Les pirates sont-ils aussi des experts en psychologie ? L’expert Avast explique en quoi consiste l’ingénierie sociale et les méthodes pour s’en protéger.
Les pirates sont-ils aussi des experts en psychologie ? L’expert Avast explique en quoi consiste l’ingénierie sociale et les méthodes pour s’en protéger.
Le thème principal de l'épisode de Mr. Robot de cette semaine portait sur les vulnérabilités. Même si nous essayons parfois de le nier, nous avons tous des faiblesses. Les cybercriminels, en personnes intelligentes qu'elles sont, utilisent malheureusement souvent leurs capacités à des fins malveillantes. Ils savent que les faiblesses font partie de la nature humaine, personne n'étant parfait, et ils les exploitent à l'aide d'une tactique appelée ingénierie sociale.
« Les gens sont les pires failles »
Que ce soit directement ou indirectement, les hommes et les logiciels qu'ils créent peuvent être exploités en tirant parti de la faiblesse et des vulnérabilités humaines.
Fsociety pénètre Steel Mountain, le centre de sécurité de données d'E Corp, en exploitant la faiblesse humaine. Cela commence avec Bill Harper, conseiller de vente chez Steel Mountain ; Elliot détruit son amour propre en lui laissant entendre que personne dans cette vie ne se soucie vraiment de lui. Il demande alors à parler à quelqu'un « qui compte » et Bill, abattu et humilié, appelle son superviseur.
À la surprise de fsociety, c’est Trudy qui se présente à la place de Wendy, la responsable à laquelle ils s'attendaient et pour laquelle ils s’étaient préparés afin d’accéder au niveau supérieur de Steel Mountain. Déstabilisés quelques secondes, ils se reprennent très vite et effectuent quelques recherches en ligne mais sans rien trouver. Ils supposent alors que la faiblesse de Trudy pourrait tout simplement être son mari et utilisent une distribution Linux appelée Kali pour lui envoyer un SMS semblant provenir de son mari, indiquant qu'il est à l'hôpital.
J'ai effectué des recherches supplémentaires sur cet outil, et j'ai découvert qu'en l'utilisant, n'importe qui peut modifier des SMS et faire en sorte que le message paraisse avoir été envoyé d'un numéro connu du destinataire, une ruse également employée dans les emails d'escroquerie.
Ce qui est intéressant dans ce cas cependant, c'est qu'ils indiquent ne pas disposer du numéro de Trudy, seulement de celui de son mari. Pourtant, c'est bien son numéro à elle qu'ils tapent dans le programme pour envoyer le message.
Comment les cybercriminels utilisent l'ingénierie sociale
Je me suis entretenue avec mon collègue, Jean-Baptiste Souvestre, expert chez Avast, pour discuter de l'ingénierie sociale et de la façon dont elle peut affecter des personnes ordinaires comme vous et moi.
Stefanie : Tout d'abord, qu'est-ce que l'ingénierie sociale ?
Jean-Baptiste : L'ingénierie sociale est une combinaison de techniques psychologiques que les cybercriminels utilisent pour tromper des personnes afin qu'elles leur divulguent des informations sensibles ou qu'elles effectuent certaines actions, comme télécharger des logiciels malveillants. L'ingénierie sociale exploite principalement les faiblesses des gens et, comme Elliot le dit dans cet épisode, « Les gens sont les meilleurs failles ».
Personne n'est parfait et personne ne fait constamment preuve de la meilleure capacité de jugement : c'est ce qui rend l'ingénierie sociale si efficace. Elle n'est pas efficace parce que les gens ne sont pas assez intelligents ; elle est efficace parce que les cybercriminels ciblent et exploitent spécifiquement les faiblesses des autres.
Stefanie : Nous avons vu fsociety utiliser l'ingénierie sociale pour s'introduire dans Steel Mountain, mais pouvez-vous nous donner des exemples d'ingénierie sociale ciblant des consommateurs ?
Jean-Baptiste : Généralement, les tactiques d'ingénierie sociale ciblant les consommateurs font croire à la victime qu'elle a gagné un prix, créent de la peur en faisant croire à un problème ou que la personne a absolument besoin de quelque chose. Cela peut se produire sous la forme d'attaques de spearphishing (hameçonnage ciblé sur des individus), dans lesquelles les pirates informatiques envoient des messages qui semblent provenir d'une entité de confiance ou d'un ami de la victime.
Ces messages incluent des appels à agir qui, par exemple, incitent la victime à actualiser ses informations bancaires, lui disent qu'il y a une pièce jointe importante alors qu'il s'agit en fait d'un logiciel malveillant ou qu'elle a gagné un prix et qu'elle doit fournir des informations pour le récupérer. L'ingénierie sociale peut également utiliser des applications ou de la publicité pour inciter les gens à faire certaines choses.
Dans l'environnement du mobile, nous voyons souvent les hackers utiliser la peur pour que leurs victimes téléchargent une fausse application antivirus en leur faisant croire que leur appareil est infecté par un virus. En réalité, l'application dérobe des données privées sur l'appareil ou prend les fichiers de l'appareil en otage en échange d'une rançon, comme Simplocker l'a fait.
