Le Social Engineering ou ingénierie sociale consiste à manipuler une personne, afin de la pousser à télécharger un malware ou à livrer ses données. Découvrez tout ce que vous devez savoir sur cette dangereuse menace de cybersécurité...
De nos jours, les logiciels antivirus modernes sont capables de bloquer la plupart des malwares. Toutefois, il reste un maillon faible dans la chaîne de la cybersécurité : l’humain.
Aucun logiciel n’est capable d’empêcher la manipulation et la tromperie. C’est précisément pourquoi les cybercriminels utilisent l’ingénierie sociale, ou Social Engineering.
Qu'est-ce que l'ingénierie sociale ?
L’ingénierie sociale ou « social engineering » en anglais consiste à exploiter la psychologie humaine pour s’infiltrer sur les systèmes informatiques ou accéder aux données confidentielles. Pour les cybercriminels, il s’agit d’une alternative aux techniques de hacking.
Par exemple, plutôt que de chercheur une vulnérabilité à exploiter dans un logiciel, un cybercriminel peut téléphoner à un employé et se faire passer pour un collègue du service informatique. Il pourra ainsi piéger l’interlocuteur pour l’obliger à révéler son mot de passe.
Le terme de « social engineering » fut popularisé dans les années 1990 par le célèbre hacker Kevin Mitnick. Toutefois, cette pratique existe probablement depuis l’aube de l’humanité et les premières escroqueries.
Par conséquent, il n’est pas suffisant d’investir dans les solutions de sécurité informatique et physique d’une entreprise. Même avec une cyberdéfense extrêmement robuste, un cybercriminel pourra toujours faire preuve d’inventivité pour piéger un employé. Il est donc essentiel d’éduquer l’effectif aux bonnes pratiques de cybersécurité.
Comment fonctionne l'ingénierie sociale ?
Le terme « social engineering » englobe une large variété de méthodes. Le point commun de ces techniques est d’exploiter les faiblesses universelles de la nature humaine telles que la cupidité, la curiosité, la politesse, ou encore le respect de l’autorité.
L’ingénierie sociale peut prendre place dans le monde réel. Par exemple, un criminel déguisé en uniforme FedEx peut s’infiltrer dans un bureau.
Toutefois, de nos jours, la plupart des interactions sociales prennent place en ligne. En toute logique, c’est donc aussi sur internet que la majorité des attaques d’ingénierie sociale ont lieu.
En guise d’exemples, on peut citer les attaques de phishing et de smishing. Ce type de cyberattaques reposent entièrement sur la tromperie et l’usurpation d’identité, puisqu’elles visent à persuader la victime d’installer un malware sur son PC ou son smartphone.
Bien souvent l’ingénierie sociale n’est que la première étape d’une cyberattaque de plus grande ampleur. Par exemple, un hacker peut utiliser le phishing et se faire passer pour un proche de la victime afin qu’elle télécharge un malware. Par la suite, il usera de ses compétences techniques pour obtenir le contrôle de l’appareil infecté et l’exploiter.
Exemples d'attaques de social engineering
Le meilleur moyen de comprendre l’ingénierie sociale est d’étudier les exemples d’attaques survenues dans le passé. Parmi les nombreuses techniques de social engineering, trois se sont avérées particulièrement efficaces.
L’une des approches les plus basiques consiste à exploiter la cupidité de la cible. Par exemple, l’arnaque bien connue « Nigerian 419 » consiste à convaincre la victime d’aider une personne malade à transférer son argent vers une banque étrangère en échange d’une partie des fonds.
Depuis des décennies, les emails de « prince nigérien » inondent les boites mails du monde entier au point d’être devenus un sujet de plaisanterie. Pourtant, cette technique d’ingénierie sociale demeure efficace et de nombreuses personnes se laissent piéger.
En 2007, le trésorier d’un comté du Michigan a donné 1,2 million de dollars de fonds publics à un arnaqueur en espérant gagner un peu d’argent.
Un autre appât couramment utilisé est la perspective d’un nouvel emploi attractif. En 2011, l’entreprise de cybersécurité RSA a été compromise lorsque deux employés ont ouvert un malware en pièce jointe d’un email de phishing portant le nom de fichier « plan de recrutement 2011 ».
Une autre méthode d’ingénierie sociale consiste à usurper l’identité de la victime. Pour l’une de ses premières arnaques, le hacker Kevin Mitnick a pu accéder aux serveurs de développement de l’OS de Digital Equipement Corporation en téléphonant à l’entreprise et prétendant être l’un des principaux développeurs.
Il a affirmé avoir des difficultés pour se connecter, et a aussitôt reçu un nouvel identifiant accompagné de son mot de passe. Et même si cette histoire remonte à 1979, ce piège rudimentaire fonctionne encore de nos jours.
En 2016, un hacker a pu obtenir le contrôle d’une adresse email du Department of Justice des États-Unis et l’utiliser pour usurper l’identité d’un employé. Pour y parvenir, il a convaincu le centre d’assistance de lui fournir un token d’accès à l’intranet du DoJ en expliquant que c’était sa première semaine de travail et qu’il ne savait pas encore comment le réseau fonctionnait.
