Ingénierie sociale – Au-delà du phishing

Kevin Townsend, 14 avril 2019

Quand la tromperie sert à pirater votre esprit.

Qu'est-ce que l'« ingénierie sociale » ?

Les termes « ingénierie sociale » peuvent paraître obscurs et intimidants et, à bien des égards, ils le sont. Pourtant, nous sommes nombreux à avoir rencontré certaines formes d’ingénierie sociale, sur Internet, dans nos e-mails, dans les journaux et les magazines. L’escroquerie de paiement anticipé par e-mail, qui restera longtemps dans les esprits sous le nom d'arnaque du prince nigérian, est une forme d'ingénierie sociale consistant à tromper la victime en lui faisant croire qu'elle a quelque chose à gagner.

Les e-mails de phishing (ou hameçonnage) sont également une forme d'ingénierie sociale où les pirates se présentent comme une organisation de confiance, un ami ou un collègue pour nous manipuler afin que nous dévoilions des informations. Cependant, il n'est pas juste de résumer en une équation « ingénierie sociale égale arnaque ». Les escroqueries et les abus de confiance doivent utiliser des techniques d'ingénierie sociale pour atteindre leurs objectifs, mais l'ingénierie sociale est souvent beaucoup plus complexe. Les méthodes utilisées par les pirates pour piéger, manipuler et faire pression sur les gens sont choquantes et bien souvent sinistres.

Dans son livre How to Hack a Human : Cybersecurity for the Mind (Comment pirater un humain :La cybersécurité pour l'esprit), l'expert en sécurité Raef Meeuwisse propose cette définition : « ... l'acte de nouer des relations, des amitiés ou d'autres interactions humaines dans le but d'inciter le destinataire à effectuer une action déconseillée ou à révéler des informations confidentielles. » En matière de cybersécurité, cela signifie exploiter nos réactions émotionnelles pour nous amener à compromettre volontairement notre propre sécurité.

Mais l'ingénierie sociale est présente partout de manière complètement légale, bien qu'elle puisse être moralement douteuse. Le marketing utilise des techniques d'ingénierie sociale pour améliorer les ventes. Vous avez peut-être déjà consulté un site Web offrant une réduction spéciale, apparemment importante, avec le compte à rebours : « L’offre se termine à 00:05:00 » En vérité, il n'y a pas de réduction et l'« offre» ne prend pas fin ; mais c'est une stratégie marketing efficace. L'illusion de devoir prendre une décision rapide et l'apparition d'une bonne affaire incitent les utilisateurs à faire un achat qu'ils ne feraient pas en temps normal.

De plus, les politiciens et les lobbys politiques utilisent  en permanence des techniques d'ingénierie sociale pour obtenir notre soutien.

Exemples d'ingénierie sociale basée sur Internet

Piraté pour le journalisme

Un article d'investigation sur l'ingénierie sociale datant de 2014 reste aujourd'hui l'une des meilleures illustrations de la façon dont les pirates informatiques obtiennent des informations détaillées sur leurs victimes et les utilisent pour mener des attaques. Sophie Curtis, journaliste au Telegraph, a accepté de laisser le pirate éthique John Yeo tenter d’exécuter une attaque d'ingénierie sociale contre sa personne. En utilisant un mélange de recherches sur les réseaux sociaux et de techniques informatiques subtiles, l’équipe de John Yeo a été en mesure de piéger Sophie pour qu'elle télécharge et active un cheval de Troie d’accès à distance sur son ordinateur.

Cette manœuvre a été exécutée alors que Sophie savait que l'équipe essaierait de la pirater et se méfiait du fichier contenant le cheval de Troie. L’équipe de John Yeo a créé une situation dans laquelle Sophie pensait qu’elle ne pouvait ignorer la possibilité que le fichier pouvait présenter un intérêt journalistique légitime. Cela prouve à quel point les attaques d'ingénierie sociale peuvent toujours être efficaces même si nous pensons être sur nos gardes.

Le département de la Justice des États-Unis

L’un des plus grands exemples d’ingénierie sociale à l’état sauvage est la violation de données du département de la Justice des États-Unis en 2016. 200 Go de données ont été révélés provenant des dossiers du département de la Justice, grâce à un pirate qui avait usurpé l’identité d’un membre du personnel. La combinaison d’une adresse électronique interne compromise et de quelques ruses de base a permis au pirate de convaincre d'autres membres de l'équipe de lui fournir un accès complet aux fichiers internes. C’est un excellent exemple de la portée et du caractère préjudiciable des techniques d’ingénierie sociale les plus élémentaires.

