Comment faire face au Social Engineering
Selon le rapport Human Factor, le Social Engineering (ou ingénierie sociale) était la technique la plus utilisée dans le monde du piratage informatique en 2015.
Je m'abonneSelon le Human Factor Research Report, le Social Engineering était la technique la plus utilisée dans le monde du piratage informatique en 2015. Les pirates savent aujourd’hui que l’exploitation des failles humaines au lieu des failles techniques a beaucoup plus de chance d’aboutir.
Qu’est-ce que le Social Engineering (ou Ingénierie sociale) ?
Le Social Engineering regroupe un ensemble de pratiques qui visent à exploiter les faiblesses sociales, psychologiques ou organisationnelles. Ces pratiques permettent à celui ou celle qui les utilise d’acquérir des informations confidentielles, pour les utiliser à l’encontre de sa cible.
Le but principale de ces techniques est donc de manipuler une personne pour obtenir quelque chose sans que cette dernière ne s’en rende compte. Elles représentent un réel danger pour les entreprises. C’est pourquoi ces dernières se doivent de prendre en compte cet aspect non technique du piratage et former leurs employés pour mieux y faire face.
Lire aussi : 4 idées reçues sur le RGPD
L’ingénierie sociale peut se faire via téléphone, courrier électronique, via des réseaux sociaux mais aussi en présence physique de l’attaquant. Ce dernier s’adapte à sa cible, au contexte de l’attaque et aux possibilités qui s’offrent à lui.
Quelles sont les différentes techniques du social engineering ?
Ces techniques restent les plus communes, mais une attaque d'ingénierie sociale peut aussi être un mélange de celles-ci.
-
Pretexting : l’assaillant cherche à créer un prétexte adéquat ou à construire un scénario qu’il utilisera pour tenter de voler les renseignements personnels de sa victime. Il vise à acquérir des identifiants et des mots de passe donnant accès à des systèmes ou des services importants. Par exemple, les utilisateurs pensent suivrent des ordres venants de managers haut-placés et finissent par faire des virements vers des comptes bancaires frauduleux.
-
Phishing (hameçonnage) : similaire au Pretexting, l’ingénieur social crée des e-mails réalistes avec le logo de l’entreprise en prétendant avoir besoin d’informations personnelles. Cela peut sembler ridicule mais ces e-mails sont spécialement conçus pour décourager les contrôles de sécurité et encourager le click de liens non sécurisés, l’ouverture de documents ou le téléchargement de fichiers qui installent des malwares sur les appareils des utilisateurs. Et permettent au pirate de contrôler l’appareil, sans être détecté.
-
Usurpation d’identité : d’où l’importance de protéger et de limiter vos informations personnelles en ligne (adresse email personnelle, vie privée, etc.)
-
Biais cognitifs : L’ingénieur social va exploiter vos préjugés et biais cognitifs dans un contexte précis pour avoir accès à ce qu’il recherche.
Comment une attaque prend-t-elle place ?
Il n’existe pas de méthode prédéfinie pour une attaque de social engineering puisque chaque contexte est différent, mais nous pouvons prendre pour exemple les étapes suivantes :
-
Recueillir un maximum d’informations sur sa cible, ses habitudes, sa fonction au sein de l’entreprise, son adresse email, sa présence sur les réseaux sociaux, son numéro de téléphone et tout autre information, afin de construire un profil lui facilitant la manipulation de la personne visée.
-
Intrusion du système informatique : dans le cas d’un Phishing, l’utilisateur donne accès au pirate, qui pourra installer des malwares sur son ordinateur ou appareil mobile.
-
Mise en place de BackDoor (ou Porte dérobée) : un logiciel malveillant sera utilisé pour mettre en place un BackDoor sur l’appareil. Cette porte dérobée permet un contrôle partiel ou total du système. Ce qui veut dire que le pirate pourra installer toutes sortes de malwares en toute discrétion.
-
Installation du RootKit : une fois l’appareil infecté, le pirate pourra installer un RootKit, qui est un type de malware qui ne sera pas détecté par les logiciels anti-virus puisqu’il sera bien dissimulé dans le système d’exploitation. Ce dernier comprend un ensemble d’outils malicieux tels qu’un programme de capture de mots de passe, un enregistreur de frappe ou encore des fonctionnalités capables de désactiver les logiciels de sécurité.
Il faut savoir qu’un pirate n’a pas forcément besoin d’aller au bout de toutes ces étapes, il peut avoir accès à ce qu’il recherche dès le début, selon le degré de sécurité que vous lui imposez.
Quelles solutions pour les entreprises ?
Le social engineering n’a pas réellement de solution, cependant, votre entreprise peut gérer les risques d’intrusion en formant ses employés et en les sensibilisant à ces menaces. L’essentiel étant de mettre en place des mesures préventives.
Tout le monde peut être victime d’un assaillant expérimenté, c’est pourquoi il est essentiel que vos employés comprennent l’impact qu’ils ont sur votre système de sécurité, qu’ils soient conscients des informations sensibles qu’ils détiennent et comment les sécuriser.
Il vous est possible d’identifier les employés ou clients vulnérables en effectuant des tests de Phishing. Par exemple, envoyer des modèles d’emails à vos employés tout en surveillant leurs réactions, pour mieux programmer des formations sur le sujet.
Il est aussi recommandé de standardiser les procédures administratives à suivre pour l’obtention d’une information sensible, ce qui rendrait la tâche des ingénieurs sociaux plus difficile.
Je m'abonne