Qu’est-ce que l’ingénierie sociale ?
Lorsque nous pensons à la cybersécurité, la plupart d’entre nous pensent aux mesures de défense contre les pirates informatiques qui utilisent les faiblesses technologiques pour attaquer les réseaux de données. Cependant, il existe une autre façon de s’introduire dans les organisations et les réseaux : profiter des faiblesses humaines. C’est ce qu’on appelle l’ingénierie sociale, une technique qui permet d’accéder à des informations ou à des réseaux de données grâce à une technique de manipulation.
Par exemple, un intrus peut se présenter comme le personnel du service d’assistance informatique et demander aux utilisateurs de fournir des données, comme leurs noms d’utilisateur et leurs mots de passe. Il est surprenant de constater le nombre de personnes qui fournissent ces informations sans réfléchir, surtout si ces renseignements semblent être demandés par un représentant officiel.
Autrement dit, l’ingénierie sociale consiste à tromper une personne pour la manipuler de manière à accéder à des informations ou à des données ou de manière à ce que l’utilisateur divulgue celles-ci.
Les types d’attaques d’ingénierie sociale
Il existe différents types d’attaques d’ingénierie sociale. Il est important de comprendre la définition de l’ingénierie sociale ainsi que le fonctionnement de celle-ci. Une fois que le modus operandi général est défini, il est beaucoup plus facile de reconnaître des attaques d’ingénierie sociale.
Technique de l’appât
La technique de l’appât consiste à créer un piège, par exemple une clé USB contenant des logiciels malveillants. Lorsque quelqu’un est curieux de voir ce qui se trouve sur la clé, il connecte celle-ci à son lecteur USB, ce qui entraîne la contamination du système. Il existe en fait une clé USB qui permet de détruire les ordinateurs. Une fois insérée, elle se charge avec l’énergie du lecteur USB et la libère sous forme d’une surtension féroce, endommageant ainsi l’appareil dans lequel elle a été insérée. (Une telle clé USB coûte 54 dollars.)
Prétexte
Cette attaque utilise un prétexte pour attirer l’attention et inciter la victime à fournir des informations. Par exemple, un sondage sur Internet peut sembler tout à fait innocent au début, mais peut ensuite demander les détails d’un compte bancaire. Une personne munie d’un porte-bloc pourrait également se présenter et vous dire qu’elle effectue un contrôle des systèmes internes. Toutefois, il se peut qu’elle ne soit pas la personne qu’elle prétend être et qu’elle cherche à vous voler des informations précieuses.
Hameçonnage
Les attaques d’hameçonnage utilisent un email ou un message textuel qui prétend provenir d’une source fiable et qui demande des informations. Un exemple bien connu : un email est prétendument envoyé par une banque, qui veut que ses clients confirment leurs informations de sécurité et qui dirige les utilisateurs vers un faux site où leurs informations d’identification seront enregistrées. Le harponnage vise une seule personne au sein d’une entreprise. Cette pratique consiste à envoyer un email censé provenir d’un cadre supérieur de l’entreprise et qui demande des informations confidentielles.
Hameçonnage vocal et hameçonnage par SMS
Ces types d’attaques d’ingénierie sociale sont des variantes de l’hameçonnage : l’« hameçonnage » consiste simplement à appeler une personne et à lui demander de communiquer des données. Le malfaiteur peut se faire passer pour un collègue de travail, en se présentant par exemple comme un membre du service d’assistance informatique, et demander des identifiants de connexion. L’hameçonnage par SMS utilise des messages texte SMS pour tenter d’obtenir ces informations.
Quid pro quo
L’expression dit : « échange équitable n’est pas vol ». Toutefois, il s’agit bien d’un vol dans ce cas-ci. De nombreuses attaques d’ingénierie sociale font croire aux victimes qu’elles obtiennent quelque chose en échange des données ou de l’accès qu’elles fournissent. Les « faux logiciels de sécurité » fonctionnent de cette manière. Ils promettent aux utilisateurs une mise à jour pour corriger un problème de sécurité urgent, alors qu’en fait, ce sont les logiciels eux-mêmes qui représentent la menace de sécurité.