De nombreuses organisations mettent en place des défenses pour empêcher ce type d’usurpations. Toutefois, les cybercriminels parviennent souvent à les déjouer facilement.
En 2005, Hewlett-Packard a embauché des enquêteurs privés pour découvrir quels membres du conseil d’administration de l’entreprise dévoilaient des informations à la presse. Or, ces enquêteurs ont pu se faire passer pour des employés auprès du support technique de AT&T juste en présentant les quatre derniers chiffres de leurs numéros de sécurité sociale. Ils ont ainsi pu obtenir leurs journaux d’appels téléphoniques détaillés.
La troisième méthode courante consiste à se faire passer pour un supérieur hiérarchique. La plupart des gens ont le réflexe de respecter l’autorité. Un criminel peut exploiter les informations sur les processus internes d’une entreprise afin de convaincre les employés de son droit à consulter des données confidentielles.
En 2015, le comptable de l’entreprise Ubiquiti Networks a viré des millions de dollars à un escroc qui s’était fait passer pour le PDG à travers un email. De même, à la fin des années 2000, les tabloïds britanniques trompaient les employés d’opérateurs téléphoniques en se faisant passer pour des collègues. Ils pouvaient ainsi accéder aux boîtes vocales de célébrités.
De même, en 2016, le directeur de campagne d’Hilary Clinton s’est fait piéger par des espions russes. Ils lui avaient envoyé un email de phishing déguisé en note signée par Google, demandant la réinitialisation de son mot de passe. En pensant sécuriser son compte, John Podesta leur a offert les identifiants de sa boîte mail…
Les différents types d'attaques d'ingénierie sociale
Il existe de nombreuses techniques d’ingénierie sociale. Le phishing ou hameçonnage consiste à envoyer un email pour piéger le destinataire et l’inciter à livrer ses identifiants ou télécharger un malware.
Cette méthode requiert peu d’efforts. Un hacker peut envoyer des milliers d’emails identiques, et n’a qu’à attendre que l’un des destinataires morde à l’hameçon et télécharge la pièce jointe. Il existe des variantes comme le smishing par SMS, ou le vishing par appel ou message vocal.
Le « spear phishing » ou « whaling » est une variante plus sophistiquée du phishing. Elle est généralement employée pour les cibles à haute valeur, d’où l’analogie avec la pêche à la baleine.
Les attaquants passent du temps à chercher la victime, qui est généralement une personne très fortunée. Ils conçoivent ensuite une arnaque sur mesure, unique et personnalisée pour piéger leur proie.
Le « Baiting » est un composant clé de toutes les formes de phishing, et d’autres types d’arnaque. Il s’agit d’appâter la victime avec une tentation, par exemple la promesse d’une somme d’argent ou d’un beau cadeau.
Le « Pretexting » consiste à créer une histoire, un prétexte, pour convaincre une personne de révéler des informations ou d’ouvrir l’accès à un système ou à un compte.
Un escroc peut trouver des données personnelles sur sa cible, et les utiliser pour le piéger. Par exemple, s’il sait quelle est la banque de sa proie, il peut se faire passer pour un représentant du service client et demander son numéro de compte pour résoudre un souci de retard de paiement.
La fraude à l’email d’entreprise combine plusieurs des techniques évoquées. L’attaquant peut prendre contrôle de l’adresse email de sa victime, ou envoyer des emails à depuis une adresse similaire. Il peut ensuite envoyer des messages aux employés en demandant un transfert de fonds.
Un « scareware » est une forme de malware utilisée pour effrayer la victime et la pousser à agir. Ce malware trompeur utilise des avertissements alarmants sur de fausses infections ou affirme qu’un compte est compromis. En résultat, la cible accepte d’acheter un logiciel frauduleux ou de dévoiler ses données privées.
Enfin, une attaque « watering hole » consiste à infecter une page web populaire avec un malware pour impacter de nombreux utilisateurs. Cette méthode requiert une planification minutieuse, afin de découvrir les faiblesses de sites spécifiques. Il peut s’agir de vulnérabilités existantes et non patchées.
Les tendances du Social Engineering
Selon le rapport State of Security 2021 de l’ISACA, basé sur un sondage mené auprès de 3700 professionnels de la cybersécurité, le Social Engineering est la principale cause de compromission des entreprises.
De même, le rapport trimestriel Threat Trends and Intelligence de PhishLabs révèle une augmentation du volume d’attaques de phishing de 22% au cours du premier semestre par rapport à la même période en 2020.
Une récente étude de Gemini dévoile aussi comment les cybercriminels usent de l’ingénierie sociale pour contourner les protocoles de sécurité standard comme 3D Secure dans le but de commettre des fraudes.
Selon Gartner, l’ingénierie sociale est désormais un élément standard de boîtes à outils plus larges de cyberattaques. Les techniques de Social Engineering comme le phishing sont combinées avec d’autres outils tels que les « DeepFakes », dans le but d’attaquer les organisations et les individus d’une manière professionnelle et répétable.
