“Ceux qui peuvent renoncer à une liberté essentielle pour obtenir un peu de sécurité temporaire ne méritent ni la liberté ni la sécurité – Benjamin Franklin
L’ingénierie sociale est depuis un certain temps au premier plan des questions de sécurité. Les experts du secteur en ont abondamment parlé. Pourtant, peu de gens réalisent pleinement le danger potentiel qu’elle représente et à quel point elle peut être dangereuse.
Jetez un coup d’œil aux cyberattaques qui se produisent en temps réel dans le monde entier !
Pour les pirates informatiques, l’ingénierie sociale est probablement le moyen le plus simple et le plus efficace de percer les protocoles de sécurité. L’essor de l’internet nous a donné des capacités très puissantes en interconnectant des appareils sans la barrière de la distance. Les progrès en matière de communication et d’interconnexion ont toutefois introduit des failles qui ont entraîné une violation des informations personnelles et de la vie privée.
Depuis les temps les plus reculés, avant l’avènement de la technologie, les humains codent et sécurisent les informations. Par exemple, “hello world”, décalé d’une place, pourrait s’écrire “ifmmp xpsmf”. Le décodeur lisant le message “ifmmp xpsmf” devra décaler les lettres d’une place vers l’arrière dans la liste des alphabets pour comprendre le message.
Aussi simple que soit cette technique de codage, elle a résisté pendant près de 2000 ans !
Aujourd’hui, nous disposons de systèmes de sécurité plus avancés et plus robustes, mais la sécurité reste un défi.
Il est important de noter qu’il existe un grand nombre de techniques déployées par les pirates informatiques pour obtenir des informations vitales. Nous allons examiner brièvement certaines de ces techniques pour comprendre pourquoi l’ingénierie sociale est si importante.
🔷 Attaques par force brute et par dictionnaire: Un piratage par force brute implique un pirate disposant d’un ensemble d’outils avancés construits pour pénétrer un système de sécurité en utilisant un mot de passe calculé en obtenant toutes les combinaisons de caractères possibles. Une attaque par dictionnaire implique que l’attaquant exécute une liste de mots (du dictionnaire) dans l’espoir de trouver une correspondance avec le mot de passe de l’utilisateur.
Un piratage par force brute implique un pirate disposant d’un ensemble d’outils avancés conçus pour pénétrer dans un système de sécurité à l’aide d’un mot de passe calculé en obtenant toutes les combinaisons de caractères possibles. Une attaque par dictionnaire implique que l’attaquant exécute une liste de mots (du dictionnaire) dans l’espoir de trouver une correspondance avec le mot de passe de l’utilisateur.
De nos jours, une attaque par force brute, bien que très puissante, semble moins susceptible de se produire en raison de la nature des algorithmes de sécurité actuels. Pour mettre les choses en perspective, si le mot de passe de mon compte est “qwertyuiop1202@990 !!!”, la somme totale des caractères est de 22 ; il faudra donc 22 facteurs pour qu’un ordinateur calcule toutes les combinaisons possibles. C’est beaucoup.
De plus, il existe des algorithmes de hachage qui prennent ce mot de passe et le convertissent en un hachage pour le rendre encore plus difficile à deviner pour un système de forçage brutal. Par exemple, le mot de passe écrit précédemment peut être haché en d734516b1518646398c1e2eefa2dfe99. Cela ajoute une couche de sécurité encore plus sérieuse au mot de passe. Nous examinerons les techniques de sécurité plus en détail ultérieurement.
Si vous êtes propriétaire d’un site WordPress, consultez ce guide sur la protection contre la force brute sur WordPress.
🔷 Attaques DDoS: Les attaques par déni de service distribué se produisent lorsqu’un utilisateur est empêché d’accéder à des ressources internet légitimes. Cela peut être du côté de l’utilisateur ou du service auquel l’utilisateur tente d’accéder.
