Prevent yourself from social engineering

Qu’est-ce que l’ingénierie sociale ?

22 Oct, 2020  - écrit par  dans Sécurité

Le piratage et l’ingénierie sociale sont deux termes différents mais liés.

Le piratage consiste en l’obtention d’un accès non autorisé à un réseau ou à une ressource informatique, peu importe la technique employée. L’ingénierie sociale quant à elle, passe par une manipulation dont l’objectif est d’obtenir des informations ou d’accéder à des informations que la personne ne devrait pas posséder.

Selon cette définition générale, l’ingénierie sociale est aussi vieille que les abus de confiance et l’espionnage, mais lorsque les gens évoquent l’ingénierie sociale, ils désignent souvent l’accès à des systèmes informatiques quelconques.

A l’origine, le terme « ingénierie sociale » a été inventé par le hacker Kevin Mitnick, qui s’est distingué par son activité de piratage informatique. Cette notion désigne les techniques qu’il utilisait pour mentir, contraindre, flatter ou manipuler en vue d’obtenir ce qu’il voulait.

Qui sont les ingénieurs sociaux ?

Selon la définition que l’on veut donner à ce terme, n’importe qui peut être un ingénieur social, mais au sens plus spécifique du terme, il existe trois grandes catégories d’ingénieurs sociaux :

Les acteurs gouvernementaux

  • Les agents de renseignement
    Dans ce cas, l’ingénieur social cherche à accéder à des informations utiles pour son gouvernement.
  • L’application de la loi
    Les agents des forces de l’ordre peuvent également utiliser des techniques d’ingénierie sociale pour poursuivre une enquête, ou, de manière moins éthique, pour intimider ou harceler des cibles, de coutume dans les pays aux régimes oppressifs.
  • Cyber guerriers
    La cyberguerre est devenue une des principales préoccupations de l’opinion publique américaine depuis les élections de 2016. Mais la cyberguerre utilise également l’ingénierie sociale pour attaquer plus directement d’autres pays, comme lorsque les États-Unis ont saboté le matériel de traitement de l’uranium iranien en laissant traîner subrepticement des clés USB infectées par Stuxnet, un ver sophistiqué qui visait les machines de contrôle industriel.

Les acteurs du monde de l’entreprise

  • Professionnels de la sécurité
    Un testeur d’intrusion est une personne engagée par une entreprise pour tester la sécurité de son réseau et de ses systèmes. Il peut avoir recours à l’ingénierie sociale pour tenter d’y accéder.
  • Courtiers en information
    Les courtiers en information sont des entreprises spécialisées dans la vente d’informations. Leurs employés ont parfois recours à l’ingénierie sociale pour obtenir des informations sur une cible.
  • Chasseurs de têtes
    Les chasseurs de têtes sont engagés par une entreprise pour recruter des talents spécifiques. Ils peuvent utiliser l’ingénierie sociale pour obtenir plus d’informations sur une recrue potentielle, en prétendant par exemple être quelqu’un qu’ils connaissent et en lui demandant d’effectuer une tâche liée à une compétence spécifique pour voir s’il possède cette compétence.
  • Espionnage d’entreprise
    Certains acteurs peuvent également être engagés par des entreprises pour recueillir des renseignements sur leurs concurrents.

Criminels

  • Voleurs d’identité
    Il arrive que ces derniers tentent de voler votre identité afin d’accéder à votre compte bancaire, mais ils peuvent aussi chercher à usurper votre identité en ligne pour diverses raisons.
  • Employés mécontents
    Un employé mécontent est un ingénieur social potentiellement dangereux, précisément parce qu’il peut être familier avec toutes les procédures de sécurité que vous avez mises en place et pourrait également savoir comment mettre un employé actuel à l’aise, en se référant à des expériences partagées, des lieux connus, et même des personnalités connues du bureau.
  • Arnaqueurs
    Pour finir, les escrocs vivent de leurs efforts d’ingénierie sociale pour vous manipuler.

Qu’est-ce qui motive l’ingénierie sociale ?

La motivation humaine semble complexe, mais il n’est pas nécessaire d’être psychologue pour comprendre qu’elle se résume souvent à quelques motivations simples. Si certaines de ces motivations peuvent dépendre des rôles mentionnés ci-dessus, les ingénieurs sociaux peuvent également être intéressés par le fait de tromper leurs cibles pour quelques raisons :

