) ou mauvais (par exemple le bellicisme). Bien que ce principe soit connu depuis le 19ème siècle, le terme « ingénierie sociale » est aujourd’hui plutôt associé à la cybersécurité.

Pour mener à bien leurs attaques d’ingénierie sociale, les pirates comptent généralement sur la volonté de leurs victimes de les aider. Ils peuvent aussi tenter d’exploiter leur manque de connaissances techniques. Dans la majorité des cas cependant, les pirates font des recherches sur leur cible potentielle. Pour les individus, il s’agit d’une vérification minutieuse de leurs comptes sur les réseaux sociaux à la recherche de toute information personnelle qu’ils auraient partagé, notamment leur date de naissance, adresses e-mail, numéros de téléphone et lieux qu’ils fréquentent le plus.

Le processus est quelque peu différent dans le cas des sociétés. Les pirates ont besoin d’une présence à l’intérieur pour rassembler les informations concernant l’entreprise, son activité, son organigramme et la liste de ses partenaires commerciaux. La plupart d’entre eux choisit de cibler les employés de rang inferieur pour accéder à ces informations. Soit ils leurrent leur cible pour qu’elle partage ces informations volontairement, soit ils infectent son ordinateur avec un maliciel qui observe l’activité du réseau et envoie des rapports détaillés directement au pirate.

Quels sont les types d’ingénierie sociale ?

L’ingénierie sociale prend de nombreuses formes. Certaines attaques peuvent uniquement être réalisées hors ligne, comme par exemple lorsqu’un étranger se montre poli et compte sur votre gentillesse pour pénétrer dans votre bâtiment et acquérir les informations dont il a besoin en personne. Il existe aussi des attaques d’ingénierie sociale par téléphone. Connues sous le nom de « vishing » (voice phishing), elles fonctionnent sur le principe suivant : une personne se présente faussement comme un collègue ou un responsable et demande directement l’information qu’il recherche.

Les cinq types d’ingénierie sociale les plus fréquents sont :

  1. Spear Phishing

Alors que la majorité des campagnes d’hameçonnage fonctionnent sur le principe d’envois en masse de courriels à autant d’adresses prises au hasard que possible, le « spear phishing » cible des groupes ou individus spécifiques. Les pirates spécialistes en hameçonnage, utilisent les réseaux sociaux pour collecter des informations sur leurs cibles pour personnaliser leurs courriels d’hameçonnage et les rendre plus réalistes et donc plus susceptible d’être pris au sérieux.

Pour rendre leurs attaques encore plus réalistes, les spécialistes de l’hameçonnage se présentent comme un ami, un partenaire commercial ou une institution extérieure liés d’une manière ou une autre à la victime. Par exemple, un spécialiste de l’hameçonnage peut se faire passer pour un représentant de la banque de la victime et lui demander de fournir les informations qu’il recherche. Ils peuvent aussi utiliser le logo officiel ainsi que les images de la banque en question pour que la victime ait vraiment l’impression que le message est authentique.

  1. Appâtage

L’appâtage est une méthode différente des autres types d’ingénierie sociale en ligne car elle utilise aussi un composant physique. Comme son nom l’indique, l’appâtage utilise un appât physique réel que la victime doit attraper pour que l’attaque fonctionne. Par exemple, le pirate peut laisser une clé USB contenant un maliciel sur le bureau de la victime dans l’espoir que celle-ci la branche sur son ordinateur. Pour augmenter leurs chances de succès, les pirates peuvent aussi étiqueter la clé USB « important » ou « confidentiel ».

Si la victime se laisse appâter et branche la clé USB dans son ordinateur, celle-ci installe immédiatement un maliciel sur son PC. Ceci donne alors des informations au pirate sur ses activités en ligne et hors ligne, ainsi qu’un accès à ses fichiers et dossiers. Si l’ordinateur infecté fait partie d’un réseau, le pirate gagne aussi un accès immédiat à tous les appareils constituant le réseau.

  1. Pretexting

Le pretexting consiste en l’utilisation d’un prétexte attrayant conçu pour attirer l’attention de la cible et l’attraper. Une fois immergé dans l’histoire, le pirate auteur de l’attaque tente de duper la victime potentielle pour qu’elle lui fournisse des informations importantes. Ce type d’ingénierie sociale est fréquente dans les « arnaques nigériennes » par lesquelles un e-mail vous promet une grosse somme d’argent si vous fournissez vos informations bancaires. Si vous tombez dans le piège, vous ne verrez non seulement pas un sou mais pouvez même perdre l’argent présent dans votre compte.

  1. Pollupostage par contact

Le pollupostage par contact est peut-être la forme d’ingénierie sociale en ligne la plus répandue. Comme son nom l’indique, les pirates utilisent cette méthode pour envoyer des pourriels à tous les contacts de leurs victimes. Ces e-mails sont envoyés depuis la liste de contact de la victime, et semblent donc plus réalistes aux destinataires. Plus important encore, ils auront moins de chance de terminer dans le dossier « indésirables » de leur boîte de réception.

