L'ingénierie sociale ou l’art de hacker les êtres humains
On est tous habitué à cette image du hacker par défaut : un homme portant un hoodie noir devant un ordinateur. Cette image ne pouvait être loin de la réalité d’aujourd’hui. De nos jours, tout le monde est un hacker potentiel. Au fur et à mesure que la technologie évolue, les méthodes de piratages informatiques deviennent de plus en plus diverses et sophistiquées. Les hackers font appel à une diversité de méthodes, d’outils et à beaucoup d'ingéniosité afin de réussir une attaque informatique. L’objectif étant l'accès à une partie ou la totalité d’un système informatique. Et le moyen le moins coûteux et simple de faire cela c’est de passer par l’aspect humain. C’est là que l'ingénierie social entre en jeu.
Qu’est ce que l'Ingénierie sociale ?
Contrairement à ce que l’on peut croire, l'ingénierie social n’est pas une nouvelle technique. En effet, elle existait bien avant que l’Internet ne devienne ce qu’il est aujourd’hui. Les pratiques du piratage psychologique exploitent les faiblesses psychologiques, sociales et plus largement organisationnelles des individus ou organisations (la serviabilité, la confiance, le respect, la fierté, la reconnaissance, la fuite des conflits ou l’anxiété, etc...) pour obtenir quelque chose frauduleusement. En utilisant ses connaissances, son charisme, son sens de l’imposture ou son culot, l’attaquant cherche à abuser de la confiance, de l’ignorance et de la crédulité de sa cible pour obtenir ce qu’il souhaite. Une ruse vieux comme le monde.
L'ingénierie sociale et le piratage informatique
Dans le contexte de la sécurité de l'information, la désignation ingénierie sociale est déconseillée puisqu'elle n'accentue pas le concept de tromperie. Les termes plus appropriés à utiliser sont le piratage psychologique ou la fraude psychologique.
Même le système le plus sécurisé au monde ne tiendrait pas le coup devant une attaque d'ingénierie social. Dans un système informatisé, la porte d'entrée la plus simple est toujours le facteur humain. Raison pour laquelle les pirates informatiques se servent de l'ingénierie social comme pilier afin de réaliser des attaques plus sophistiquées.
Comment est ce que ça marche ?
Une attaque par ingénierie social peut se dérouler au travers de plusieurs canaux : téléphone, e-mail, messagerie instantanée, et plus rarement face à face
D'une manière générale les méthodes d'ingénierie sociale se déroule selon le schéma suivant :
- Une phase d'approche permettant de mettre l'utilisateur en confiance, en se faisant passer pour une personne de sa hiérarchie, de l'entreprise, de son entourage ou pour un client, un fournisseur, etc.
- Une mise en alerte, afin de le déstabiliser et de s'assurer de la rapidité de sa réaction. Il peut s'agir par exemple d'un prétexte de sécurité ou d'une situation d'urgence, etc….
- Une diversion, c'est-à-dire une phrase ou une situation permettant de rassurer l'utilisateur et d'éviter qu'il se focalise sur l'alerte. Il peut s'agir par exemple d'un remerciement annonçant que tout est rentré dans l'ordre, d'une phrase anodine ou dans le cas d'un courrier électronique ou d'un site web, d'une redirection vers le site web de l'entreprise.
Comment éviter ce genre d’attaque ?
L'un des conseils les plus importants pour se protéger contre les attaques d'ingénierie sociale est de se méfier de vos données et informations. Cela signifie ne pas partager d'informations personnelles sur des sites Web suspects et vous sentir concerné par votre présence sur les réseaux sociaux.
Un autre conseil précieux est de ne pas interagir avec des e-mails, appels ou messages suspects. En cas de doute, essayez de confirmer les informations d'une autre manière. Dans le cas d’un email, quelle que soit la légitimité de cet e-mail, il est plus sûr de saisir une URL dans votre navigateur au lieu de cliquer sur un lien. Ne cliquez pas sur des liens ou n’ouvrez pas de pièces jointes provenant de sources suspectes. Dans le cas d’un appel : au lieu de donner des informations, essayer de rassembler le plus d’information possible de votre interlocuteur pour vérification. Garder vos systèmes à jour et utiliser un logiciel de protection empêche également les infections.
Prenez le temps de réfléchir !!! Les ingénieurs sociaux comptent souvent sur leurs cibles pour agir rapidement, sans envisager la possibilité qu'un escroc soit derrière l'e-mail, l'appel téléphonique ou la demande en face à face sur laquelle ils agissent. Si vous arrêtez un moment et réfléchir à la nature de la demande si elle a du sens ou semble un peu louche, vous serez peut-être plus susceptible d’agir dans votre propre intérêt, et non dans celui de l’escroc.
Quand cela semble trop bon pour être vrai : Sérieusement, quelle est la probabilité qu'un prince nigérian vous sollicite pour votre aide ? Ou, d'un autre côté, qu'un membre de la famille vous envoie un texto pour que vous déposiez une caution en voyage ? Examinez toutes les demandes d'argent, d'informations personnelles ou de tout objet de valeur avant de les remettre. Il y a de fortes chances que ce soit une arnaque - et même si ce n'est pas le cas, mieux vaut prévenir que guérir.
Installez un logiciel antivirus ou une suite de sécurité et maintenez ce logiciel à jour. Assurez-vous également que votre ordinateur et les autres appareils exécutent les dernières versions de leur logiciel d'exploitation. Si possible, configurez les systèmes d'exploitation pour qu'ils se mettent à jour automatiquement. Disposer des dernières versions de ces applications logicielles sur vos appareils vous aidera à vous assurer qu'ils sont préparés aux menaces de sécurité les plus récentes. La plupart des programmes de messagerie peuvent aider à filtrer les courriers indésirables, y compris les escroqueries. Si vous pensez que le vôtre n'en fait pas assez, effectuez une recherche rapide en ligne pour savoir comment modifier ses paramètres. L'objectif est de régler vos filtres anti-spam sur une valeur élevée pour éliminer le plus de courrier indésirable possible.
Vigilance! Vigilance! Vigilance!
L'ingénierie sociale est partout, en ligne et hors ligne et tout le monde peut en être victime (dans le cadre professionnel ou personnel). Votre meilleure défense contre ce type d'attaques est la vigilance. C’est plus facile à dire qu’à faire. Raison pour laquelle il faut vous renseigner plus pour être conscient des risques. Revoir les conseils cités dans cet article, les appliquer au jour le jour pour vous familiariser avec les techniques basiques de sécurité contre l'ingénierie social.
La Rédaction d'Africa CyberSecurity Mag