Envoi de spams et piratage de messageries électroniques
Ce type d’attaque implique le piratage des comptes de messageries ou des réseaux sociaux d’une personne pour accéder à ses contacts. Les contacts peuvent recevoir un message indiquant que cette personne a été agressée et qu’elle a perdu toutes ses cartes de crédit. Ensuite, elles seront invitées à effectuer un virement sur un compte de transfert d’argent. Ou encore, une personne qui prétend être un ami peut envoyer une « vidéo à voir obligatoirement » qui redirige vers un logiciel malveillant ou vers un cheval de Troie enregistreur de frappe.
Exploitation ou chasse
Il faut savoir que certaines attaques d’ingénierie sociale sont beaucoup plus développées. La plupart des stratégies que nous avons décrites sont une forme de « chasse ». En bref, il s’agit d’entrer, de saisir l’information et de sortir.
Cependant, certains types d’attaques d’ingénierie sociale consistent à établir une relation avec la cible afin d’extraire plus d’informations sur une période plus longue. Cette méthode est appelée « exploitation » (farming) et est plus risquée pour l’attaquant, car les chances d’être découvert sont plus élevées. Toutefois, si l’infiltration réussit, elle peut permettre d’obtenir beaucoup plus d’informations.
Comment échapper aux attaques d’ingénierie sociale ?
Les attaques d’ingénierie sociale sont particulièrement difficiles à neutraliser, car elles sont conçues pour agir sur des qualités humaines naturelles, comme la curiosité, le respect de l’autorité et le désir d’aider ses amis. Voici quelques conseils qui peuvent aider à détecter les attaques d’ingénierie sociale…
Vérifier la source
Réfléchissez un instant à la source de l’information et ne vous y fiez pas aveuglément. Une clé USB apparaît sur votre bureau, et vous ne savez pas d’où elle vient ? Un appel soudain révèle que vous avez hérité de 5 millions de dollars ? Un email du PDG de votre entreprise vous demande une série d’informations sur des employés ? Tous ces éléments semblent suspects et doivent être traités avec prudence.
Il n’est pas difficile de vérifier la source. Par exemple, dans le cas d’un email, examinez l’en-tête de l’email et comparez-le à celui d’emails reçus et vérifiés du même expéditeur. Regardez où mènent les liens. Les hyperliens usurpés sont faciles à repérer. Il suffit de les survoler avec votre souris (mais ne cliquez pas sur les liens !) Vérifiez l’orthographe : les banques emploient un ensemble de personnes qualifiées qui se consacrent à la rédaction des communications avec les clients, donc un email comportant des erreurs flagrantes est probablement faux.
En cas de doute, consultez le site officiel et prenez contact avec un représentant officiel, qui pourra vous confirmer que l’email ou le message est officiel.
De quelles informations disposent-ils ?
La source ne détient pas des informations qu’elle est censée connaître, comme votre nom complet, etc. ? Sachez que quand une banque vous appelle, le représentant devrait avoir toutes vos données sous les yeux. En plus de cela, il vous posera toujours des questions de sécurité avant de procéder à tout changement sur votre compte. Si ce n’est pas le cas, il y a de fortes chances que ce soit un faux email/appel/message, et vous devez vous méfier.
Échapper au piège
Les méthodes de l’ingénierie sociale reposent sur un sentiment d’urgence. Les attaquants attendent de leurs cibles qu’elles ne se posent pas trop de questions sur la situation. Un moment de réflexion peut ainsi prévenir des attaques ou dévoiler la fausse identité de l’appelant.
Appelez le numéro officiel ou consultez le site officiel, plutôt que de communiquer des données par téléphone ou de cliquer sur un lien. Utilisez un autre mode de communication pour vérifier la crédibilité de la source. Par exemple, si vous recevez un email d’un ami vous demandant de transférer de l’argent, envoyez-lui un SMS sur son téléphone portable ou appelez-le pour vérifier qu’il s’agit bien de lui.
Demander une preuve d’identité
L’une des attaques d’ingénierie sociale les plus faciles consiste à contourner la sécurité pour entrer dans un bâtiment en transportant une grosse boîte ou une pile de documents. Après tout, une personne bienveillante tiendra la porte et laissera passer le fraudeur. Ne vous laissez pas avoir. Demandez toujours une preuve d’identité.
