Aucun pare-feu ni antivirus ne vous sauvera contre ces attaques. De quoi parlons-nous ? De l’ingénierie sociale. Cette arnaque est vieille comme le monde, mais elle fonctionne encore à merveille.
Les employés téléchargent des fichiers malveillants, cliquent sur des liens d’hameçonnage, discutent avec des pirates et divulguent les coordonnées de leurs collègues – l’ingénierie sociale ou piratage psychologique est un vrai classique parmi les outils les plus puissants à disposition des cyberattaquants.
Le 30 juin 2010, le site Mashable a créé le Social Media Day afin de reconnaître et célébrer l’impact des médias sociaux sur la communication dans le monde entier. Et bien que nous ayons de nombreuses raisons de les remercier, les médias sociaux ont aussi un mauvais côté : ils ont transposé les arnaques en ligne. C’est pourquoi, tout en célébrant leurs avantages, n’oublions pas les inconvénients et risques des médias sociaux, notamment de l’ingénierie sociale.
Vous prendre par les émotions
L’ingénierie sociale est l’art de convaincre un utilisateur de divulguer volontairement ses mots de passe, numéro de sécurité sociale, données financières ou d’autres informations censées être secrètes. Comment fonctionne-t-elle ?
Les psychologues ont découvert que les gens ont tendance à ignorer la logique et les faits lorsqu’ils prennent des décisions basées sur les émotions. Et c’est précisément un domaine dans lequel les criminels ont appris à se spécialiser : comment déclencher une réponse émotionnelle et l’exploiter. Au lieu de trouver une vulnérabilité dans un programme par exemple, il est bien plus facile d’appeler un employé, de se faire passer pour un collègue du service informatique, puis d’amener l’employé à révéler de lui/d’elle-même son mot de passe.
Ce genre de technique fonctionne également bien hors ligne : de nombreuses personnes sont tombées dans le piège en ouvrant leur porte à des individus vêtus d’un faux uniforme de police ou se faisant passer pour des commerciaux.
Les gens sont le maillon faible : les employés sont-ils un talon d’Achille ?
Les techniques couramment utilisées par les pirates en ingénierie sociale
Les attaques d’ingénierie sociale consistent à apprendre le plus d’informations possible sur l’individu ciblé ou l’entreprise ciblée (si les données confidentielles de l’entreprise sont les données recherchées). En bref, ils vous traitent comme un sujet d’étude et apprennent des choses sur vous grâce à une variété de tactiques :
Ils vous recherchent sur Google (ou utilisent un autre moteur de recherche) : plus ils en savent sur vous, plus il leur est facile de vous connaître et de vous amener à leur faire confiance.
Ils vous suivent sur les médias sociaux : savoir de quels groupes Facebook vous faites partie, ce que vous regardez sur YouTube, quelles photos vous aimez sur Instagram ou ce que vous épinglez sur Pinterest permet aux pirates de concevoir des scénarios plus crédibles pour vous faire tomber dans le piège.
Ils voient avec qui vous êtes lié (via LinkedIn et le site de votre entreprise) et apprennent l’organigramme de votre entreprise : ils peuvent ainsi se faire passer pour quelqu’un interne à l’entreprise.
Les types courants d’attaques d’ingénierie sociale
Hameçonnage
L’hameçonnage représente 90 % de toutes les violations de données et 5 millions de sites d’hameçonnage sont créés tous les mois. C’est une forme d’attaque d’ingénierie sociale typiquement diffusée par e-mail, chat, sur le Web ou via un site Web, dans laquelle l’attaquant se fait passer pour un vrai système ou une vraie entreprise. Sur le site, on demande à l’utilisateur de réinitialiser son mot de passe ou de saisir un numéro de sécurité sociale, de carte de crédit ou de téléphone. Pour en savoir plus sur les attaques d’hameçonnage, cliquez ici.