Une autre méthode utilisée par les pirates informatiques pour inciter les utilisateurs à télécharger un logiciel frauduleux, ou à divulguer des informations personnelles, passe par la publicité malveillante. Ces publicités vous disent souvent, par exemple, que vous ne disposez pas de la dernière version de Flash et que vous devez la télécharger.
Elles ont aussi tendance à proposer des services pour adultes, comme de la pornographie, des messageries instantanées avec webcam en direct ou même des mariages par correspondance. Une fois que l'utilisateur a cliqué sur ces publicités malveillantes, le téléchargement d’un logiciel frauduleux sur l’appareil peut commencer.
Stefanie : Eh bien ! On dirait qu'il faut vraiment faire preuve de vigilance ! Quels conseils pouvez-vous donner pour éviter le piège de l'ingénierie sociale ?
Jean-Baptiste : Effectuez toujours une double vérification des emails de votre banque pour être certain qu'ils sont légitimes. Les banques ne vous enverront jamais de message vous demandant d'entrer des informations sensibles en suivant un lien ou d'envoyer des informations cruciales en pièce jointe. Il en est de même pour les emails d'amis qui contiennent des liens ou des pièces jointes : s'ils semblent suspects ou inhabituels, appelez votre ami et demandez-lui s'il a vraiment envoyé l'email avant d'effectuer la moindre action.
En ce qui concerne les applications mobiles, ne téléchargez les applications que depuis les boutiques officielles, comme Google Play. Si vous choisissez de télécharger depuis une autre boutique en ligne, faites-en sorte de disposer d'un antivirus à jour. Si une application vous demande des autorisations qui n'ont aucun rapport avec ses fonctions - ou si celle-ci vous demande de modifier vos paramètres de sécurité, c’est que quelque chose ne va pas et qu’il ne vaut mieux pas la télécharger. De la même manière, soyez prudent avec les publicités qui proposent de visionner des vidéos ou du contenu pour adultes.
Pour maximiser votre protection contre les menaces, installez un logiciel antivirus sur votre PC et votre appareil mobile. Au cas où vous succomberiez accidentellement à un stratagème d'ingénierie sociale, les antivirus intercepteront les programmes et les sites web malveillants avant qu'ils ne provoquent des dommages.
N'utilisez jamais Wikipédia comme source fiable
Mes professeurs d’université m'ont insufflé cette notion. Je ne dis pas que Wikipédia est une mauvaise chose, il y a une montagne d'informations précieuses dans Wikipédia, mais tout le monde est en mesure de modifier le site. Apparemment, des personnes ont même essayé de supprimer des pages entières ; comme celle de Donald Trump. On ne peut pas toujours faire confiance à ce qu'on lit sur Wikipédia, malgré tous les efforts des rédacteurs pour que les pages restent factuelles. Fsociety, bien sûr, sait à quel point il est facile de manipuler une page Wikipédia et de tirer parti de l’expérience de Mobley en la matière pour modifier la page Wiki de Sam Sepiol, pour lequel Elliot cherche à se faire passer.
Sam Sepiol est jeune milliardaire qui a cofondé la start-up technologique Bleetz et lorsqu’Elliot rencontre Bill Harper, le conseiller de vente de Steel Mountain, il l’invite à vérifier qui il est. Bill recherche alors qui est Sam Sepiol et tombe sur sa page Wikipédia où la photo d'Elliot a été publiée. Et c’est ainsi qu’Elliot obtient une visite de Steel Mountain.
Soyez conscient du volume d'informations que vous partagez sur Internet
La fuite de données d'Ashley Madison est, espérons-le, un signal d'alarme majeur pour beaucoup. Cette fuite doit enseigner qu'à la minute où vous déposez des informations personnelles en ligne, elles vous échappent et peuvent être récupérées. Dans l'épisode de cette semaine, Fernando le réalise quand il apprend qu'il a été arrêté parce qu'il a exposé ses activités sur les médias sociaux. Il a effectivement utilisé des codes pour chiffrer ses communications, mais apparemment les codes qu'il utilisait étaient trop évidents et faciles à découvrir. Il est clair que Fernando devrait envisager d'embaucher un nouveau conseiller et licencier son « petit frère ambitieux ».
Faîtes preuve de prudence lorsque vous diffusez vos activités sur les médias sociaux. Fsociety a découvert les faiblesses de plusieurs personnes simplement en les recherchant sur Google et en consultant leurs blogs ou leurs profils Twitter et Facebook.
N'importe qui pouvant le faire, vérifiez les paramètres dans vos comptes de médias sociaux et configurez le tout en mode privé. Réfléchissez également à deux fois avant de déposer des contenus ou de vous inscrire à des services en ligne. Pensez à la façon dont ces choix pourraient vous affecter à l'avenir, qui pourra les voir et si vous voulez vraiment que le monde y ait accès.
Et vous, qu'avez-vous pensé de l'épisode de Mr. Robot de cette semaine ?
(Source de l'image: USA Network)
Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières nouvelles, n’oubliez pas de nous suivre sur Facebook, Twitter et Google+.