L’ingénierie sociale, parfois appelée la science et l’art du piratage humain, est devenue très populaire ces derniers temps étant donné la croissance exponentielle des réseaux sociaux, des messageries par e-mail et autres formes de communication électronique. Dans le domaine de la sécurité de l’information, ce terme est très utilisé pour faire référence à toute une série de techniques utilisées par les criminels qui souhaitent manipuler leurs cibles dans l’objectif d’obtenir certaines informations sensibles ou de les convaincre de réaliser certaines actions qui pourraient sérieusement compromettre leurs systèmes.
Même aujourd’hui avec autant de produits de sécurité disponible, l’utilisateur final reste la clé du royaume. Qu’il s’agisse d’identifiants (nom d’utilisateur et mot de passe), d’un numéro de carte bancaire ou d’informations sur un compte bancaire, la plupart du temps, le maillon faible de la chaîne n’est pas technologique mais humain et quand la manipulation psychologique est en marche, il est extrêmement important de connaitre les pièges qui sont utilisés de nos jours et de comprendre comment ils fonctionnent afin de les éviter.
L’ingénierie sociale n’est pas nouvelle et elle existe depuis toujours, avec des ingénieurs célèbres tels que Kevin Mitnick ou Frank Abagnale qui sont désormais de célèbres consultants en sécurité. Nous pouvons donc voir à quel point la transformation de criminel à « guru white hat » est possible. Frank Abagnale, par exemple, fut l’un des artistes les plus célèbres grâce à sa capacité à créer de multiples entrées, à forcer les systèmes de vérification et à piéger les gens pour qu’ils communiquent les informations dont il avait besoin pour continuer son arnaque. Si vous avez vu le film « Attrape-moi si tu peux« , vous obtiendrez un bon aperçu de ce qu’un ingénieur sociale peut faire quand il a une idée en tête. Mais n’oubliez pas, un ingénieur social ne repose pas forcément seulement sur des arnaques techniques ou informatiques pour obtenir des informations, vous devez donc faire très attention aux signes suspects dans vos activités quotidiennes. Par exemple, vous pourriez révéler votre mot de passe par téléphone. Il n’est pas conseillé de communiquer votre mot de passe à qui que ce soit, néanmoins, la perspective change quand vous recevez un appel du « support technique » de votre entreprise, tôt le dimanche matin, vous demandant de passez au bureau pour réaliser quelques mises à jours techniques sur votre ordinateur. Vous donnerez alors votre mot de passe à votre « administrateur réseaux », et pire, vous lui direz même « merci » ! Peut-être que vous êtes trop prudent pour cela, mais ce n’est certainement pas le cas de tous vos collègues.
La plupart des cybercriminels ne dépensent pas beaucoup de temps à essayer des piratages technologiquement complexes quand il savent qu’il est bien plus simple d’utiliser l’ingénierie sociale pour arriver à leurs fins. De plus, il existe même des sites Web avec des informations très utiles pour en apprendre davantage sur ce type de techniques et pourquoi elles sont si efficaces pour piéger les gens. L’un d’entre eux est SocialEngineer.org, un site qui fournit une base très utile pour apprendre la théorie qui explique pourquoi chaque type d’attaque fonctionne et qui fournit de vrais exemples qui illustrent les définitions et les concepts mentionnés précédemment.
Nous utilisons le langage parlé tous les jours pour nous influencer les uns et les autres sans nous en apercevoir. Du point de vue d’un ingénieur social, le langage a certains défauts car il est lié à notre expérience subjective d’un événement duquel nous pouvons supprimer certaines parties, modifier des éléments ou même réaliser des généralisations. La programmation neuro-linguistique (PNL), bien qu’inventée dans un but thérapeutique, est considérée de nos jours comme une forme avancée d’hypnose utilisée par de nombreux ingénieurs sociaux comme un outil pour influencer et manipuler leurs victimes afin de les pousser à réaliser des actions, à communiquer des informations confidentielles, à désactiver une mesure de sécurité ou tout ce que l’on pourrait imaginer comme première étape vers une potentielle intrusion.
Bien que le lien entre la psychologie et le piratage semble un peu tiré par les cheveux, la triste réalité est que les attaques en ligne sont basées autour des mêmes principes que ceux des attaques hors ligne. Nous possédons tous un désir de réciprocité (si je vous fais une faveur, vous m’en ferez certainement une aussi), de reconnaissance sociale (vous croyez le jugement de la majorité), d’autorité (vous ferez confiance à la police, à un médecin, à un employé du support technique ou à toute personne issue d’un rang hiérarchique plus haut, etc.). Il s’agit de manières universelles de construire une relation avec les autres et de satisfaire nos besoins humains élémentaires. Un ingénieur social connait les boutons à pousser pour obtenir de nous la réponse désirée en créant un contexte (un cadre) qui permet de rendre une histoire inventée plausible afin de leur permettre de contrôler l’interaction. Contourner notre processus de pensée rationnelle n’est pas difficile pour les individus très talentueux et il leur suffit d’une fraction de secondes pour qu’ils obtiennent l’avantage dont ils ont besoin pour obtenir ce qu’ils veulent.
