Noël approche, une période idéale, n’est-ce pas ? Détendez-vous, prenez les choses une par une, et profitons des fruits de notre travail. Heuh, peut-être pas tant que ça.
Les Grands de ce monde et la Silicon Valley se disputent pour savoir qui espionne qui, et les techniques d’ingénierie sociale semblent gagner du terrain avec des particuliers et des entreprises qui en font de plus en plus les frais.
Attendez, vous avez parlé d’ingénierie sociale ? Quel est le rapport ? L’ingénierie sociale... Est-ce que cela a à voir avec l’aménagement du territoire ?... À moins qu’il ne s’agisse de modification comportementale ? Non. Ni l’un ni l’autre.
Vous souvenez-vous du film « l’Arnaque », un grand classique (avec encore une fois Robert Redford et Paul Newman, mes acteurs préférés déjà évoqués dans de précédents articles de blog consacrés aux vols de banques en ligne) ? Dans ce film, les héros sont en fait des « escrocs », ou « arnaqueurs », qui préparent un « gros coup » contre un célèbre gangster pour lui soutirer un demi-million de dollars. (Attention, en 1936 la somme de 500 000 dollars équivalait à 9 millions de dollars aujourd’hui). Ils élaborent une mise en scène complexe, s’appuyant sur les renseignements de base dont ils disposent sur le gangster à « pigeonner » (superbement interprété par Robert Shaw), et multiplient les rencontres « fortuites » et les manœuvres pour endormir ses soupçons. Leur objectif : récupérer plus d’informations pour mieux gagner sa confiance. Ils exécutent leur arnaque pour appâter le pigeon, puis une fois le poisson ferré, le piège se referme et ils peuvent alors empocher le jackpot – attention spoiler.... mais si vous n’avez pas vu ce film de 1973, il est encore temps !
Cela revient en gros à de l’ingénierie sociale : un jeu basé la confiance interpersonnelle. Ceux qui ont recours à ces techniques sont des hackers. Ils mettent sur pied des arnaques « d’hameçonnage » (phishing) où ils interagissent et posent des questions pour instaurer une relation de confiance dans le but de récupérer une quantité suffisante de renseignements personnels. Lors de ce badinage poli et de ces interactions sociales par téléphone, e-mail et via les réseaux sociaux comme Facebook, les victimes lâchent ce qui ressemble à des bribes d’informations qui, une fois exploitées, livrent les clés du royaume. Lorsque ce type d’escroquerie basée sur l’ingénierie sociale fonctionne, les malfaiteurs sont en mesure d’obtenir l’accès à l’argent, aux données privées et aux secrets de la victime — ce que certains appelleraient les trois grands vices déclencheurs d’arnaques de base dans notre société hyperconnectée.
Coût des arnaques par ingénierie sociale
Au fil des années, ces maîtres de l’ingénierie sociale ont travaillé dur à peaufiner leur art pour pouvoir exploiter les vulnérabilités en ligne et politiques de cryptographie même les plus récentes. Rien qu’aux États-Unis, le FBI déclare à l’American Banking Journal que le cumul des coûts de piratage par ingénierie sociale depuis 2013 s’élève à 1,6 milliard de dollars US pour les entreprises. Et selon le Ponemon Institute et le rapport d’Accenture, « 2017 Cost of Cyber Crime Study (Étude de 2017 sur le coût de la cybercriminalité) », cela représente une augmentation des coûts de 62 % en moyenne. Parmi les autres infos extraites de ce rapport :
- Les organisations paient un coût annualisé moyen de 11,7 millions de dollars pour lutter contre la cybercriminalité (chiffre en hausse de 23 % par rapport à l’année précédente).
- En moyenne, les organisations sont confrontées à 130 violations de sécurité chaque année (en hausse de 27 % d’une année sur l’autre).
À la question fondamentale sur « le rapport entre toutes ces statistiques de cyberincidents et l’ingénierie sociale », il répond que « parmi ces pertes énormes, plus de 90 % peuvent être imputées au facteur humain ».
Types d’ingénierie sociale et points de vigilance
D’après Interpol, les arnaques qui mobilisent des techniques d’ingénierie sociale peuvent se diviser en deux grandes catégories :
- Les fraudes massives : attaques utilisant des techniques de base et ciblant un grand nombre de personnes
- Les fraudes ciblées : plus sophistiquées, ces attaques ciblent des individus ou des entreprises spécifiques.
