Les spécialistes de l’informatique s’efforcent d’assurer la sécurité du modèle OSI à tous les niveaux. Cette importante fuite ne se situe en générale pas au sein du réseau mais concerne les individus en tant que tels. Ces attaques se servent en général des comportements ou de la personnalité particulière des utilisateurs tels que la serviabilité, la confiance, le respect, la fierté, la reconnaissance, la fuite des conflits ou l’anxiété dans le but de s’emparer de leurs accès informatiques. Cette méthode est appelée l’ingénierie sociale ou social engineering en anglais et entraîne plusieurs milliards de cas par an. Pour les entreprises, il est de fait essentiel de former ses salariés et de procéder à des lignes directrices claires en matière de comportement face aux informatiques confidentielles.
Même le mot de passe le plus sécurisé du monde n’est d’aucun secours face à des interlocuteurs aussi belliqueux. L’ingénierie sociale comprend diverses astuces sociales psychologiques utilisées en général dans le cadre de mission d’espionnage industriel dans le but de soutirer des informations importantes. Les attaquants utilisent ces dernières pour infiltrer des systèmes informatiques ou pour avoir accès à des informations sensibles sur des entreprises. On parle alors dans ce cas également de piratage social. Par ailleurs, l’ingénierie sociale est utilisée pour influencer les salariés à agir de manière irréfléchie. Il peut s’agit de l’installation d’un programme inconnu ou de transactions financières douteuses par exemple. Un contact direct entre l’attaquant et la victime n’est en soit pas obligatoire. Même les emails basés sur les modèles de hameçonnage (pishing) s’inspirent de l'ingénierie sociale. Nous pourrions citer en exemple l’appel d’une personne qui se veut administrateur de système et dont le but est de prendre votre mot de passe pour soi-disant régler un problème urgent.
L'idée de l'ingénierie sociale peut sembler banale mais s’avère bien plus complexe qu’elle n’en a l’air et comprend des méthodes d'infiltration extrêmement efficaces. Cela est dû à la fois aux côtés positifs et négatifs des personnalités de chaque internautes. L’hospitalité par exemple est une valeur primordiale dans la majorité des cultures et la maladie du « je ne sais pas dire non » est bien entendu extrêmement répandue. Certains peuvent se montrer coopératifs, par peur de mal répondre dans des situations inhabituelles.
La vidéo YouTube ci-dessous montre qu’un appel par une mère soi-disant débordée accompagnée de faux pleurs de bébé suffit à convaincre un interlocuteur à partager des données sensibles :
Afin de protéger votre vie privée, la vidéo ne se chargera qu'après votre clic.
Mais ces qualités humaines ne sont pas les seuls facteurs utilisés par les auteurs de ces attaques. La fierté peut également être un moteur. Nous pourrions citer l’exemple d’un entretien d’embauche où le candidat se trouve en position (souvent) d’infériorité. Souvent, l’interlocuteur tendra à éviter le conflit et livrera des informations en toute connaissance de cause. La peur est le meilleur moteur pour ce genre de comportement. Il est fort probable qu’un particulier qui reçoit un appel provenant d’un soi-disant administrateur de sa ligne de téléphone donne ses informations personnelles si celui-ci le menace de la couper. Il est très facile d’intimider en prenant comme appui des notions techniques pointues que peu de personnes saisissent. La peur face à ses supérieurs peut également servir aux « social hackers » : l’email provenant d’un employeur qui demande de l’argent est bien connu.
Pour tromper leurs victimes, ces escrocs se font en général passer pour des collègues, des supérieurs hiérarchiques, des clients, voire des candidats du salarié de l’entreprise visée. Ils peuvent également prendre le rôle d’un conseiller téléphonique dont le travail est de mesurer la satisfaction de la clientèle ou d’effectuer une enquête au nom d’un organisme de recherche.
Ces ingénieurs sociaux ne se limitent pas nécessairement à des contacts uniques. Il est également possible de demander des services à la victime pendant un certain temps ou de la divertir en lui faisant la conversation. Le piratage est alors réel si une confiance est établie entre les deux protagonistes et que l’auteur de l’attaque réussit à rassembler un certain nombre d’informations. Il est fréquent qu’une telle entreprise exige une importante recherche en amont. Les sources d’informations sont les pages d’entreprises sur les réseaux sociaux tels que Facebook voire LinkedIn. Un autre degré d’attaque est le dumspter diving soit le « déchétarisme » en français dont la pratique est de fouiller dans les poubelles des entreprises visées dans le but de décrocher les documents confidentiels.