Le même principe s’applique aux autres méthodes. Toute demande d’informations devrait être suivie d’une vérification du nom et du numéro d’identité de la personne qui appelle ou de la question « Quel organisme représentez-vous ? ». Il suffit ensuite de consulter l’organigramme de l’organisation ou l’annuaire téléphonique avant de communiquer des informations privées ou des données personnelles. Si vous ne connaissez pas la personne qui réclame les informations et si vous hésitez encore à les lui transmettre, dites-lui que vous devez vérifier son identité auprès d’une autre personne et que vous la rappellerez.
Use a good spam filter
If your email program isn't filtering out enough spam or marking emails as suspicious, you might want to alter the settings. Good spam filters use various kinds of information to determine which emails are likely to be spam. They might detect suspicious files or links, they may have a blacklist of suspicious IP addresses or sender IDs, or they may analyze the content of messages to determine which are likely to be fake.
Est-ce réaliste?
Certaines attaques d’ingénierie sociale visent à vous tromper en vous empêchant d’analyser la situation. Prendre le temps d’évaluer si une situation est réaliste peut aider à détecter de nombreuses attaques.
Par exemple:
- Si votre ami était vraiment bloqué en Chine sans aucun moyen de partir, vous enverrait-il simplement un e-mail ou essaierait-il aussi de vous appeler ou de vous envoyer un message?
- Est-il probable qu’un prince nigérian vous ait légué un million de dollars dans son testament?
- Une banque vous appellerait-elle pour vous demander vos informations bancaires ?
En réalité, de nombreuses banques précisent lorsqu’elles envoient un e-mail à leurs clients ou les contactent par téléphone. Donc, en cas de doute, vérifiez toujours!
Ne vous précipitez pas.
Soyez particulièrement vigilant lorsque vous ressentez un sentiment d’urgence dans une conversation. C’est une technique courante utilisée par les acteurs malveillants pour empêcher leurs cibles de réfléchir à la situation.Most of the time, social engineers won't push their luck if they realize they've lost the advantage of surprise.
Si vous vous sentez sous pression, ralentissez les choses. Dites que vous avez besoin de temps pour obtenir les informations, que vous devez consulter votre supérieur, que vous n’avez pas les bons détails avec vous pour le moment — n’importe quelle excuse pour gagner du temps et réfléchir. La plupart du temps, les ingénieurs sociaux n’insisteront pas s’ils réalisent qu’ils ont perdu l’avantage de la surprise.
Sécurisez vos appareils
Il est également essentiel de sécuriser vos appareils afin que, même en cas de réussite, une attaque d’ingénierie sociale soit limitée dans ses effets. Les principes de base restent les mêmes, qu’il s’agisse d’un smartphone, d’un réseau domestique ou d’un système d’entreprise.
- Maintenez votre logiciel antivirus et anti-malware à jour. Cela peut empêcher l’installation de logiciels malveillants provenant d’e-mails de phishing. Utilisez un programme comme Kaspersky Antivirus pour protéger votre réseau et vos données.
- Mettez régulièrement à jour vos logiciels et micrologiciels, en particulier les correctifs de sécurité.
- Évitez d’exécuter votre téléphone en mode root ou d’utiliser votre réseau ou PC en mode administrateur. Même si une attaque d’ingénierie sociale parvient à obtenir le mot de passe de votre compte utilisateur, elle ne pourra pas reconfigurer votre système ni y installer de logiciels.
- N’utilisez jamais le même mot de passe pour différents comptes. Si une attaque d’ingénierie sociale compromet le mot de passe de votre compte sur les réseaux sociaux, vous ne voulez pas qu’elle puisse également débloquer tous vos autres comptes.
- Activez l’authentification à deux facteurs pour vos comptes critiques. Ainsi, posséder uniquement votre mot de passe ne suffira pas pour accéder à votre compte. Cela peut inclure la reconnaissance vocale, l’utilisation d’un dispositif de sécurité, l’empreinte digitale ou des codes de confirmation par SMS.
- Si vous venez de divulguer votre mot de passe et pensez avoir été victime d’une attaque, changez-le immédiatement.