Spear phishing ou hameçonnage ciblé
Le spear phishing est une variante plus ciblée du hameçonnage, qui cible les grands dirigeants d’entreprises afin d’obtenir des données et d’accéder à des informations et outils internes. Le criminel peut même établir un contact direct avec la victime, notamment par e-mail, en se faisant passer pour l’administrateur du système ou en utilisant un faux profil Facebook pour se faire passer pour un collègue. Il arrive que les escrocs aillent jusqu’à contacter leur victime par téléphone.
Quiproquo
Ce mot latin qui se traduit par « quoi pour quoi » fait dans ce cas référence à une situation dans laquelle la victime reçoit soi-disant quelque chose en échange d’une information. Dans l’un des scénarios les plus courants de quiproquo, les escrocs se font passer pour des experts informatiques. Ils appellent alors toutes les personnes d’une entreprise et leur promettent une réparation informatique rapide. En échange, la victime doit simplement « désactiver son antivirus ». Mais la seule chose qu’elle gagne en retour est l’installation d’un malware sur son ordinateur.
L’ingénierie sociale en chiffres
Une étude menée par l’opérateur téléphonique américain Verizon en 2018 a révélé que sur les 41 686 incidents de sécurité enregistrés en 2018, 33 % étaient des attaques d’ingénierie sociale.
Un autre rapport réalisé par Positive Technologies a montré à quel point les attaques d’ingénierie sociale étaient bien ficelées. Dans le cadre de leurs recherches, ils ont envoyé 3 300 e-mails à des employés de diverses entreprises. Voici leurs conclusions :
- 17 % de toutes les attaques d’ingénierie sociale ont abouti et auraient pu, dans le cas d’une véritable attaque, compromettre les ordinateurs des employés et par conséquent, l’infrastructure complète de l’entreprise.
- 27 % des employés ont cliqué sur un lien d’hameçonnage contenu dans un e-mail, ce qui fait de ces attaques la technique d’ingénierie sociale la plus performante. Il semble que de nombreux utilisateurs ne soient pas capables de détecter les faux sites Web.
Empêcher les attaques d’ingénierie sociale
Même si les logiciels de cybersécurité tels que Avira Free Security ne sont pas toujours en mesure d’aider à contrer ces menaces avec autant de succès que les virus et autres attaques classiques, dans la plupart des cas ils parviennent tout de même à détecter les pièces jointes infectées et parfois même les faux sites Web.
Personne n’est à l’abri, pas même les sociétés d’antivirus
Le meilleur moyen de défense contre l’ingénierie sociale n’est pas technique – il s’agit de vous. Ouvrez l’œil lorsque vous avez des informations ciblées, une bonne dose de méfiance et une curiosité limitée.
- N’ouvrez pas les e-mails ni les pièces jointes provenant de sources discutables.
- Ne croyez pas aux offres trop alléchantes. Si vous pensez que la proposition a l’air trop belle pour être vraie, c’est que c’est probablement le cas.
- Utilisez l’authentification à plusieurs facteurs. Une couche de sécurité supplémentaire à vos comptes en ligne ne peut pas vous faire de mal.
- Utilisez des logiciels antivirus à jour. Mettez-les à jour pour pouvoir détecter les nouveaux types de malwares. Mieux vaut prévenir que guérir.
- Ne répondez pas aux requêtes qui vous demandent des informations personnelles ou des mots de passe.
- Refusez tout conseil ou toute aide non sollicité(e). Les escrocs en ingénierie sociale vous demanderont de les aider à obtenir des informations ou proposeront de vous aider, en se faisant passer pour un support technique par exemple.
Vous pensez peut-être que tout ça n’est que du bon sens, n’est-ce pas ? Et qu’il est impossible de tomber dans un piège aussi évident. Malheureusement, c’est pour cela que les pirates qui utilisent l’ingénierie sociale sont de vrais escrocs et qu’ils peuvent faire croire n’importe quoi à n’importe qui. Si vous voulez voir de vrais « escrocs » en pleine action, découvrez comment le pirate David Kennedy modifie son numéro de téléphone pour faire en sorte qu’il ait l’air de provenir de l’entreprise elle-même et comment il amène un employé à cliquer sur un lien, obtenant ainsi l’accès à son ordinateur.
Cet article est également disponible en: Anglais