Ingénierie sociale (sécurité de l'information)
Définition
Dans le contexte de la sécurité de l’information, l’ingénierie sociale (social engineering en anglais) est un acte de manipulation psychologique dans le but de frauder. Un terme plus approprié serait piratage psychologique ou fraude psychologique. L'office Québécois de la langue Française ne recommande pas en 2021 l'appellation « ingénierie sociale » car elle ne met pas l'accent sur la notion de tromperie.
Par exemple, un intrus peut se faire passer pour un employé du service d'assistance informatique et demander aux utilisateurs des données, telles que des noms d'utilisateur et des mots de passe. Il est surprenant de voir combien de personnes donnent cette information sans réfléchir, surtout si elle semble avoir été demandée par un fonctionnaire.
En d’autres termes, l’ingénierie sociale consiste à tromper les gens afin de les manipuler pour obtenir des informations, des données ou pour amener les utilisateurs à divulguer leurs informations ou leurs données.
A ne pas confondre avec le diplôme d'état d'ingénierie sociale qui forme des experts des politiques sociales, de l'action sociale et médico-sociale. Chargé de mission, chargé d'études ou conseiller technique, le titulaire du DEIS, utilise ses connaissances à la fois professionnelles et pluridisciplinaires pour analyser les questions sociales et politiques, proposer des programmes complexes, les évaluer et les mettre en oeuvre.
Les possibles types d'attaques
Il existe différents types d’attaques d’ingénierie sociale et il est important de comprendre comment cela fonctionne afin de s'en protéger. Une fois le mode opératoire général défini, l’identification des attaques d’ingénierie sociale est beaucoup plus facile.
L'appât
Les techniques de leurre consistent à créer des pièges, tels que des clés USB contenant des logiciels malveillants. Lorsque quelqu'un est curieux de voir ce qu'il y a sur le disque, il connecte le disque à une clé USB, ce qui peut entraîner une contamination du système. Il existe effectivement une clé USB qui permet de compromettre votre ordinateur. Une fois branché, il se charge depuis la clé USB et libère de l'énergie sous la forme d'une violente surtension pouvant endommager l'appareil sur lequel il est branché. (Une telle clé USB coûte 54 $.)
Le prétexte
Cette attaque utilise des excuses pour attirer l’attention et inciter les victimes à fournir des informations. Par exemple, une enquête sur Internet peut paraître totalement innocente au premier abord, mais peut ensuite donner lieu à des demandes de coordonnées bancaires. La personne qui tient le presse-papiers peut également se présenter et vous dire qu'elle effectue une vérification interne du système. Cependant, elle n’est peut-être pas celle qu’elle prétend être et essaie de vous voler des informations précieuses.
Hameçonnage ou phishing
Les attaques de phishing utilisent des e-mails ou des messages texte prétendant provenir d'une source fiable et demandant des informations. Un exemple bien connu : les banques enverraient des e-mails demandant aux clients de vérifier les informations de sécurité, puis redirigeraient les utilisateurs vers une fausse page où sont stockées leurs informations de connexion. Le spear phishing cible une seule personne au sein d’une organisation. Cette activité consiste à envoyer des courriels prétendant provenir d’un haut dirigeant de l’entreprise et demandant des informations confidentielles.
Hameçonnage vocal et hameçonnage par SMS
Ces types d’attaques d’ingénierie sociale constituent un type de phishing. Le « phishing » consiste simplement à appeler quelqu'un et à lui demander de lui transmettre des informations. Les criminels peuvent se faire passer pour des collègues de travail, comme des employés du service d'assistance informatique, et demander l'accès à vos données. Le phishing par SMS tente d'obtenir ces informations à l'aide de messages texte SMS.
Quid pro quo
"L'échange équitable n'est pas vol", dit-on. Cependant, il s'agit clairement d'un vol. De nombreuses attaques d'ingénierie sociale font croire aux victimes qu'elles reçoivent quelque chose en échange de données ou d'accès. Cette méthode est utilisée par les « faux logiciels de sécurité ». Alors qu'en fait, ce sont les logiciels eux-mêmes qui représentent la menace de sécurité, ils promettent aux utilisateurs une mise à jour pour corriger un problème de sécurité urgent.
Envoi de spams et piratage de messageries électroniques
Ce type d'attaque implique le piratage des comptes de messagerie ou des réseaux sociaux d'une personne pour accéder à ses contacts. Les contacts peuvent recevoir un message indiquant que cette personne a été agressée et que toutes ses cartes de crédit ont été perdues. Elles seront ensuite invitées à effectuer un virement via un compte de transfert d'argent. Ou encore, une personne se faisant passer pour un ami peut envoyer une "vidéo à voir obligatoirement" qui redirige vers un logiciel malveillant ou un enregistreur de frappe Cheval de Troie.
Exploitation ou chasse
Il est important de se rappeler que certaines attaques d'ingénierie sociale sont beaucoup plus complexes. La majorité des stratégies que nous avons présentées sont une forme de "chasse". En bref, il s'agit d'entrer, de saisir et de sortir.
Cependant, certains types d'attaques d'ingénierie sociale consistent à établir une relation avec la cible afin d'obtenir plus d'informations sur une période plus longue. Cette méthode est appelée "exploitation" (agriculture) et est plus risquée pour l'attaquant car il y a plus de chances qu'il soit découvert. Cependant, une infiltration réussie peut fournir beaucoup plus d'informations.
Talonnage (tailgating)
Une personne non autorisée se faufile juste derrière une personne autorisée dans une zone contenant des informations sensibles ou des actifs précieux lors du talonnage (tailgating), également connu sous le nom de "piggybacking". Le talonnage peut être physique, par exemple, une personne se glissant par une porte laissée ouverte à la suite d'un employé. Mais le talonnage peut également être numérique, par exemple lorsqu'une personne laisse un ordinateur sans surveillance tout en restant connectée à un réseau ou à un compte privé.
Comment s'en protéger ?
Il est connu que les attaques d'ingénierie sociale sont difficiles à prévenir car elles sont basées sur la psychologie humaine plutôt que sur des stratagèmes technologiques. La portée d'attaque est cruciale car une erreur d'un seul employé peut compromettre l'ensemble du réseau de l'entreprise dans une organisation importante. Les professionnels ont suggéré certaines mesures pour réduire les risques associés aux arnaques d'ingénierie sociale et limiter leur réussite :