L’ingénierie sociale est réalisée en générale par email ou par téléphone. Ce danger pour les entreprises de donner de telles informations confidentielles est aussi présent dans les lieux publics tels que dans les bars, les cafés ou les restaurants là où les salariés d’entreprise se sentent en sécurité et libérés de leur stress quotidien. Par ailleurs, une discussion par téléphone portable peut aussi s’avérer périlleuse étant donné que les conversations sont en général tenue en public, dans la rue, dans les parcs voire dans les transports en commun.
La solution logicielle d’ingénierie sociale se base sur des programmes malveillants et a pour but d’effrayer les internautes et de les inciter à commettre des actions non-désirées. On parle alors dans ce cas d’un rogue, soit Scareware en anglais. Les programmes de ce type disposent du modèle suivant : une menace est transmise à l’utilisateur via le logiciel et propose une solution pour y contrer. Le rogue est placé au préalable sur l’ordinateur de la victime. Les auteurs de ces attaques utilisent souvent des noms et des logos d’entreprises ou d’institutions relativement connus et dignes de confiance dans le but d’influencer leurs victimes et pour qu’elles installent le logiciel malveillant spontanément sur leurs ordinateurs.
C’est ainsi qu’un rogue peut se cacher dans un programme gratuit d’antivirus. Il propose à l’utilisateur des solutions pour résoudre des problèmes soi-disant détectés sur l’ordinateur, ces solutions ont la plupart du temps un coût. Dès que l’utilisateur paye, les alertes n’apparaissent plus.
L’intervention d’un rogue ne prévoit pas toujours d’infiltrer le système. La simple illusion de produit qui n’en n’est pas un suffit. Par exemple, la mesure de défense proposée par ce logiciel peut comprendre le téléchargement d’un cheval de Troie. En ce qui concerne une autre variante de cette attaque, le message d’erreur fictif ne s’affiche pas sur le site Internet mais sur le navigateur utilisé. Il est également possible de le voir sur des fenêtres pop-up qui imitent le design du système d’exploitation.
Pour protéger son entreprise de ces pratiques d’ingénierie sociale, il est important d’informer ses salariés de ce danger face aux informations confidentielles dont ils disposent. Cette sensibilisation à l’espionnage industrielle peut se faire lors d’une formation qui traite à la fois des méthodes d’attaques mais également des solutions pour les pallier. Il faut que chaque salarié soit conscient des informations sensibles dont il est en possession et de comment les sécuriser.
Par ailleurs, il existe des procédures administratives standards qui assurent aux salariés des lignes directrices pour savoir comment réagir face à de telles situations. Il est clair que si les salariés ont déjà pour obligation de ne jamais divulguer leurs mots de passe par email ou par téléphone, il est certain que les ingénieurs sociaux auront du mal à s’en emparer.
L’ingénierie sociale repose sur les erreurs humaines ce qui induit que nul n’est à l’abri de ce danger. Les points suivants permettent de compliquer de manière considérable l’accès aux données sensibles :
La complexité de ce sujet et la diversité des méthodes d’attaque rend quasi impossible la prévention contre les risques d’ingénieries sociales. Néanmoins, il est recommandé de programmer régulièrement des formations sur le sujet afin de sensibiliser les salariés face à de telles menaces. En revanche, ces mesures de prévention ne doivent pas être trop restrictives car la réussite de l’entreprise peut en être influencée.
Pourriez-vous donner votre numéro de compte à un étranger ? Certainement pas. Mais c'est exactement ce que nous faisons lorsque nous sécurisons nos comptes bancaires en ligne ou nos accès Amazon avec des mots de passe qui ne résistent pas une fraction de seconde à une simple attaque de hacker. Pour créer et gérer des mots de passe véritablement sécurisés, il vaut donc la peine d'utiliser un...
Il suffit parfois de quelques secondes pour qu’un hacker puisse pirater vos données privées, sans même que vous ne le remarquiez. Et pour cause : votre mot de passe personnel est généralement votre seule protection pour accéder à vos services en ligne. Bien trop souvent, les internautes décident de choisir un mot de passe facile à retenir, et donc rapide à pirater. Il existe pourtant de nombreuses...
Une décision d’achat est rarement spontanée. En général, les acheteurs traversent une phase de décision, lors de laquelle le rôle de l’entreprise est de mettre en place des incitations pour les amener à finaliser le processus d’achat. Ceci fonctionne mieux si l’entreprise et les produits offrent une image digne de confiance, particulièrement sur les réseaux sociaux où le groupe cible vient...
Offrez un service performant et fiable à vos clients avec l'hébergement web de 1&1 IONOS.