Ces différentes méthodes de cyberattaques sont proposées par les hackers sous la forme de services à leurs clients. En échange d’une certaine somme, n’importe qui peut commander une attaque contre la cible de son choix via les forums de cybercrime du Dark Web.
De son côté, le vice-président d’Egress, Jack Chapman, souligne l’essor des attaques d’ingénierie sociale par « missed messaging » ou message manqué. Cette méthode consiste à s’emparer du compte d’un employé senior, pour envoyer un email à un collègue plus jeune en réclamant un rapport ou autre travail complété.
L’arnaqueur prétend avoir déjà demandé ce rapport auparavant, afin d’ajouter de la pression sur les épaules du destinataire. Ce dernier pensera avoir manqué un email important, et ne pas avoir complété une tâche importante. Cette technique permet de créer un climat d’urgence, en particulier dans un environnement de télétravail.
Les cybercriminels utilisent aussi la flatterie pour pousser leurs cibles à cliquer sur les liens malveillants. Ils envoient par exemple des cartes d’anniversaire, en utilisant les réseaux sociaux pour connaître la date de naissance de la proie. Contente de recevoir une carte d’anniversaire par email, la victime a tendance à ne pas se méfier.
Enfin, selon le directeur de la cybersécurité de Neosec, Renan Feldman, la plupart des attaques d’ingénierie social modernes exploitent les APIs exposées. La plupart des attaqueurs recherchent un accès à ces API, plutôt qu’un accès à un appareil ou à un réseau.
Pour cause, les entreprises reposent désormais sur des plateformes d’application. De plus, une API est beaucoup plus facile à pirater qu’un réseau d’entreprise. Il est ensuite très simple de se déplacer latéralement pour s’emparer de tous les actifs clés.
Comment détecter une attaque d'ingénierie sociale ?
Plusieurs signes alarmants peuvent indiquer une attaque d’ingénierie sociale. Voici quelques astuces pour détecter les tentatives des cybercriminels.
Tout d’abord, méfiez-vous des messages suspects ou inhabituels. Même si l’expéditeur est une personne de votre entourage, un cybercriminel peut facilement voler ou imiter l’identité d’une personne. Prenez soin d’examiner le contenu d’un email, même s’il provient d’un ami, d’un proche ou d’un collègue.
De même, prenez garde aux étrangers proposant des offres attrayantes. Un mail annonçant une victoire à la loterie ou un SMS offrant une carte cadeau doivent susciter la prudence. Ce type de proposition est souvent trop beau pour être vrai…
Enfin, ne laissez pas la passion prendre le pas sur la raison. Les arnaqueurs par ingénierie sociale sont des manipulateurs, et jouent avec les émotions telles que la peur, l’envie ou l’empathie. Leur but est d’instaurer une notion d’urgence, pour éviter que vous réfléchissiez trop à leurs narratifs.
Par exemple, un escroc peut vous prendre par les sentiments en se faisant passer pour une personne malade dans le besoin. Une autre technique consiste à faire croire à un employé que l’entreprise subit une cyberattaque, et qu’il doit immédiatement donner son mot de passe.
Une formation de cybersécurité pour protéger l'entreprise contre le Social Engineering
Plus encore que de détecter ces tentatives, il est essentiel de faire preuve de vigilance et d’adopter un état d’esprit « zero-trust » pour ne pas se laisser piéger. C’est la raison pour laquelle une formation d’initiation à la cybersécurité pour tous les employés permet de solidifier les défenses de l’entreprise.
Tous les membres de l’organisation doivent avoir conscience que l’ingénierie sociale existe, et être familiarisés avec les tactiques les plus courantes. Ceci concerne aussi bien les simples employés que les cadres et les managers.
Afin de former votre effectif à la cybersécurité, vous pouvez choisir la Cyber University. Nous proposons des formations sur mesure, conçues par des experts pour répondre à vos besoins.
À travers ce parcours, vos employés apprendront à reconnaître les tentatives d’attaque de Social Engineering et à réagir adéquatement. Grâce à notre simulateur de cyberattaque, ils seront préparés à repousser une attaque en situation réelle !
Si vous souhaitez commencer une carrière ou vous reconvertir dans la cybersécurité, vous pouvez aussi suivre notre formation d’analyste SOC 2. Ce cursus permet d’acquérir toutes les compétences pour devenir analyste de cybersécurité.
À travers les différents modules, vous apprendrez les principales stratégies d’attaque et de défense, les composantes de la cyberdéfense, le cadre juridique et normatif, ou encore la gestion de crise cyber.
Cette formation de 365 heures s’effectue entièrement en ligne, via internet. Elle peut être complétée en BootCamp ou en Formation Continue, et notre organisme est éligible au CPF pour le financement. Découvrez dès maintenant la Cyber University !
Vous savez tout sur le Social Engineering. Pour plus d’informations sur ce sujet, découvrez notre dossier complet sur le phishing et notre dossier sur les malwares.