- Tenez-vous informé des nouvelles menaces en cybersécurité en consultant régulièrement notre Centre de Ressources. Vous serez ainsi au courant des nouvelles méthodes d’attaque dès leur apparition, ce qui réduira considérablement vos risques d’être victime.
Think about your digital footprint
You might also want to give some thought to your digital footprint. Over-sharing personal information online, such as through social media, can help attackers. For instance, many banks have 'name of your first pet' as a possible security question — did you share that on Facebook? If so, you could be vulnerable! In addition, some social engineering attacks will try to gain credibility by referring to recent events you may have shared on social networks.
We recommend you turn your social media settings to 'friends only' and be careful what you share. You don't need to be paranoid, just be careful.
Think about other aspects of your life that you share online. If you have an online resumé, for instance, you should consider redacting your address, phone number and date of birth - all useful information for anyone planning a social engineering attack. While some social engineering attacks don't engage the victim deeply, others are meticulously prepared - give these criminals less information to work with.
Social engineering is very dangerous because it takes perfectly normal situations and manipulates them for malicious ends. However, by being fully aware of how it works, and taking basic precautions, you'll be far less likely to become a victim of social engineering.
Utiliser un bon filtre spam
Si votre messagerie ne filtre pas suffisamment les spams ou ne marque pas les emails suspects, envisagez de modifier les paramètres. Les filtres anti-spam efficaces utilisent divers types d’informations pour détecter les messages suspects. Ils peuvent détecter des fichiers ou des liens suspects, avoir une liste noire d’adresses IP ou d’identifiants d’expéditeurs suspects, ou analyser le contenu des messages pour déterminer ceux qui sont susceptibles d’être faux.
Est-ce réaliste ?
Certaines attaques d’ingénierie sociale parviennent à vous piéger en essayant de vous précipiter, alors qu’en gardant la tête froide, il est possible de détecter de nombreuses attaques. Par exemple :
- Si votre ami était vraiment coincé en Chine, vous enverrait-il seulement un email ou vous appellerait-il et vous enverrait-il un SMS également ?
- Est-il probable qu’un prince nigérien vous ait laissé un million de dollars dans son testament ?
- La banque vous demanderait-elle les coordonnées de votre compte ? En réalité, beaucoup de banques journalisent les envois d’emails aux clients ou leurs conversations téléphoniques. En cas de doute, vérifiez deux fois.
Éviter d’aller trop vite
Soyez particulièrement vigilant si vous ressentez un sentiment d’urgence lors d’une conversation. Il s’agit d’une méthode classique utilisée par les personnes malveillantes, qui permet d’empêcher leurs cibles de réfléchir à la question. Si vous sentez que vous faites face à une pression, prenez le temps de réfléchir. Dites que vous avez besoin de temps pour rassembler les informations, que vous devez poser la question à votre responsable ou que vous n’avez pas les détails exacts sous les yeux pour le moment. Faites tout pour retarder la procédure et vous donner le temps de réfléchir.
Dans la plupart des cas, les acteurs d’ingénierie sociale ne tenteront pas d’aller plus loin s’ils se rendent compte qu’ils ont perdu l’avantage de la surprise.
Sécuriser vos appareils
Il est également important de sécuriser les appareils de sorte à limiter les dégâts d’une attaque d’ingénierie sociale, même si celle-ci est réussie. Les principes de base sont les mêmes, qu’il s’agisse d’un smartphone, d’un réseau domestique traditionnel ou d’un grand système d’entreprise.
- Mettez à jour vos logiciels antimalware et antivirus. Cela peut permettre d’empêcher les logiciels malveillants reçus par des emails d’hameçonnage de s’installer. Utilisez un logiciel comme Kaspersky Anti-Virus pour sécuriser votre réseau et vos données.
- Mettez régulièrement à jour les logiciels et les micrologiciels, en particulier les correctifs de sécurité.
- Évitez d’utiliser le mode super-utilisateur sur votre téléphone, ou de faire fonctionner votre réseau ou votre PC en mode administrateur. Même si des pirates obtiennent le mot de passe de votre compte d’utilisateur au moyen d’une attaque d’ingénierie sociale, celui-ci ne leur permettra pas de reconfigurer votre système ni d’y installer des logiciels.
