Pour le pirate informatique, les attaques d’ingénierie sociale ont pour objectif de franchir un obstacle de sécurité et obtenir des informations privées d’une personne, le plus souvent à son insu. Cela se traduit par la récupération d’informations confidentielles ou l’accès physique à des ressources non autorisées (bâtiment, salle serveur, ordinateur, etc.).
Les attaques d’Ingénierie Sociale les plus communes :
Le phishing est l’une des formes les plus usuelles d’attaques d’ingénierie sociale. Ce dernier vise à duper les internautes par le biais d’un courrier électronique semblant provenir d’une source de confiance, personne ou entreprise (banque, administration, site E-commerce) et les inciter à révéler des informations privées.
Le message demande l’actualisation, la validation ou la confirmation d’informations directement par email le plus souvent au travers d’un lien malveillant. Dans ce cas, la personne est alors redirigée vers un faux site, identique ou ressemblant fortement à l’original, où elle est poussée à entrer des informations confidentielles telles que des noms d’utilisateurs, mots de passe, informations bancaires, etc.
Ce site appartenant en réalité au pirate informatique, les informations renseignées sont alors directement récupérées par ce dernier. L’adresse web, inexacte ou comportant une erreur de syntaxe par rapport au site original est souvent une indication de l’imposture.
L’attaquant aura alors tout le loisir d’accéder aux informations personnelles ou bancaires de la victime et de les utiliser à des fins frauduleuses.
A noter que le phishing peut se faire également via des appels téléphoniques aussi appelé « vishing ». Ici, l’attaquant usurpe l’identité d’une personne (pouvant avoir une position d’autorité) afin de parvenir à ses fins.
La « fraude au président » qui consiste à convaincre le collaborateur d’une entreprise d’effectuer un virement en se faisant passer pour l’un de ses dirigeants en est un parfait exemple.
Une technique classique et généralement très reconnaissable, consiste pour le pirate informatique à envoyer un email avec une pièce-jointe infectée de type Word, Excel, PowerPoint ou un exécutable. L’objectif est d’encourager la personne à ouvrir la pièce-jointe malveillante afin d’exécuter un logiciel malveillant sur son ordinateur et d’en prendre le contrôle à son insu.
Une clé USB reçue en cadeau, laissée au sol ou dans une salle d’impression peut être le fait d’une attaque d’ingénierie sociale.
En effet, la personne récupérant la clé sera tentée de l’insérer dans son ordinateur afin d’en analyser le contenu. Une fois branchée, une charge malveillante s’exécutera sur son ordinateur et permettra l’installation d’un programme malveillant ou une prise de contrôle à distance.
Le talonnage vise principalement à accéder à une zone à accès restreint. L’attaquant, au comportement amical, peut se faire passer pour un livreur, personnel d’entretien, client et suivre ainsi un employé de l’entreprise dans un immeuble sans avoir les droits/accès requis.
L’usurpateur utilise le plus souvent l’empathie pour piéger sa victime. C’est un type d’attaque assez courant car de nombreux employés sont habitués à recevoir des visiteurs dans leurs locaux.
Il faut garder en tête que le pirate informatique ne se limitera pas aux techniques évoquées précédemment pour arriver à ses fins, bien au contraire. Il est donc primordial de redoubler de vigilance et de former le personnel à ce type d’attaques.
Plusieurs bonnes pratiques peuvent compliquer la tâche de l’attaquant telles que : demander un maximum d’informations sur l’interlocuteur, éviter de donner des renseignements à des inconnus, prêter une attention particulière à l’orthographe (URL, email, etc.), ne pas hésiter à demander conseil à ses collègues en cas de doutes.
Chargé d'affaires
Sébastien LE DÉ est chargé d’affaires chez Sysdream, la division cybersécurité d’Hub One. Sébastien est un passionné d’archéologie et d’astronomie. Partir à l’aventure ne lui fait pas peur, bien au contraire, c’est dans les grandes randonnées et roadtrips allant de l’Ouest canadien à l’Islande qu’il se ressource. Il sait également apprécier le Rock des années 60 à nos jours et aussi le son de sa guitare acoustique. L’Équipe est son application favorite où il peut suivre les dernières actualités de la F1, du tennis et du football.
15 novembre 2018
20 février 2020
22 octobre 2020