  1. L’argent
    L’ingénieur social peut être motivé par l’argent. C’est d’ailleurs la source de motivation la plus courante, au cœur de la plupart des escroqueries de phishing et autres. Généralement, quelqu’un essaie de vous voler de l’argent.
  2. Politique
    Parallèlement aux « hacktivistes » qui utilisent des techniques de piratage informatique, dont l’ingénierie sociale, pour cibler des individus, des entreprises, des gouvernements ou des organisations à but non lucratif avec lesquels ils ont des différends politiques, il est tout aussi courant que des agents gouvernementaux utilisent l’ingénierie sociale pour s’attaquer à des opposants politiques, tant étrangers que nationaux.
  3. Fun
    Certains des meilleurs ingénieurs sociaux sont généralement motivés, au moins en partie, par le plaisir qu’ils éprouvent à importuner quelqu’un. Cela est également lié à…
  4. L’ego
    Il y a certainement quelque chose à dire également sur le fait de pouvoir déclarer que vous avez réalisé un exploit audacieux.
  5. Revanche
    Peut-être qu’il ne s’agit pas de la satisfaction d’avoir accompli un gros coup, mais plutôt d’une affaire plus personnelle, comme un ex-employé qui s’en prend à l’employeur qui l’a licencié.
  6. L’appartenance sociale
    Chaque individu désire éprouver le sentiment d’appartenir à un groupe, et les membres des groupes sociaux font des choses pour s’impressionner les uns les autres. Un ingénieur social pourrait vouloir impressionner un groupe auquel il appartient, ou auquel il aspire.

Comment fonctionne l’ingénierie sociale ?

Quel que soit l’ingénieur social et quelle que soit sa motivation, l’ingénierie sociale se résume à la capacité de convaincre quelqu’un de vous donner des informations ou un accès que vous ne devriez pas avoir.

Habituellement, l’ingénierie sociale repose sur une stratégie visant à désarmer les appréhensions naturelles de quelqu’un. En général, les ingénieurs sociaux y parviennent en utilisant ce qu’on appelle le « prétexte ».

Nous pourrions prendre comme exemple un ingénieur social accédant au compte bancaire d’une personne en appelant la banque et en se faisant passer pour celle-ci.

Il pourrait également accéder à un lieu de travail en se faisant passer pour un livreur ou un collègue (ce qui est particulièrement problématique pour les grandes organisations) ou même pour un patron.

Plus la recherche et la planification d’un « prétexte » sont nombreuses, plus il a de chances de réussir.

Comment les ingénieurs sociaux obtiennent-ils des informations ?

Obtenir des informations est généralement l’objectif d’un ingénieur social, mais c’est aussi souvent le point de départ pour pouvoir établir la confiance nécessaire afin d’obtenir les informations sensibles requises.

Tout d’abord, un grand nombre d’informations sont souvent disponibles gratuitement en ligne et peuvent être utilisées
par un ingénieur social. Il peut s’agir d’informations d’apparence anodines comme la date de naissance, le numéro de téléphone, l’adresse e-mail ou l’adresse physique.
Avec ces informations de base, un ingénieur social peut avoir accès à des comptes personnels comme les comptes bancaires. Si c’est son but.

Il peut également recueillir des informations en fouillant dans les poubelles. Parfois, des individus et des entreprises peuvent jeter des informations qui indiquent à un ingénieur social ce qu’ils ont besoin de savoir. La consultation de leurs poubelles peut conduire à la découverte d’un élément d’information clé qu’un ingénieur social pourra utiliser.

Enfin, il existe une méthode que les agences de renseignement appellent « élicitation » [lien en anglais]. Il s’agit de l’art d’obtenir des informations sans les demander. C’est généralement assez ciblé, mais il peut s’agir d’informations récoltées lors de conversations informelles, en ligne ou en personne. Il est important de se méfier des informations que vous fournissez, même dans une conversation banale, à des étrangers, surtout si vous avez accès à des informations particulièrement sensibles. Décrire certains aspects de votre espace de travail peut sembler inoffensif, mais cela pourrait éventuellement être utilisé pour y accéder.

Comment l’ingénierie sociale manipule-t-elle les gens ?

Il existe différentes formes de manipulation utilisées dans l’ingénierie sociale. En principe, elles exploitent une sorte de biais cognitif lorsqu’elles le font. Certaines techniques courantes sont :

  • Appel à l’autorité

Si vous connaissez l’expérience Milgram [lien en anglais] vous saurez à quel point les gens sont susceptibles de se conformer à quelqu’un simplement parce qu’ils perçoivent cette personne comme une autorité. Se faire passer pour un policier, un manager, ou simplement pour quelqu’un qui semble, ressemble ou agit comme s’il était responsable.

Dans un scénario d’ingénierie sociale, quelqu’un se conforme à l’ingénieur social parce qu’il pense que cette personne répresente une forme d’autorité. Cette méthode est souvent utilisée par les hameçonneurs qui sont un cran au-dessus de l’escroquerie du « prince nigérian ». Par exemple, ils peuvent vous envoyer un mail en prétendant être votre patron en réunion avec un client important, vous demandant de leur transférer de l’argent pour que ce client soit satisfait. En prétendant être votre patron, ils font appel à l’autorité.