Le massacre de Christchurch

Plus récemment, le massacre de Christchurch en Nouvelle-Zélande a montré la rapidité et le manque de scrupules des ingénieurs sociaux. Une semaine après l'incident, les pirates ont commencé à agir pour tirer parti du chagrin et de la confusion des amis et des familles des victimes. Des e-mails de phishing ont commencé à circuler, demandant des dons pour des aides ou des opérations de soutien. Ces e-mails dirigeaient les utilisateurs vers de fausses pages bancaires ou des formulaires malveillants qui permettaient aux pirates de recevoir des fonds et des données personnelles.

Les motivations de l'ingénierie sociale en ligne

Vols de données

La principale motivation des attaques d’ingénierie sociale en ligne est l'obtention d'un accès aux données sensibles de la victime. Les données personnelles sont l’une des marchandises présentant la valeur la plus élevée sur Internet et sont échangées entre entreprises ainsi que sur le marché noir. Les informations personnelles permettent également aux pirates informatiques de mener des attaques d'ingénierie sociale plus convaincantes et plus efficaces. Si un pirate veut vos coordonnées bancaires, il peut d'abord tenter d'obtenir votre adresse et votre numéro de téléphone en se faisant passer pour une organisation caritative. Une fois en possession de ces informations, il peut se faire passer pour votre banque, en utilisant les informations dont il dispose déjà pour augmenter ses chances de vous abuser.

Propagation de malwares

Si un pirate parvient à vous convaincre qu'un lien est sécurisé, il peut vous rediriger quasiment n'importe où et vous faire télécharger pratiquement n'importe quoi. Un nombre considérable de ransomwares est déployé via des e-mails de phishing, avec 93 % de ces e-mails utilisés aujourd'hui pour infecter l’ordinateur de la victime. Les chevaux de Troie d'accès à distance, les enregistreurs de frappe et les botnets de cryptojacking peuvent également être propagés de cette manière. Récemment, des e-mails prétendant contenir des informations sur le Brexit ont été utilisés pour propager le cheval de Troie Ursnif, un malware de collecte de données particulièrement agressif.

Fins politiques

L'ingénierie sociale dans un contexte politique est souvent traitée comme un concept distinct de celle de la cybersécurité, mais il existe un chevauchement significatif entre les deux sphères. Le scandale de Cambridge Analytica est peut-être l'une des meilleures illustrations de ce chevauchement. Des informations personnelles des utilisateurs de Facebook ont été utilisées pour influencer l'opinion publique avant les élections américaines de 2016.

L'augmentation des « fake news » et la manière dont les faits peuvent être déformés, souvent sans même mentir, pour s’adapter à un agenda politique particulier, est en soi un exemple d’ingénierie sociale. La diffusion de fake news par le biais de groupes organisés sur Twitter et Facebook est une autre forme d'ingénierie sociale. En réalité, l’IRA (Internet Research Agency) russe a tenté d'appliquer l’ingénierie sociale à l’ensemble des citoyens américains afin d’influencer l’élection présidentielle de 2016.

Dans son résumé du rapport Mueller, le procureur général a déclaré que l'objectif de l'IRA était de « mener des opérations de désinformation et de communications sur les réseaux sociaux aux États-Unis dans le but de semer la discorde, dans le but ultime d'interférer avec l'élection ». C’est de l’ingénierie sociale à grande échelle.

Se défendre contre l'ingénierie sociale

Combattre l'ingénierie sociale est moins évident que d'autres domaines de la cybersécurité. Pour les piratages traditionnels, le niveau sécurité est tout noir ou tout blanc ; les pirates tirent parti d’erreurs et de vulnérabilités qui peuvent être atténuées et corrigées. Avec l'ingénierie sociale, les vulnérabilités résident dans nos processus de raisonnement et nos réactions émotionnelles. Nous ne pouvons pas télécharger de correctif à notre propre sentiment de peur, d’avidité ou de compassion. Cependant, certaines choses peuvent êtes mises en place. Pour plus d'informations, consultez les conseils détaillés d'Avast pour vous protéger contre le phishing.

Limitez ce que vous partagez

De nos jours, l'ingénierie sociale ciblée est le plus grand risque de sécurité fondé sur l'être humain. Plus nous partageons d'informations nous concernant sur Internet, plus nous donnons de ressources aux arnaqueurs et aux ingénieurs sociaux. Cela va bien au-delà des informations personnelles telles que les adresses et les numéros de téléphone. En effet, cela inclut des informations sur nos habitudes et nos routines, nos centres d'intérêt, nos problèmes de santé et nos services préférés qui peuvent tous se retourner contre nous lors d'attaques d'ingénierie sociale.