Un DDoS entraîne généralement une perte de revenus ou d’utilisateurs. Pour qu’une telle attaque soit possible, un pirate informatique peut prendre le contrôle de plusieurs ordinateurs sur l’internet qui peuvent être utilisés dans le cadre d’un “BotNet” pour déstabiliser le réseau ou, dans certains cas, inonder le trafic du réseau avec des paquets d’informations non utiles, ce qui entraîne une surutilisation et, par conséquent, une panne des ressources et des nœuds du réseau.
Voici quelques-uns des meilleurs services de protection contre les attaques DDoS.
🔷 Phishing : Le phishing est une méthode d’attaque utilisant le courrier électronique, les messages textuels ou les sites web pour inciter les utilisateurs à révéler des informations importantes telles que leur mot de passe, leur numéro de carte de crédit ou leur numéro de sécurité sociale. Les attaques de phishing utilisent généralement un sentiment de grande urgence pour inciter les victimes à agir de manière précipitée et irréfléchie.
Il s’agit d’un des types d’attaques d’ingénierie sociale les plus courants, dans lequel un attaquant envoie des courriels ou des textes frauduleux en prétendant qu’ils proviennent d’une source légitime telle qu’une banque, une entreprise, une plateforme de médias sociaux, etc. Par ce biais, les victimes sont dirigées vers de faux liens où leurs informations personnelles peuvent être volées.
🔷 Pretexting : Le pretexting consiste pour l’attaquant à créer un faux scénario afin de gagner la confiance de ses victimes.
Cela peut aller jusqu’à prétendre travailler pour le service clientèle et demander à ses victimes des informations privées telles que des mots de passe, des numéros de compte, ou quelque chose de ce genre. Par conséquent, les victimes peuvent facilement être exposées aux risques de vol de données confidentielles si elles ne vérifient pas soigneusement qui les contacte.
🔷 Tailgating : Le tailgating est une méthode d’accès non autorisé qui consiste pour un attaquant à suivre une personne ayant un accès autorisé dans une zone sécurisée.
Les attaquants qui utilisent cette méthode pénètrent dans des zones sécurisées ou autorisées sans avoir l’autorité ou les privilèges d’accès appropriés et peuvent accéder à des zones restreintes pour obtenir des informations sensibles.
🔷 Baiting (appât) : L’appât est l’une des méthodes d’ingénierie sociale qui consiste à laisser quelque chose de prometteur, comme des clés USB, dans des endroits communs que les victimes prennent même le risque d’utiliser. Si elles l’utilisent, leur système sera infecté par un logiciel malveillant et permettra aux pirates d’accéder à des informations sensibles.
Dans certains cas, la victime reçoit un courriel qui promet un cadeau ou un accès gratuit à des produits haut de gamme ou des récompenses gratuites pour avoir répondu à des enquêtes, et si la victime accède à ces liens, elle est encline à saisir ses informations personnelles, qui sont volées automatiquement.
🔷 Quid pro quo : Dans cette attaque d’ingénierie sociale, l’attaquant peut vous piéger dans une affaire juteuse pour obtenir des informations sensibles ou toute autre action nuisible.
Une attaque Quid Pro Quo se présente sous la forme d’un faux appel de l’assistance informatique, de courriels de phishing disant qu’ils offrent des cadeaux et des réductions, ou même de messages sur les médias sociaux avec des offres exclusives. En fin de compte, l’objectif de cette attaque est d’escroquer les victimes et d’accéder à leurs informations privées.
🔷 Whaling : Le whaling est une attaque visant des personnes de grande valeur, par exemple des PDG, des célébrités et des hauts fonctionnaires.
Les attaques de type “whaling” sont généralement plus sophistiquées que les autres types d’attaques d’ingénierie sociale. Elles englobent souvent des efforts à plusieurs niveaux qui utilisent une combinaison de diverses techniques afin de contrôler ou de créer un sentiment de légitimité autour de la victime ciblée.
Parmi les autres types d’attaques d’ingénierie sociale, citons le BEC (business email compromise), le Honey trap, le Diversion theft, le Smishing/SMS phishing, le Vishing/voice phishing, etc.