Cette méthode fonctionne de manière très simple. Si vous voyez un e-mail envoyé par l’un de vos amis portant un sujet informel (par exemple « Regarde ça ! »), il se peut que vous l’ouvriez pour y trouver un lien hypertexte). Ce lien est en général raccourci, il est donc impossible de savoir ce qu’il est sans cliquer dessus. Mais si vous cliquez dessus, une copie de cet e-mail sera envoyée à tous vos contacts, continuant ainsi la chaine de pourriel. Le lien peut aussi vous amener vers un site malveillant et télécharger un logiciel espion ou autre maliciel sur votre ordinateur.

  1. Quid Pro Quo

Cette expression latine signifie « quelque chose contre quelque chose ». Il s’agit d’un type d’ingénierie sociale basée sur un échange de services entre un pirate et sa victime innocente. Le plus souvent les pirates se font passer pour des techniciens informatiques et vous demandent vos identifiants de connexion pour effectuer une vérification de sécurité soi-disant importante. Ils peuvent aussi vous demander de désactiver votre logiciel antivirus ou installer un programme qu’ils vous envoient, leur donnant accès à votre ordinateur et leur donnant ainsi la possibilité d’installer un maliciel.

Exemples d’attaques par ingénierie sociale

Certaines des plus importantes attaques par ingénierie sociale de ces dernières années sont :

  • En 2017, plus d’un million d’utilisateurs de Google Docs ont reçu le même courriel d’hameçonnage les informant que l’un de leurs contacts était en train d’essayer de partager un document avec eux. En cliquant sur le lien contenu dans le courriel, ils étaient redirigés vers une fausse page de connexion Google Docs, sur laquelle un grand nombre des cibles ont saisi leurs identifiants Google. Ceci donna accès aux pirates à plus d’un million de comptes Google, y compris e-mails, contacts, documents en ligne et sauvegardes de téléphones portables.
  • En 2007, un trésorier du Michigan se laisse piéger par une escroquerie nigérienne de type « pretexting » selon laquelle un prince fictif souhaitait s’échapper du Nigéria mais avait besoin d’aide pour transférer sa fortune hors du pays. En quelques mois, le trésorier en question avait effectué plusieurs paiements pour un total de 185,000$ (dont 72,000$ de son argent personnel) aux pirates organisateurs de cette arnaque. Il fut plus tard révélé que le reste des fonds provenaient des 1,2 millions de dollars qu’il avait volés au cours de ses 13 années de service public.
  • En 2013, des pirates réussissent à voler les détails de carte de crédit de plus de 40 millions de clients du magasin Target. Selon le compte officiel, les pirates avaient d’abord effectué des recherches sur la société chargée de l’entretien de l’air conditionné de la chaine de supermarchés et ciblé ses employés par des courriels d’hameçonnage. Ceci leur avait permis d’accéder au réseau de Target et voler les informations de paiement des clients. Bien que l’auteur n’ait jamais été attrapé, Target avait dû payer 18,5 millions de dollars de dédommagement en 2017.

Comment vous protéger contre les attaques par ingénierie sociale

Étant donné que les pirates derrière les escroqueries par ingénierie sociale comptent dans la plupart des cas sur la gentillesse de leurs victimes, la meilleure manière de vous protéger est de ne pas avoir confiance en l’environnement en ligne. Il est certes important d’utiliser le meilleur logiciel antivirus mais vous devez aussi faire preuve de prudence sur internet.

Si quelqu’un vous envoie un e-mail prétextant qu’il est l’un de vos vendeurs ou partenaires commerciaux, vous devez téléphoner à leurs bureaux avant de répondre à l’e-mail ou ouvrir tout lien ou pièce jointe qu’il pourrait contenir. Aussi, si un e-mail supposément envoyé par un ami vous semble suspect, appelez l’ami en question et assurez-vous qu’il vous a bien envoyé ce message. Quelle que soit la personne avec laquelle vous échangez des messages, ne divulguez jamais vos détails de carte bancaire, informations bancaires, numéro de sécurité sociale ou autres informations confidentielles dans un e-mail.

Non content de manipuler vos émotions, les pirates tentent souvent de vous tromper pour vous amener à installer un maliciel sur votre ordinateur. En fonction du type de logiciel, ceci pourrait leur permettre de surveiller votre activité, copier et supprimer vos fichiers et autres données, mais aussi voler vos mots de passe, détails de carte de crédit et autres informations sensibles. Pour éviter une telle situation, vous devez utiliser le meilleur logiciel antivirus, qui trouvera et supprimera le maliciel et protègera votre ordinateur contre toutes les menaces potentielles.

Sources (en anglais)

 

Êtes-vous protégé?

Les pirates utilisent souvent des maliciels pour surveiller votre activité, accéder à vos fichiers et voler vos données. En matière de sécurité en ligne, ne laissez rien au hasard.