En quoi consiste le social engineering ? Et quelles en sont les pratiques ?

L’ingénierie sociale (ou « social engineering » en anglais) fait référence à des pratiques de manipulation visant à tromper quelqu’un et l’inciter, de manière détournée, à effectuer des actions pouvant potentiellement enfreindre des procédures de sécurité. Cela consiste donc à exploiter non pas une faille informatique mais une « faille humaine ».

Pour le pirate informatique, les attaques d’ingénierie sociale ont pour objectif de franchir un obstacle de sécurité et obtenir des informations privées d’une personne, le plus souvent à son insu. Cela se traduit par la récupération d’informations confidentielles ou l’accès physique à des ressources non autorisées (bâtiment, salle serveur, ordinateur, etc.).

Les attaques d’Ingénierie Sociale les plus communes :

• Phishing (hameçonnage)

Le phishing est l’une des formes les plus usuelles d’attaques d’ingénierie sociale. Ce dernier vise à duper les internautes par le biais d’un courrier électronique semblant provenir d’une source de confiance, personne ou entreprise (banque, administration, site E-commerce) et les inciter à révéler des informations privées.

Le message demande l’actualisation, la validation ou la confirmation d’informations directement par email le plus souvent au travers d’un lien malveillant. Dans ce cas, la personne est alors redirigée vers un faux site, identique ou ressemblant fortement à l’original, où elle est poussée à entrer des informations confidentielles telles que des noms d’utilisateurs, mots de passe, informations bancaires, etc.

Ce site appartenant en réalité au pirate informatique, les informations renseignées sont alors directement récupérées par ce dernier. L’adresse web, inexacte ou comportant une erreur de syntaxe par rapport au site original est souvent une indication de l’imposture.

L’attaquant aura alors tout le loisir d’accéder aux informations personnelles ou bancaires de la victime et de les utiliser à des fins frauduleuses.

A noter que le phishing peut se faire également via des appels téléphoniques aussi appelé « vishing ». Ici, l’attaquant usurpe l’identité d’une personne (pouvant avoir une position d’autorité) afin de parvenir à ses fins.

La « fraude au président » qui consiste à convaincre le collaborateur d’une entreprise d’effectuer un virement en se faisant passer pour l’un de ses dirigeants en est un parfait exemple.

• Email avec pièce-jointe vérolée

Une technique classique et généralement très reconnaissable, consiste pour le pirate informatique à envoyer un email avec une pièce-jointe infectée de type Word, Excel, PowerPoint ou un exécutable. L’objectif est d’encourager la personne à ouvrir la pièce-jointe malveillante afin d’exécuter un logiciel malveillant sur son ordinateur et d’en prendre le contrôle à son insu.

• Clé USB

Une clé USB reçue en cadeau, laissée au sol ou dans une salle d’impression peut être le fait d’une attaque d’ingénierie sociale.

En effet, la personne récupérant la clé sera tentée de l’insérer dans son ordinateur afin d’en analyser le contenu. Une fois branchée, une charge malveillante s’exécutera sur son ordinateur et permettra l’installation d’un programme malveillant ou une prise de contrôle à distance.

• Talonnage

Le talonnage vise principalement à accéder à une zone à accès restreint. L’attaquant, au comportement amical, peut se faire passer pour un livreur, personnel d’entretien, client et suivre ainsi un employé de l’entreprise dans un immeuble sans avoir les droits/accès requis.

L’usurpateur utilise le plus souvent l’empathie pour piéger sa victime. C’est un type d’attaque assez courant car de nombreux employés sont habitués à recevoir des visiteurs dans leurs locaux.

Il faut garder en tête que le pirate informatique ne se limitera pas aux techniques évoquées précédemment pour arriver à ses fins, bien au contraire. Il est donc primordial de redoubler de vigilance et  de former le personnel à ce type d’attaques.

Plusieurs bonnes pratiques peuvent compliquer la tâche de l’attaquant telles que : demander un maximum d’informations sur l’interlocuteur, éviter de donner des renseignements à des inconnus, prêter une attention particulière à l’orthographe (URL, email, etc.), ne pas hésiter à demander conseil à ses collègues en cas de doutes.