Pour prévenir les attaques d’ingénierie sociale, il convient d’éduquer son organisation ainsi que soi-même aux principes de base de l’hygiène de sécurité afin de ne pas tomber facilement dans le piège des attaques d’ingénierie sociale.
La sensibilisation et la prudence face aux techniques courantes, la vérification de l’identité ou des demandes lors du partage d’informations sensibles et la mise à jour des connaissances sont des mesures de protection contre les tentatives malveillantes de manipulation.
Les attaques par ingénierie sociale restent un type spécialisé de cyberattaque qui s’appuie fortement sur l’interaction humaine et implique souvent une manipulation psychologique pour amener les gens à commettre des erreurs de sécurité ou à divulguer des informations sensibles. Bien qu’il soit utilisé de manière générale, le terme “attaques d’ingénierie sociale” présente des caractéristiques très précises à bien des égards.
Voici quelques-unes des caractéristiques principales des attaques d’ingénierie sociale :
- Elles tirent parti des points faibles des êtres humains. Les ingénieurs sociaux utilisent des caractéristiques telles que la peur, la curiosité ou même l’avidité pour jouer avec leurs proies. Ils utilisent également la confiance et la volonté d’être utile.
- La plupart du temps, il s’agit d’approches hautement personnalisées. Les ingénieurs sociaux prennent le temps de rechercher leurs cibles à de nombreuses reprises afin de rendre les attaques personnellement attrayantes et moins faciles à détecter ou à éviter.
- Cela crée un sentiment d’urgence. Les ingénieurs sociaux tentent souvent de créer un sentiment d’urgence afin de pousser leurs cibles à une action rapide mais malheureuse. Le meilleur moyen d’y parvenir est de présenter la situation comme une crise imminente nécessitant une action rapide.
- Utilisation de canaux de communication familiers. Dans la plupart des cas, les ingénieurs sociaux peuvent s’attaquer à leurs victimes en utilisant des canaux de communication familiers, par exemple le courrier, les appels téléphoniques ou même les médias sociaux. Cela leur donne la possibilité d’être prévisibles et leur attaque est donc moins suspecte et tout à fait crédible.
- Ils demandent des informations personnelles sensibles telles que des mots de passe, des numéros de carte de crédit ou des numéros de sécurité sociale. Cela est possible en usurpant l’identité de sources qui interagissent fortement avec l’utilisateur, comme les banques ou les gouvernements.
Jetons un coup d’œil aux cinq principales attaques d’ingénierie sociale qui ont secoué le monde :
- Le Lituanien Evaldas Rimasauskas a orchestré la plus grande attaque d’ingénierie sociale de tous les temps, escroquant deux géants de la technologie de plus de 100 millions de dollars. Il a créé une société fictive et des comptes bancaires correspondants en son nom pour exécuter ses courriels d’hameçonnage destinés aux employés de Google et de Facebook qu’il avait ciblés.
- En mars 2019, un fournisseur d’énergie britannique a été victime d’un escroc convaincant qui a réussi à tromper son PDG et à lui faire virer 243 000 dollars. L’usurpation d’identité du patron de l’entreprise semblait si réelle que tous les processus de diligence raisonnable ont été contournés et que l’argent a été envoyé directement sur un compte à l’étranger appartenant à l’individu frauduleux.
- FACC, un constructeur aéronautique autrichien victime d’une escroquerie sophistiquée de type Business Email Compromise (BEC), s’est fait escroquer de 42 millions d’euros lorsque le compte de courrier électronique de son PDG a été usurpé avec une demande “urgente” de fonds. Ignorant qu’il s’agissait d’une supercherie, l’employé chargé de la comptabilité de la société a accédé à la demande frauduleuse et a transféré l’argent au mauvais destinataire.
