L’ingénierie sociale ou la faille humaine

Les spécialistes de l’informatique s’efforcent d’assurer la sécurité du modèle OSI à tous les niveaux. Cette importante fuite ne se situe en générale pas au sein du réseau mais concerne les individus en tant que tels. Ces attaques se servent en général des comportements ou de la personnalité particulière des utilisateurs tels que la serviabilité, la confiance, le respect, la fierté, la reconnaissance, la fuite des conflits ou l’anxiété dans le but de s’emparer de leurs accès informatiques. Cette méthode est appelée l’ingénierie sociale ou social engineering en anglais et entraîne plusieurs milliards de cas par an. Pour les entreprises, il est de fait essentiel de former ses salariés et de procéder à des lignes directrices claires en matière de comportement face aux informatiques confidentielles.

Même le mot de passe le plus sécurisé du monde n’est d’aucun secours face à des interlocuteurs aussi belliqueux. L’ingénierie sociale comprend diverses astuces sociales psychologiques utilisées en général dans le cadre de mission d’espionnage industriel dans le but de soutirer des informations importantes. Les attaquants utilisent ces dernières pour infiltrer des systèmes informatiques ou pour avoir accès à des informations sensibles sur des entreprises. On parle alors dans ce cas également de piratage social. Par ailleurs, l’ingénierie sociale est utilisée pour influencer les salariés à agir de manière irréfléchie. Il peut s’agit de l’installation d’un programme inconnu ou de transactions financières douteuses par exemple. Un contact direct entre l’attaquant et la victime n’est en soit pas obligatoire. Même les emails basés sur les modèles de hameçonnage (pishing) s’inspirent de l'ingénierie sociale. Nous pourrions citer en exemple l’appel d’une personne qui se veut administrateur de système et dont le but est de prendre votre mot de passe pour soi-disant régler un problème urgent.

L'idée de l'ingénierie sociale peut sembler banale mais s’avère bien plus complexe qu’elle n’en a l’air et comprend des méthodes d'infiltration extrêmement efficaces. Cela est dû à la fois aux côtés positifs et négatifs des personnalités de chaque internautes. L’hospitalité par exemple est une valeur primordiale dans la majorité des cultures et la maladie du « je ne sais pas dire non » est bien entendu extrêmement répandue. Certains peuvent se montrer coopératifs, par peur de mal répondre dans des situations inhabituelles.

La vidéo YouTube ci-dessous montre qu’un appel par une mère soi-disant débordée accompagnée de faux pleurs de bébé suffit à convaincre un interlocuteur à partager des données sensibles :

Mais ces qualités humaines ne sont pas les seuls facteurs utilisés par les auteurs de ces attaques. La fierté peut également être un moteur. Nous pourrions citer l’exemple d’un entretien d’embauche où le candidat se trouve en position (souvent) d’infériorité. Souvent, l’interlocuteur tendra à éviter le conflit et livrera des informations en toute connaissance de cause. La peur est le meilleur moteur pour ce genre de comportement. Il est fort probable qu’un particulier qui reçoit un appel provenant d’un soi-disant administrateur de sa ligne de téléphone donne ses informations personnelles si celui-ci le menace de la couper. Il est très facile d’intimider en prenant comme appui des notions techniques pointues que peu de personnes saisissent. La peur face à ses supérieurs peut également servir aux « social hackers » : l’email provenant d’un employeur qui demande de l’argent est bien connu.

Pour tromper leurs victimes, ces escrocs se font en général passer pour des collègues, des supérieurs hiérarchiques, des clients, voire des candidats du salarié de l’entreprise visée. Ils peuvent également prendre le rôle d’un conseiller téléphonique dont le travail est de mesurer la satisfaction de la clientèle ou d’effectuer une enquête au nom d’un organisme de recherche.

Ces ingénieurs sociaux ne se limitent pas nécessairement à des contacts uniques. Il est également possible de demander des services à la victime pendant un certain temps ou de la divertir en lui faisant la conversation. Le piratage est alors réel si une confiance est établie entre les deux protagonistes et que l’auteur de l’attaque réussit à rassembler un certain nombre d’informations. Il est fréquent qu’une telle entreprise exige une importante recherche en amont. Les sources d’informations sont les pages d’entreprises sur les réseaux sociaux tels que Facebook voire LinkedIn. Un autre degré d’attaque est le dumspter diving soit le « déchétarisme » en français dont la pratique est de fouiller dans les poubelles des entreprises visées dans le but de décrocher les documents confidentiels. 

L’ingénierie sociale est réalisée en générale par email ou par téléphone. Ce danger pour les entreprises de donner de telles informations confidentielles est aussi présent dans les lieux publics tels que dans les bars, les cafés ou les restaurants là où les salariés d’entreprise se sentent en sécurité et libérés de leur stress quotidien. Par ailleurs, une discussion par téléphone portable peut aussi s’avérer périlleuse étant donné que les conversations sont en général tenue en public, dans la rue, dans les parcs voire dans les transports en commun.

