La personne et ses données personnelles, le retour du Social Engineering !
Le retour du hacking à l’ancienne !
Même si de nouvelles pratiques de hacking ne cessent d’émerger, toujours plus techniques, toujours plus fourbes, depuis quelques temps la plus vieille technique est de retour avec pour principe la base du piratage : le maillon faible de la sécurité informatique est entre le chaise et le clavier.
Tout le monde a déjà entendu parler de virus, de ransomwares, de vers et autres programmes malveillants. Ils peuvent s’installer et agir sur les données de multiples façons. Ces menaces peuvent chiffrer les fichiers, demander une rançon ou encore rendre un ordinateur inopérable…
Le social engineering et sa mise en application par celui qui est souvent considéré comme le plus grand cyberpirate de tous les temps Kevin Mitnick est une technique simple, éprouvée qui a permis, en 1983 de pirater les serveurs du Pentagone !
Depuis quelques temps, cette technique est de retour avec une grande efficacité, en partie due à la multitude de donnée (personnelles) disponibles en libre accès sur le Web.
Le concept du Social Engineering
Le Social Engineering, ou Attaque par Ingénierie Sociale en français, n’est basé ni sur l’outil informatique, ni sur l’exploitation de failles matérielles ou logicielles. Ce type d’attaque utilise une autre faille : l’Humain. Le Social Engineering vise à manipuler une personne, la victime, afin de soustraire des informations du système informatique ou de s’y introduire, sans avoir besoin de procéder à un quelconque piratage informatique classique.
Le fonctionnement des attaques de type Social Engineering
La persuasion et la manipulation sont les clefs de voûte de cette technique. Le Social Engineering peut être appliqué sous divers scénarios, ce qui peut le rendre d’autant plus difficile à identifier. Le malfaiteur chercher à exercer une pression psychologique sur la victime, en invoquant l’urgence ou la confidentialité pour obtenir rapidement les informations souhaitées.
Quelques exemples autour du monde
Les exemples d’attaques de type Social Engineering sont malheureusement nombreux. Les scénarios sont en effet illimités. Voici quelques cas concrets trouvés autour du monde.
En France, dans une petite entreprise, un malfaiteur a usurpé l’adresse e-mail du Dirigeant pour envoyer des emails à la Directrice des Affaires Financières. Le message demandait de faire des virements sur des comptes bancaires pour l’ouverture et le déploiement de leur marché vers la Chine. L’usurpateur a joué sur la confidentialité de cette affaire et a demandé à ce que ces actions soient exécutées rapidement et discrètement.
Dans une autre région, des travaux de fibre étaient en cours dans un espace d’entreprises. Pour accéder aux données de l’entreprise qu’il ciblait, le malfaiteur s’est fait passer pour un technicien Orange. Il a ainsi demandé à accéder à la salle serveur de la société. Le collaborateur chargé de l’accueil a guidé le technicien à la salle serveur. Une fois installé, le hacker a pu y introduire un dispositif permettant de lui accorder un accès à distance au réseau de l’entreprise.
Enfin, au Japon, des cybercriminels ont utilisé un service de livraison à domicile pour distribuer des CD qui étaient infectés avec un cheval de Troie espion. Les adresses des clients d’une banque japonaise avaient été dérobées dans la base de données de la banque. Les hackers ont ensuite fait envoyer les CD infectés directement aux clients de l’établissement, afin de récupérer leurs données bancaires.
Comment se protéger concrètement du Social Engineering ?
Les scénarios d’attaque par le Social Engineering sont nombreux, et c’est ce qui fait sa complexité. Il n’y a malheureusement pas de solution clés en main pour se prémunir de ces attaques mais il découle un certain nombre de bonnes pratiques à appliquer dans chaque entreprise.
- Sensibiliser les collaborateurs : le point clé du Social Engineering est l’utilisateur. Il est donc primordial de sensibiliser les collaborateurs sur l’enjeu et la criticité des informations qu’ils véhiculent. Il est également important de leur faire prendre conscience de l’impact qu’ils peuvent avoir sur un système informatique.
- La mise en place de tests : afin d’avertir les utilisateurs, il est envosageable de mettre en place des tests de phishing. Le phising, aussi appelé hameçonnage, vise à envoyer de faux emails ou passer de faux appels téléphoniques aux employés. Le but de ce test est de simuler une attaque de Social Engineering. Ce type d’exercice permet d’analyser le nombre d’ouvertures du faux email, d’identifier les personnes ayant cliqué sur le lien frauduleux, etc… Il est ainsi possible d’identifier les personnes vulnérables et établir un plan de formation ou de sensibilisation auprès d’elles.
- La formation : il est important de faire en sorte que les collaborateurs d’une entreprise aient connaissance des moyens et techniques utilisés par les pirates informatiques. Il faut les former sur les bonnes pratiques informatiques. Ceci leur permettra par exemple de détecter un email frauduleux, usurpé, ou une pièce jointe suspecte et de déclencher une suite d’actions auprès du service informatique.
En bref
La sécurité informatique ne se joue donc pas uniquement sur des mécanismes informatiques complexes. Les meilleurs équipements informatiques de sécurité ne serviront à rien si l’humain n’est pas prudent.
Enfin, même s’il est crucial pour chaque entreprise de s’assurer des différents mécanismes de sécurité qui sont déployés, cela n’est pas synonyme d’un risque « zéro » qui – par définition – n’existe pas. La formation continue et la sensibilisation des employés permettra cependant de s’en rapprocher.