  • Coût irrécupérable

Le raisonnement des « coûts irrécupérables » consiste à croire qu’une fois qu’on a investi autant dans quelque chose – que ce soit du temps, de l’argent ou des efforts – il faut continuer à le faire « pour aller jusqu’au bout », même si cet investissement s’est jusqu’à présent révélé improductif. Les ingénieurs sociaux peuvent utiliser cette tendance pour vous faire adopter une ligne de conduite que vous n’auriez pas adoptée autrement, parce que vous êtes déjà allé si loin.

  • Cohérence

Cela fonctionne de la même manière que la logique des « coûts irrécupérables » dans la mesure où toutes deux reposent sur l’idée que les gens veulent fondamentalement être cohérents. Vous pouvez être manipulé de manière très subtile. Cette technique est souvent utilisée dans les interrogatoires criminels. Par exemple, plutôt que de lui demander de dire la vérité sur son implication dans un crime particulier sur lequel il ment, on peut demander à un suspect de se confier sur un détail plus petit, comme être capable de décrire une personne, un lieu ou une chose impliquée. Les détectives peuvent utiliser ce petit engagement pour orienter le comportement de cette personne afin qu’elle reste cohérente avec la déclaration précédente. Cette technique peut être utilisée par n’importe qui pour obtenir des informations de quelqu’un d’autre.

  • Réciprocité

La « réciprocité » en psychologie sociale est un terme qui se résume à répondre à une action positive par une autre action positive.

Dans le contexte de l’ingénierie sociale, cela peut prendre plusieurs formes. L’exemple classique est le fait de faire un compliment à quelqu’un. Recevoir un compliment donne naturellement envie à quelqu’un de faire quelque chose de gentil en retour. Mais cela peut aussi s’appliquer à des situations comme les négociations et le marchandage des prix. Lorsque quelqu’un concède un certain montant de son offre initiale, l’autre personne ressent le besoin d’en concéder également parce que la concession initiale est comprise comme une sorte de « cadeau ».

  • Le manque ou le Syndrome FoMO

Un ingénieur social peut également jouer sur le sentiment de rareté ou votre « peur de rater quelque chose ». Ce sentiment est souvent utilisé pour créer un sentiment d’urgence qui vous pousse à baisser votre garde.

Des phrases comme « si vous agissez maintenant … » ou « il ne reste que x … » incitent les gens à cliquer sur les liens dans les mails, par exemple, sans les examiner plus attentivement.

  • Preuve sociale

C’est un autre concept issu de la psychologie sociale mais c’est essentiellement l’effet recherché par les barmen qui mettent de l’argent dans le pot à pourboire au début de la nuit. Cela incite les clients à donner un pourboire parce qu’ils voient que d’autres personnes ont donné un pourboire. Cela crée une sorte d’obligation sociale qui pousse les gens à prendre des décisions qu’ils ne prendraient pas autrement.

Voilà toutes les méthodes que les gens peuvent employer pour manipuler psychologiquement une personne. Comme le montrent les nombreux exemples mentionnés ci-dessus, elles ne sont pas toujours utilisées dans le cadre de l’ingénierie sociale, ou nécessairement de manière malveillante. Cependant, parce qu’elles reposent sur les préjugés intimes des gens, elles peuvent être utilisées pour les conduire sur une voie qui mène à la révélation d’informations ou à l’accès à des lieux ou à des systèmes que la personne qui les demande ne devrait pas avoir le droit d’utiliser.

Comment se protéger contre l’ingénierie sociale

La seule véritable façon d’éviter l’ingénierie sociale c’est d’être prudent. Si vous travaillez dans un secteur sensible, ne parlez pas de détails aux personnes que vous venez de rencontrer. Si vous répondez à des questions ou à des appels de clients, sachez que les gens peuvent vous appeler en se faisant passer pour quelqu’un qu’ils ne sont pas et peuvent utiliser certaines de ces techniques à votre encontre.

Ne laissez pas les gens vous intimider pour que vous enfreigniez les règles en leur nom.

Si ce n’est pas vous qui répondez au téléphone mais que vous avez un pouvoir de décision, assurez-vous que votre équipe soit bien formée et que vous ayez mis en place des processus pour prévenir l’ingénierie sociale.

Enfin, les attaques de phishing font partie des formes les plus courantes d’ingénierie sociale. Lorsque vous recevez un mail vous demandant quelque chose de sensible, surtout, ne vous précipitez pas. Prenez votre temps pour vérifier toute demande. Ralentissez et vérifiez les liens et l’adresse mail de l’expéditeur. Demandez une preuve que la personne qui vous contacte est bien celle qu’elle prétend être.

Si vous pensez être victime d’ingénierie sociale

⚠️ Signalez-le immédiatement !

Contactez toute personne, comme votre banque ou votre fournisseur de téléphonie mobile, qui pourrait être amenée à surveiller vos comptes. Si des informations professionnelles sensibles peuvent être exposées, contactez votre employeur. Changez tous vos mots de passe et déposez une plainte auprès de la police si nécessaire.

Et n’ayez pas peur de vérifier ! Par exemple, si votre banque vous appelle, demandez un délai pour la rappeler.