Interpol nous indique également que la plupart des arnaques par ingénierie sociale procèdent en quatre phases identiques :
- Collecte d’informations
- Établissement de la relation
- Exploitation de vulnérabilités identifiées
- Exécution
Dans son article « What is Social Engineering: DEFINING AND AVOIDING COMMON SOCIAL ENGINEERING THREATS », Nate Lord, ancien rédacteur en chef du Data Insider, dresse la liste des principes de base qui permettent de reconnaître les formes les plus simples d’attaques par ingénierie sociale et de former les autres :
- Phase d’appâtage (baiting) : les malfaiteurs déposent un dispositif de stockage — clé USB ou CD — infecté par un malware dans un lieu où il sera susceptible d’être ramassé. Conseil : ne cédez jamais à la tentation de charger le contenu d’un dispositif de stockage trouvé par hasard sur votre ordinateur.
- Hameçonnage (phishing) : on parle d’hameçonnage lorsqu’un malfaiteur fait passer pour légitimes des messages frauduleux qui affirment — ou semblent — provenir d’une source de confiance. La victime d’une attaque par hameçonnage se fait piéger lorsqu’elle installe, à son insu, un malware sur son terminal ou qu’elle partage des informations personnelles, financières ou professionnelles de manière involontaire. Si l’e-mail est le mode de communication privilégié des hameçonneurs, d’autres techniques peuvent être utilisées comme les applications de messagerie instantanée, les réseaux sociaux, les appels téléphoniques ou les faux sites qui ressemblent aux vrais. Dans le pire des cas, les hameçonneurs n’hésitent pas à lancer des appels aux dons suite à une catastrophe naturelle ou une tragédie. En exploitant ainsi la générosité des hommes, ils les pressent de faire un don — et, par conséquent, de saisir leurs données personnelles ou de paiement. Reportez-vous à l’un des articles récemment publiés sur le blog de GlobalSign qui détaille les techniques d’hameçonnage.
- Utilisation de prétextes : prétextes et hameçonnage par téléphone ou e-mail se ressemblent assez puisque le pirate crée de fausses circonstances pour inciter sa victime à lui permettre d’accéder à des données sensibles ou à des systèmes protégés. On parle de prétexte lorsqu’un arnaqueur prétend avoir besoin de données financières pour confirmer l’identité de son destinataire ou bien se fait passer pour une entité de confiance — collègue de la DSI de l’entreprise — pour piéger sa victime. Son but ? La pousser à révéler ses identifiants de connexion ou à lui donner accès à son ordinateur. Contrairement aux e-mails d’hameçonnage qui jouent sur la peur et le sentiment d’urgence, ceux qui invoquent divers prétextes pour parvenir à leurs fins cherchent à établir une fausse relation de confiance avec leur cible. Il leur faut pour cela échafauder un scénario crédible qui ne laisse pratiquement aucune place au doute du côté de la cible.
- Quid pro quo : on parle d’attaque « quid pro quo » lorsque les assaillants cherchent à obtenir des informations privées en proposant en échange un cadeau ou une forme de compensation. C’est ce qu’il se passe lorsqu’un malfaiteur propose un cadeau en échange des identifiants de connexion. N’oubliez jamais que si c’est trop beau pour être vrai, c’est sûrement le cas.
- Harponnage (Spear phishing) : il s’agit d’un type d’attaque par hameçonnage extrêmement ciblé sur un individu ou une organisation en particulier. Ces attaques utilisent des informations personnelles spécifiques à la cible pour gagner sa confiance et se donner une apparence de légitimité. Bien souvent, les pirates glanent ces informations sur les comptes de réseaux sociaux de leurs victimes ou en pistant leurs activités en ligne. En personnalisant leurs tactiques d’hameçonnage, les pirates enregistrent de meilleurs « taux de réussite ». Ils poussent ainsi davantage de victimes à divulguer ou à leur donner accès à des renseignements sensibles (données financières ou secrets commerciaux).
- Talonnage (tailgaiting) : technique d’ingénierie sociale physique consistant pour une personne non autorisée à suivre une personne dûment habilitée afin de s’introduire dans un lieu sécurisé. Objectif ? Récupérer des biens de valeur ou des informations confidentielles. Les victimes de tailgating acceptent par exemple d’ouvrir, sur demande, la porte à une personne qui prétexte avoir oublié son badge d’accès. Autre cas de figure, une personne souhaite emprunter leur téléphone ou ordinateur portable pour effectuer une tâche simple… mais en profite pour installer un malware ou dérober des données.