Il est également important de garder à l'esprit que les pirates informatiques peuvent accéder à de nombreuses données sur notre personne, même si nous ne les fournissons pas. Bien que nous puissions penser que nos informations personnelles sont verrouillées, un pirate déterminé peut trouver des moyens créatifs et surprenants d'obtenir ces données. En essayant de pirater Sophie Curtis, John Yeo est même allé jusqu'à utiliser un site Web d'histoire familiale pour vérifier et élargir les informations qu'il pourrait utiliser. Même si vous êtes approché avec des informations que vous avez fournies uniquement à des organisations légales, un arnaqueur a très bien pu trouver un moyen de les récupérer.

Ne répondez jamais à des demandes d'informations non sollicitées, peu importe ce que le demandeur sait déjà.

Sachez comment vous pouvez être manipulé

Le nombre de techniques et de variantes d'ingénierie sociale est trop important pour en fournir une liste exhaustive. Cependant, nous pouvons nous concentrer sur l’ingénierie sociale liée aux e-mails. Voici certains des éléments les plus importants à surveiller :

  • La contrainte temporelle Toutes les attaques d'ingénierie sociale obtiennent plus de succès si la cible estime qu'une décision urgente est nécessaire.
  • La FOMO Le phénomène FOMO (Fear of Missing Out) c’est-à-dire la « peur de rater quelque chose » contribue au succès des réseaux sociaux, mais il devient également une tactique de manipulation puissante si nous commençons à croire que l’inaction, telle que le refus de divulguer des informations, peut entraîner des pertes personnelles.
  • Les détournements Toutes les techniques d'ingénierie sociale ne sont pas uniquement basées sur la psychologie. Un pirate peut utiliser les vulnérabilités des sites Web pour vous rediriger vers une page malveillante, dans l'espoir que vous entrerez des informations personnelles ou financières. Pour des exemples plus détaillés, consultez les pages traitant du XSS ou du browser hijacking (en d’autres termes, le piratage de navigateur).
  • Les faux avis Cela ne s’applique pas uniquement aux entreprises qui paient des avis sur l'app store pour rendre leur produit plus attrayant ; de faux avis peuvent être utilisés pour qu'un site Web ou un service semble digne de confiance, ce qui vous encourage à fournir des informations personnelles.
  • Les fausses identités C'est l'élément fondamental de toutes les arnaques de phishing. Les pirates se présentent comme une organisation ou une personne de confiance pour faciliter l'extorsion d'informations sensibles.
  • L'information partielle Pour être plus convaincants, les pirates utilisent souvent des informations publiques ou faciles à obtenir pour vous encourager à en fournir plus. Par exemple, des arnaqueurs avec votre adresse, votre numéro de téléphone et vos quatre derniers chiffres de carte de crédit pourraient se faire passer pour des commerçants en ligne. Ils pourraient alors vous demander de « mettre à jour » vos informations de paiement pour la carte se terminant par ces numéros.

Récapitulatif

Dans cet article, nous avons tenté de souligner le caractère omniprésent de l'ingénierie sociale. Tous ceux qui essaient de nous vendre quelque chose – qu’il s’agisse d’une marque alimentaire, d’une idée politique, d’une nouvelle voiture ou d’une arnaque sur Internet, utilisent l’ingénierie sociale à un certain degré. Le risque est d'y accorder de moins en moins d'attention. Nous y sommes tellement habitués que nous ne le remarquons même pas, ce qui donne un avantage considérable à des ingénieurs sociaux aux tendances criminelles.

La prise de conscience est notre plus grande défense. Pour qu'une attaque d'ingénierie sociale en ligne échoue, il suffit de refuser d’y participer. Mais c'est plus facile à dire qu'à faire.

En dehors de toute autre considération, être perpétuellement méfiant, attentif et sceptique à l'égard de tout ce qui nous approche est épuisant, aussi bien émotionnellement que mentalement. Personne ne devrait se considérer comme immunisé contre l’ingénierie sociale, et la chose la plus importante à retenir, c’est celle-là.


Avast est le leader mondial de la cybersécurité, protégeant des centaines de millions d’utilisateurs dans le monde entier. Protégez tous vos appareils avec notre antivirus gratuit primé.

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières actualités, pensez à nous suivre sur Facebook et Twitter.

Articles liés