- Évitez d’utiliser le même mot de passe pour différents comptes. Si une attaque d’ingénierie sociale permet d’obtenir le mot de passe de votre compte de réseau social, il faut éviter que l’attaquant puisse également accéder à tous vos autres comptes.
- Pour les comptes essentiels, utilisez une authentification à deux facteurs. De cette façon, le mot de passe ne suffit pas pour accéder au compte. Cela peut impliquer l’utilisation de la reconnaissance vocale, d’un appareil de sécurité, d’empreintes digitales ou de codes de confirmation par SMS.
- Si vous venez de divulguer le mot de passe d’un compte et vous pensez avoir été « manipulé », modifiez le mot de passe immédiatement.
- Restez informé des nouveaux risques en matière de cybersécurité en vous inscrivant à notre centre de ressources. Vous en apprendrez alors davantage sur toutes les nouvelles méthodes d’attaque lorsqu’elles apparaissent, ce qui vous rendra beaucoup moins vulnérable.
Réfléchissez à votre empreinte numérique
Il est également important de réfléchir à votre empreinte numérique. Partager trop d’informations personnelles en ligne, notamment sur les réseaux sociaux, peut faciliter le travail des attaquants. Par exemple, de nombreuses banques utilisent "le nom de votre premier animal de compagnie" comme question de sécurité – l’avez-vous partagé sur Facebook ? Si oui, vous êtes potentiellement vulnérable ! De plus, certaines attaques d’ingénierie sociale tentent de gagner en crédibilité en se basant sur des événements récents que vous avez partagés sur les réseaux sociaux.
Nous vous recommandons de paramétrer vos réseaux sociaux en mode “amis uniquement” et d’être prudent sur ce que vous partagez. Vous n’avez pas besoin d’être paranoïaque, mais restez vigilant.
Pensez également aux autres informations que vous divulguez en ligne. Si vous avez un CV en ligne, envisagez de masquer votre adresse, votre numéro de téléphone et votre date de naissance – autant de données précieuses pour quelqu’un préparant une attaque d’ingénierie sociale. Certaines attaques sont très élaborées et méticuleusement préparées : ne facilitez pas la tâche des criminels en leur fournissant des informations.
L’ingénierie sociale est particulièrement dangereuse car elle exploite des situations normales à des fins malveillantes. Cependant, en comprenant bien son fonctionnement et en adoptant des précautions de base, vous réduirez considérablement vos risques d’en être victime.
Penser à votre empreinte numérique
Réfléchissez aussi un instant à votre empreinte numérique. Le partage excessif d’informations personnelles en ligne, par exemple par le biais des réseaux sociaux, peut faciliter le travail des attaquants. Par exemple, de nombreuses banques utilisent le nom de votre premier animal comme question de sécurité. Avez-vous partagé cette information sur Facebook ? Si c’est le cas, vous risquez d’être vulnérable ! En outre, les acteurs de certaines attaques d’ingénierie sociale tenteront de gagner en crédibilité en se référant à des événements récents que vous avez pu partager sur les réseaux sociaux.
Nous vous recommandons de paramétrer vos réseaux sociaux de manière à ce que les publications soient accessibles aux « amis uniquement » et de trier les informations que vous partagez. Il ne s’agit pas de paranoïa, juste de la prudence.
Pensez à d’autres aspects de votre vie que vous partagez en ligne. Par exemple, si vous affichez votre CV en ligne, vous devriez envisager de supprimer votre adresse, votre numéro de téléphone ainsi que votre date de naissance du document. Toutes ces informations sont utiles dans le cas d’une attaque d’ingénierie sociale. Si certaines attaques d’ingénierie sociale ne sollicitent pas intensément la victime, d’autres sont méticuleusement préparées. Donnez à ces criminels le moins d’informations possible.
L’ingénierie sociale est très dangereuse, car elle consiste à exploiter des situations parfaitement normales et à les utiliser à des fins malveillantes. Cependant, en étant pleinement conscient de son fonctionnement et en prenant des précautions de base, vous serez beaucoup moins vulnérable à l’ingénierie sociale.
Liens connexes:
Définition de l’ingénierie sociale
Comment les logiciels malveillants infiltrent-ils les ordinateurs et les systèmes informatiques ?