- Le Département du travail des États-Unis (DoL) a été victime d’une attaque de phishing très sophistiquée qui utilisait des domaines usurpés pour accéder aux identifiants de connexion d’Office 365. Conçus de manière experte, ces courriels semblaient provenir de cadres supérieurs du DoL et encourageaient le destinataire à cliquer sur un lien d’appel d’offres joint pour un projet gouvernemental. En cliquant sur ce bouton de redirection, les destinataires étaient redirigés vers un site malveillant destiné à voler des informations personnelles.
- Les clients de l’OCBC (Oversea-Chinese Banking Corporation) figurent parmi les victimes d’une vaste attaque en ligne qui a coûté quelque 8,5 millions de dollars à 470 personnes, a révélé la société en 2021. La lutte contre les courriels d’hameçonnage et les transactions malveillantes s’apparente à une véritable guerre”, a déclaré Helen Wong, PDG de l’entreprise. Même après avoir fermé les domaines frauduleux et alerté les clients de l’escroquerie, celle-ci s’est développée rapidement jusqu’à ce que les mesures de sécurité mises en place par OCBC permettent de la contrôler.
En principe, les attaquants utilisent différents moyens pour cibler leurs victimes, tels que le courrier électronique, les appels téléphoniques ou les messages textuels, pour se faire passer pour une entreprise ou une personne légitime afin de gagner la confiance des victimes.
Ils essaient ensuite de convaincre la victime de faire quelque chose qui leur est profitable, par exemple en l’incitant à cliquer sur un lien malveillant, à ouvrir une pièce jointe infectée ou à révéler des informations sensibles.
Voici quelques signaux d’alarme qui peuvent vous aider à repérer les attaques d’ingénierie sociale :
🔴 Méfiez-vous des communications non sollicitées telles que les courriels, les messages ou les appels téléphoniques, en particulier de la part d’un expéditeur inconnu, et de ceux qui prétendent être des communications d’une entreprise connue mais qui contiennent des demandes ou des liens inhabituels.
les ingénieurs sociaux peuvent créer un sentiment d’urgence ou de peur pour pousser la victime à agir rapidement. Par exemple, votre compte a été violé ou vous devez agir pour éviter une pénalité.
les entreprises professionnelles, quant à elles, maintiennent généralement un niveau de communication professionnel, de sorte que les courriels ou les messages contenant de nombreuses fautes de grammaire et de frappe devraient également éveiller les soupçons. En outre, elles ne demanderont jamais d’informations sensibles, comme des informations personnelles ou financières, par le biais de ces canaux.
🔴 Les courriels ou les messages provenant d’expéditeurs inconnus éveillent les soupçons ; ne cliquez donc pas sur les liens et n’ouvrez pas les pièces jointes, même si elles semblent provenir d’une source apparemment légitime.
🔴 Soyez vigilant quant à l’adresse électronique, au numéro de téléphone ou au site web de l’expéditeur afin de vous assurer qu’ils correspondent à l’entreprise ou à la personne dont ils se réclament.
🔴 Méfiez-vous des liens ou des sites web dont le nom de domaine est inhabituel ou dont l’URL ressemble au site web d’une entreprise légitime.
🔴 Aucune organisation légitime ne demande un transfert d’argent sur un compte personnel, donc si quelqu’un le fait, il faut tirer la sonnette d’alarme.
🔴 Les entreprises légitimes n’envoient jamais de liens par courrier électronique ou par message pour vous demander de modifier vos mots de passe ou vos paramètres de sécurité.
🔴 Méfiez-vous des sources inconnues qui vous demandent de télécharger des logiciels ou des mises à jour. Téléchargez-les directement à partir du site web de l’entreprise.
Si vous tombez sur l’un de ces signaux d’alarme, mieux vaut être prudent et ne pas répondre à l’expéditeur ou à ses demandes. De telles pratiques, associées à la vigilance, réduiraient vos risques d’être victime d’attaques d’ingénierie sociale et contribueraient ainsi à la protection de vos données personnelles.
Conclusion
Ces mesures ne constituent pas un remède direct aux attaques d’ingénierie sociale, mais elles vous aident à compliquer la tâche d’un pirate informatique.