La solution logicielle d’ingénierie sociale se base sur des programmes malveillants et a pour but d’effrayer les internautes et de les inciter à commettre des actions non-désirées. On parle alors dans ce cas d’un rogue, soit Scareware en anglais. Les programmes de ce type disposent du modèle suivant : une menace est transmise à l’utilisateur via le logiciel et propose une solution pour y contrer. Le rogue est placé au préalable sur l’ordinateur de la victime. Les auteurs de ces attaques utilisent souvent des noms et des logos d’entreprises ou d’institutions relativement connus et dignes de confiance dans le but d’influencer leurs victimes et pour qu’elles installent le logiciel malveillant spontanément sur leurs ordinateurs.

C’est ainsi qu’un rogue peut se cacher dans un programme gratuit d’antivirus. Il propose à l’utilisateur des solutions pour résoudre des problèmes soi-disant détectés sur l’ordinateur, ces solutions ont la plupart du temps un coût. Dès que l’utilisateur paye, les alertes n’apparaissent plus.

L’intervention d’un rogue ne prévoit pas toujours d’infiltrer le système. La simple illusion de produit qui n’en n’est pas un suffit. Par exemple, la mesure de défense proposée par ce logiciel peut comprendre le téléchargement d’un cheval de Troie. En ce qui concerne une autre variante de cette attaque, le message d’erreur fictif ne s’affiche pas sur le site Internet mais sur le navigateur utilisé. Il est également possible de le voir sur des fenêtres pop-up qui imitent le design du système d’exploitation.

Pour protéger son entreprise de ces pratiques d’ingénierie sociale, il est important d’informer ses salariés de ce danger face aux informations confidentielles dont ils disposent. Cette sensibilisation à l’espionnage industrielle peut se faire lors d’une formation qui traite à la fois des méthodes d’attaques mais également des solutions pour les pallier. Il faut que chaque salarié soit conscient des informations sensibles dont il est en possession et de comment les sécuriser. 

Par ailleurs, il existe des procédures administratives standards qui assurent aux salariés des lignes directrices pour savoir comment réagir face à de telles situations. Il est clair que si les salariés ont déjà pour obligation de ne jamais divulguer leurs mots de passe par email ou par téléphone, il est certain que les ingénieurs sociaux auront du mal à s’en emparer.

L’ingénierie sociale repose sur les erreurs humaines ce qui induit que nul n’est à l’abri de ce danger. Les points suivants permettent de compliquer de manière considérable l’accès aux données sensibles :

• Se méfier des personnes extérieures à l’entreprise : plus l’entreprise est importante, plus il est facile pour les personnes tiers de s’infiltrer. Face à ce risque, il est important de rester vigilant et de ne pas se montrer trop ouverts. Il est conseillé d’accorder ces données sensibles à une petite poignée de salariés digne de confiance et dont l’identité demeure secrète.
  
  
• Informations par téléphone : il est conseillé de ne donner aucune information confidentielle par téléphone. Cela vaut avant tout pour les appels entrants et provenant de partenaires encore inconnus. Même les informations annexes peuvent aider les escrocs dans leurs démarches. Toute information quelle qu’elle soit présente un risque.
  
  
• Les emails provenant d’expéditeurs inconnus : si un expéditeur ne dévoile pas son identité, il est conseillé de faire attention. Les salariés d’une entreprise doivent dans tous les cas avertir leurs supérieurs hiérarchiques avant de répondre. Si la demande du message parait suspicieuse (effectuer un virement ou autre), il convient alors d’appeler l’expéditeur en question.
  
  
• Gare aux liens et aux pièces jointes dans les emails : il devient de plus en plus courant de recevoir des emails qui contiennent des liens vers des formulaires de saisie. Les escrocs utilisent ces techniques pour s’emparer de données de banque, des mots de passe voire des numéros clients. Pour le monde de l’entreprise, ce sont des pratiques courantes. En principe, les banques sérieuses, les boutiques en ligne ou les sociétés d’assurances n’exigent pas de leurs clients de telles informations. Il faut également prendre garde face aux pièces jointes. Il se peut que ces dernières présentent des programmes malveillants qui s’installeront en arrière-plan et qui s’empareront des données. Ce risque peut être minimisé en recommandant à vos salariés de n’ouvrir les emails qui ne proviennent que d’expéditeurs connus.
  
  
• Protection des données sur les réseaux sociaux : La préparation aux attaques d’ingénierie sociale doit se faire en amont. Au-delà du site Internet de l’entreprise, les réseaux sociaux présentent également une formidable source d’informations pour les escrocs du Net. En règle générale, il convient de demander aux salariés de configurer leurs profils pour qu’aucune information ne soit divulguée et de ne pas parler de leurs activités professionnelles sur ces plateformes.

La complexité de ce sujet et la diversité des méthodes d’attaque rend quasi impossible la prévention contre les risques d’ingénieries sociales. Néanmoins, il est recommandé de programmer régulièrement des formations sur le sujet afin de sensibiliser les salariés face à de telles menaces. En revanche, ces mesures de prévention ne doivent pas être trop restrictives car la réussite de l’entreprise peut en être influencée.