Ingénierie sociale
 

En quelques mots

L'ingénierie sociale ("social engineering") est une technique qui vise à accéder à des informations confidentielles ou à certains actifs par la manipulation de personnes qui y ont accès directement ou indirectement. Le « phishing » (hameçonage) est un exemple d'ingénierie sociale.

L'ingénierie sociale ne s’applique pas seulement au domaine de l’informatique, elle peut survenir dans la vie de tous les jours et plus particulièrement sur le lieu de travail. A partir du moment où des actifs ayant un certain intérêt sont en jeu, des attaques de ce type peuvent apparaître.

Le facteur humain est le point central des techniques d’attaque rencontrées dans l'ingénierie sociale. En essence il s'agit de la manipulation intelligente de notre propension naturelle à faire confiance. Des relations de confiance ne reposant sur rien de concret sont mises en place de manière calculée, mais le plus souvent par simple discussion, et exploitées par la suite pour tirer un maximum de profit de la situation.

L'ingénierie sociale peut se faire via téléphone, courrier électronique, via des réseaux sociaux et bien sûr en présence physique de l'attaquant.





Comment ça marche?

Les techniques d'ingénierie sociale exploitent certaines vulnérabilités humaines et des vulnérabilités liées à l'organisation au sein de l'entité visée. Il est en effet dans la nature humaine de vouloir aider son prochain et d’accorder sa confiance aux personnes polies et d'un abord sympathique, même s'il s'agit de parfaits inconnus. Tout dépend de la situation et de la manière utilisée par le ou les malfaiteur(s) pour se présenter à nous. Bien souvent même, une simple demande, posée de façon directe par l'agresseur, peut suffire à inciter la victime de répondre sincèrement.

L’attaque vise à faire exécuter à une personne une action qu’elle n’aurait pas faite en temps normal ; la motivation de l’attaquant étant d’obtenir une information qu’il ne contrôle pas. Dans un monde de plus en plus informatisé, ceci se résume le plus souvent (mais ne se limite pas), à l’obtention de données d’authentification.

Un attaquant peut, par exemple, tenter en premier lieu d’établir une relation de confiance avec un membre du personnel avec qui il va passer un certain temps à rechercher des informations sur l’entreprise visée. Il n’est donc pas rare de rencontrer des attaquants ayant une connaissance approfondie du jargon employé dans le métier de l’entreprise et des procédures mises en place par celle-ci. Ceci facilite les prises de contact en interne et permet de faire passer plus aisément des requêtes qui, sinon, auraient pu paraître suspectes.

Du point de vue de l’employé, celui-ci se trouve face à une personne qui semble avertie des procédures internes et utilisant un jargon commun. Dans une grande entreprise où il est difficile de connaître tout le monde, l’employé n’a pas de raison d’être soupçonneux et finit souvent par coopérer. Pensant peut-être bien faire son travail, il n’a pas de raison de refuser son aide à ce qu’il pense être un collègue.

Bien souvent, la victime se rend compte de la supercherie après l’action, à un moment où l’attaquant a déjà quitté les lieux sans laisser de traces, mais avec de précieuses informations en sa possession.

D’autres approches sont également possibles, notamment en ce qui concerne la manière de récupérer des indices menant à des informations. L’attaquant peut se présenter comme chargé d’enquêter sur le domaine d’activité de la personne ou de l'entité ciblée. Il peut notamment poser toute une série de questions anodines parmi lesquelles se cache celle dont la réponse l’intéresse tout particulièrement.

L’attaquant peut aussi adopter une stratégie tout à fait différente, en mettant par exemple sa victime dans une impasse et se présenter ensuite comme celui qui peut résoudre la situation. Dans la plupart des cas, la victime se montrera coopérative et répondra sans broncher aux questions précises de l’attaquant.

Mesures de protection

Mesures comportementales

  • Avant de préparer un voyage de service, consultez le programme be-safe du Ministère de l'Économie et du Commerce extérieur

  • Dans vos réseaux sociaux, ne révélez pas d'informations internes concernant votre travail ou entreprise

  • Ne répondez pas à des demandes illicites d'informations (que ce soit en présence physique, par téléphone

  • toute information, même paraissant insignifiante, doit être considérée comme importante et donc protégée.

  • Soyez également vigilant quant aux sondages et quiz semblant anodins sur Internet.

  • Soyez prudent dès qu'une personne que vous ne connaissez pas devient trop curieuse. Même si les questions ne se rapportent pas directement à des informations confidentielles.

  • Ne cliquez pas sur les liens dans les e-mails ou les réseaux sociaux, que vous n'avez pas attendu ou que vous trouvez douteux. En cas de doute, contactez l'expéditeur (supposé) et renseignez-vous sur la légitimité de l'e-mail (Voir aussi : e-mail - bonnes pratiques; logiciels malveillants: bonnes pratiques).

  • Ne divulguez à personne vos identifiants ni votre mot de passe pour l'accès à Internet et les systèmes informatiques, même si la demande semble très crédible. Le département informatique de votre société n'en a pas besoin et ne vous les demandera jamais. Il est de même pour les banques, les boutiques en ligne ou autres services qui vous demanderaient des informations par e-mail.

  • N'exécutez jamais des commandes qu'une personne inconnue vous demande de faire, que ce soit par téléphone, e-mail ou en contact direct si ces commandes concernent des informations sensibles.

  • En cas de doute, vérifiez l'identité de votre correspondant téléphonique ou informatique. Au téléphone, vous pourriez p.ex. demander le numéro de téléphone à votre correspondant et le rappeler après avoir vérifié son numéro. Cette mesure de prévention permet de savoir si votre correspondant dispose en effet d'un accès autorisé à la connexion téléphonique à partir de laquelle il vous a appelé.

  • En cas de situation douteuse, ne prenez pas de décisions impulsives. Gagnez du temps pour réfléchir, vous vous dégagez ainsi de la pression de l'agresseur. Sans mauvaise conscience, dites à un correspondant inconnu de vous rappeler le lendemain, vous aurez ainsi le temps de bien réfléchir et de résoudre le problème en toute tranquillité.

  • Déconnectez-vous toujours des sites Web et d'autres pages en ligne à l'aide du bouton prévu à cet effet. Si vous ne vous déconnectez pas manuellement d'une page, la session peut rester ouverte et donc facile d'accès aux agresseurs.

  • N'ouvrez jamais un fichier joint à un e-mail d'un expéditeur inconnu ou douteux. Il est de même pour les fichiers des sites Web suspects. De telles pièces jointes peuvent contenir des chevaux de Troie qui permettent à un agresseur d'avoir accès à tous les fichiers et données sauvegardés sur votre ordinateur (Voir aussi : e-mail - bonnes pratiques; logiciels malveillants: bonnes pratiques).

  • Ne laissez jamais trainer des documents en papier contenant des informations sensibles à la vue de tous. Il est de même pour les documents dans la poubelle. Rendez illisibles les documents dont vous n'avez plus besoin.