Expertise
L’ingénierie sociale ou l’art de manipuler dans l’ère numérique
Saviez-vous que les SMS ont un taux d’ouverture moyen supérieur à 95 % ? Selon une enquête réalisée auprès de 600 professionnels de l’informatique venant de 7 pays différents, 84 % d’entre eux ont reconnu avoir été victimes d’une tentative de «smishing». Mais qu'est-ce que le «smishing» ? Une fusion des termes SMS et «phishing» qui ne représente qu’un type d'attaque d'ingénierie sociale parmi d'autres.
Pratique de manipulation psychologique, l’ingénierie sociale permet à l’attaquant d’obtenir des informations sensibles sur sa cible. Les pirates influencent leurs victimes jusqu’à ce qu’elles contournent les procédures de sécurité en ligne habituelles afin d’accéder à leurs informations personnelles, généralement pour en tirer un profit financier.
L’ingénierie sociale prend de nombreuses formes, les plus connues étant le phishing et le smishing. Il existe également des attaques par téléphone connues sous le nom de «vishing» (voice phishing) ou «scam calls ». Le principe : une personne se présente comme un service utilisé par la cible ou, dans un contexte professionnel comme un collègue ou un responsable, et demande directement l’information qu’il recherche.
Des conséquences dommageables
Il existe donc un très grand nombre d’attaques basées sur l’ingénierie sociale. Elles peuvent avoir de nombreuses conséquences à la fois pour les individus et pour les entreprises, et les effets peuvent être de nature financière, mais aussi porter sur la réputation des entreprises victimes. L’attaque la plus connue à ce jour a par exemple été perpétrée par le lithuanien Evaldas Rimasauskas sur les groupes Google et Facebook. L’homme a créé une société portant le nom d’un prestataire de matériel informatique ainsi que des comptes bancaires au nom de cette société. Il a ensuite envoyé des courriels imitant ceux du prestataire réel à des collaborateurs ciblés. Les victimes, habituées à effectuer des virements au prestataire, ont finalement versé les sommes demandées dans les courriels frauduleux sur les comptes gérés par l’attaquant.
Ainsi, non seulement cette attaque d’ingénierie sociale par phishing ciblé a fait perdre plus de 100 millions de dollars aux groupes Facebook et Google, mais elle a aussi diminué la confiance des utilisateurs dans le traitement de leurs données. Cet exemple montre que l’ingénierie sociale est un maillon essentiel de la chaîne d’une attaque globale.
L’utilisation massive de l’ingénierie sociale repose finalement sur l’excès de confiance accordée au numérique par les utilisateurs. L’humain présume de la sécurité des technologies qu’il exploite et représente donc une cible facile pour des attaquants. Prenons pour exemple un salarié qui utilise son ordinateur ou téléphone professionnel à des fins personnelles : les données saisies sur ces appareils (inscription à des concours avec son e-mail professionnel, acceptation des cookies, communication d’informations personnelles sur les réseaux sociaux, etc.) sont en réalité une porte d’entrée pour les attaquants. Ces derniers utilisent alors les informations récupérées publiquement pour les intégrer à leur message, trompant la vigilance de leur cible et augmentant la probabilité de clic.
En partageant des informations ou en adoptant des comportements à risques, l’utilisateur devient responsable de la précision de l’attaque et donc de sa réussite.
Adopter les bons réflexes
Afin de diminuer les risques, il convient d’éviter certains comportements et d’adopter certaines actions simples, ou des cyber réflexes. Les premiers conseils donnés sont alors d’installer un antivirus qui utilise d’une part un filtre anti-spam, permettant de traiter et d’écarter une première couche des courriels indésirables, et qui bloque d’autre part toutes les pages web frauduleuses si l’utilisateur venait à cliquer dessus. Si cette première étape apparaît comme élémentaire, apprendre à repérer les e-mails de phishing se révèle être la solution la plus responsable et durable.
En effet, afin de détecter les tentatives de fraude, plusieurs éléments dans les e-mails peuvent être étudiés :
L'expéditeur
Qu’il soit inconnu, que son nom comporte des fautes de frappe, que son adresse e-mail diffère de celle utilisée d’ordinaire, constituent autant de pistes pouvant indiquer une tentative d’hameçonnage.
Le contenu du message
Il appelle à la pitié en utilisant l’actualité (guerre, catastrophes naturelles, etc.), peut également promettre un gain énorme, menacer de dévoiler des photos privées ou bien utiliser la peur et l’urgence pour obtenir des informations personnelles (non-conformité avec un service utilisé, nouvelle fonctionnalité, etc.).
Le sujet et la date du message
L'objet peut être incohérent avec le reste de l’e-mail, et la date et l’horaire auxquelles le courriel a été envoyé peuvent aussi différer avec les horaires d'ouverture du service usurpé (ex : banque, institutions publiques, etc.) .
Les pièces jointes
Il est également conseillé de ne pas ouvrir de pièce jointe quand la source n’est pas absolument sûre.
Les liens hypertextes
Combinés aux autres éléments mentionnés ci-dessus, c’est par leur intermédiaire que les hackers récupèrent le plus d’informations. Il faut donc vérifier les liens en eux-mêmes (sans cliquer dessus, uniquement en passant la souris dessus) les adresses étant généralement incohérentes et inconnues.
Il apparaît enfin que le meilleur rempart contre le phishing reste une prise de conscience généralisée.
Quand une simple erreur dans le nom de domaine ou une faute d’orthographe dans le corps de l’e-mail suffisaient à nous indiquer une tentative d’hameçonnage, il en est autrement aujourd’hui. Les attaques par phishing sont à l’image des autres attaques, de plus en plus nombreuses, perfectionnées et difficiles à reconnaître. Il est donc nécessaire que les individus soient sensibilisés, mais également que les entreprises se saisissent du sujet.
Sensibiliser les salariés
71 % des professionnels de l'informatique déclarent en effet connaître des collaborateurs ayant été victimes d'une attaque par ingénierie sociale.
Or, pour une entreprise, les risques peuvent être de natures très diverses et avoir un impact à la fois sur sa capacité financière (hausse des dettes, chute de la côte de solvabilité) et sur son image. En effet, les attaquants ciblent une structure au travers de ses salariés, mais les conséquences peuvent également toucher les clients. Pour que les collaborateurs soient en mesure d’identifier et d’éviter au mieux ce type de menaces, il est indispensable de placer la formation et la sensibilisation au cœur des préoccupations de l’entreprise.
Pour ce faire, plusieurs canaux sont à disposition des organisations :
- La communication : outre par e-mail, elle peut également se faire sous la forme d’affiches (dans les espaces partagés : cafétéria, ascenseurs, intranet, réseau social interne, etc.) ;
- La formation continue : e-learning, plateformes, réunions d’information ;
- Le déploiement d’outils : simulations de campagnes de cyberattaques (communiquer en amont).
La synergie de ces actions, inscrite dans une démarche durable, permet d’augmenter continuellement son niveau de sécurité. L’entreprise développe une culture cyber étendue et ses actifs ainsi que ceux de ses clients sont protégés.
L’adoption des bons comportements deviendra ainsi un réflexe et limitera l’exposition de l’entreprise à ces menaces d’ingénierie sociale.
Notre expert