Néanmoins, dans cet article, nous nous concentrerons principalement sur les différentes techniques utilisées par les cybercriminels pour réaliser leurs activités afin d’obtenir des informations illégales et de profiter de la bonne foi de leurs victimes. Comme mentionné précédemment, les principes utilisées en ligne sont les même que ceux utilisés dans la vraie vie mais Internet étant un moyen de distribution de l’information gigantesque, un simple e-mail d’hameçonnage par exemple, peut être envoyé à des millions de destinataires en quelques instants seulement, rendant ce genre d’attaques un jeu de nombres. Même si seulement un petit nombre de victimes tombe dans le piège, cela rapportera tout de même un énorme bénéfice au groupe criminel ou à l’individu responsable de l’attaque.
Aujourd’hui, l’une des méthodes les plus communes pour obtenir des informations confidentielles est l’hameçonnage (ou phishing). L’hameçonnage peut être décrit comme une sorte de fraude informatique qui utilise les principes de l’ingénierie sociale dans le but d’obtenir des informations privées sur la victime. Le cybercriminel utilise souvent des e-mails, des messageries instantanées ou des SMS pour diffuser le message malveillant qui persuadera la victime de révéler ses informations directement ou de réaliser une action (entrer dans un faux site Web, cliquer sur un lien de téléchargement malveillant, etc.), ce qui permettra au criminel de poursuivre son plan malintentionné.
Nous observons une évolution dans les malwares qui va de pair avec l’ingénierie sociale. Avant, les infections étaient assez évidentes car elles affichaient des boîtes de message, des icônes, des images, etc., tout ce qui pouvait permettre à l’auteur de revendiquer sa création. Mais de nos jours, il n’est pas rare de trouver des malwares qui accèdent à l’ordinateur de la victime grâce à des techniques d’ingénierie sociale et qui restent cachés jusqu’à ce qu’ils aient besoin d’exécuter un code malveillant. L’éternel jeu du chat et de la souris se joue entre les criminels et les entreprises de sécurité qui essaient d’inculquer aux utilisateurs les mécanismes de défense fondamentaux en les informant des dernières tendances et menaces qui existent actuellement.
On trouve de nombreux malwares qui reposent sur l’ingénierie sociale pour réussir leurs attaques. Parmi les plus populaires, on trouve les fausses mises à jour de Flash Player, les fichiers exécutables intégrés dans des documents Word, les copies de navigateurs légitimes de mauvaise qualité tels qu’Internet Explorer et bien d’autres.
La plupart des exemples d’attaques cités ici ciblent le public latino américain, principalement car ces types de menaces technologiques ne sont pas bien connus dans cette région et si nous ajoutons le fait que la plupart des ordinateurs utilisent des systèmes plus anciens, cela donne au cybercriminel de nombreuses opportunités. Ce n’est que récemment que les mesures de sécurité des systèmes bancaires en ligne ont été renforcées mais il existe encore des failles qui peuvent permettre de réussir des attaques d’ingénierie sociale en Amérique du Sud.
D’autres attaques sont plus populaires dans la région, même si elles ne tombent pas réellement dans la catégorie des fraudes informatiques. Une arnaque connue sous le nom de « kidnapping virtuel » utilise des tactiques d’ingénierie sociale en affirmant qu’un membre de la famille de la victime a été kidnappé et qu’une rançon doit être immédiatement payée afin d’assurer sa sécurité et sa libération. Le pirate profite de la panique et de la peur de la victime pour arriver à ses fins alors que la victime ne se rend même pas compte que personne n’a en fait été kidnappé. En Amérique latine, où ce type de crime est commun, les criminels gagnent beaucoup d’argent en utilisant ce genre de stratégie qui exploite les traits caractéristiques du comportement humain.
En outre, il est important de garder à l’esprit que n’importe quel information que vous postez publiquement en ligne (Facebook, Twitter, Foursquare, etc.) est susceptible de fournir aux pirates des informations lui permettant de savoir où vous êtes et qui vous êtes. Les attaques ciblées (spear-phishing) sont moins communes mais si vous publiez des informations de valeur, encore une fois, vous pourriez rendre la vie des cybercriminels bien plus facile. Même une liste d’envies Amazon pourrait être la source d’une attaque d’ingénierie sociale à grande échelle.
Comme cela a été mentionné précédemment, vous devez obligatoirement disposer d’un logiciel de sécurité complet installé sur votre ordinateur si vous réalisez des activités en ligne (et il y a de grandes chances pour que ça soit le cas). En outre, restez informé des dernières menaces et astuces de l’ingénierie sociale pourrait vous donner une longueur d’avance et vous éviter d’être à votre tour victime de ce genre d’attaques (en ligne ou hors ligne). Souvenez-vous que tous les gadgets technologiques ainsi que les mécanismes de défense ne servent à rien si vous ne savez pas les utiliser et que vous n’êtes pas au courant de ce que les pirates sont capables de faire. Le crime évolue et vous devriez faire de même : de nos jours, être un peu paranoïaque peut s’avérer très utile.