Lord conclut ainsi : « l’ingénierie sociale représente une menace sérieuse et permanente pour de nombreuses entreprises et consommateurs qui tombent dans le panneau. La formation constitue donc la première étape pour protéger votre organisation d’agresseurs astucieux qui n’hésitent pas à recourir à des méthodes d’ingénierie sociale de plus en plus sophistiquées pour accéder à des données sensibles. »
Dans un récent article publié sur le blog FoolsRushln.info, l’auteur détaillait le mode opératoire habituel d’une attaque par ingénierie sociale en s’appuyant sur l’exemple d’arnaqueurs ayant réussi à s’introduire dans le système informatique d’un employé d’une entreprise à l’aide de techniques de spear phishing et l’utilisation de prétextes. Un article à lire qui se termine sur une citation d’une étude d’IBM :
« Ce qui est à la fois fascinant et décourageant, est que sur l’ensemble des incidents ayant fait l’objet d’une enquête, “l’erreur humaine” est considérée comme un facteur contributif. Parmi les formes d’erreur humaine les plus fréquemment rencontrées : une configuration système erronée, une mauvaise gestion des correctifs, l’utilisation des noms d’utilisateur et mots de passe par défaut ou faciles à deviner, la perte d’ordinateurs portables ou de terminaux mobiles, la divulgation d’informations réglementées à cause d’une mauvaise adresse e-mail. Quelle erreur humaine est la plus fréquemment mise en cause ? Le “double-clic” sur une pièce jointe infectée ou une URL dangereuse ».
Des consommateurs également victimes d’attaques par ingénierie sociale
Dans le rapport Norton sur la cybersécurité, une enquête réalisée en ligne auprès de 21 549 personnes de plus de 18 ans sur une vingtaine de marchés confirmait l’impact de l’ingénierie sociale sur des consommateurs qui se retrouvaient par conséquent en situation de vulnérabilité.
« En matière de cybersécurité, les consommateurs pêchent par excès de confiance et se retrouvent fragilisés, permettant ainsi aux cybercriminels de rehausser leur niveau de jeu avec in fine des attaques records. »
Quelques chiffres extraits de ce rapport :
- 978 millions de personnes à travers 20 pays ont été concernées par la cybercriminalité en 2017
- 44 % des consommateurs ont été impactés par la cybercriminalité au cours des 12 derniers mois
- Principaux actes de cybercriminalité dont les consommateurs ou une personne de leur entourage ont fait l’objet :
- Infection d’un dispositif ou équipement par un virus ou une autre menace pour la sécurité (53 %) ou fraude à la carte bancaire ou de paiement (38 %)
- Compromission d’un compte accessible par mot de passe (34 %)
- Violation d’accès ou piratage d’un compte e-mail ou de réseau social (34 %)
- Achat en ligne s’avérant être une escroquerie (33 %)
- Clic sur un e-mail frauduleux ou transmission d’informations sensibles (personnelles/financières) en répondant à un e-mail frauduleux (32 %)
Le rapport résume la situation en ces termes : « En conséquence, le montant des pertes pour les consommateurs ayant été victimes d’actes de cybercriminalité à travers le monde s’élève à 172 milliards, soit 142 dollars de pertes en moyenne par victime, et près de 24 heures (soit pratiquement trois jours de travail complets) consacrées à la gestion des conséquences. » Vous aurez remarqué que les trois derniers exemples constituent des formes d’ingénierie sociale.
Aux États-Unis, l’équipe d’évaluation de la préparation aux situations d’urgence informatique (United States Computer Emergency Readiness Team) (oui, ça existe !) a récemment révisé et souligné ce qu’elle considère relever des bonnes pratiques de sécurité pour les particuliers comme pour les entreprises.
- Méfiez-vous des appels téléphoniques, des visites ou des courriels non sollicités provenant d’individus qui vous posent des questions sur certains employés ou cherchent à obtenir d’autres renseignements internes. Si un inconnu prétend appartenir à une organisation légitime, essayez de vérifier son identité directement auprès de l’entreprise.
- Ne donnez aucun renseignement personnel sur vous ou sur votre organisation (structure ou réseaux, par exemple), sans être certain que la personne est habilitée à recueillir ces renseignements.
- Ne divulguez aucune information personnelle ou financière par e-mail et ne répondez pas aux messages de sollicitation pour obtenir ces renseignements. Cela vaut également pour les liens contenus dans ce type d’e-mail : ne cliquez pas dessus.
- N’envoyez pas d’informations sensibles sur Internet avant de vous être assuré que le site Web en question était sécurisé.
- Faites attention à l’URL des sites Web. Un site Web malveillant peut ressembler comme deux gouttes d’eau à un site légitime, à certaines variantes orthographiques près ou l’usage d’un domaine différent (.com au lieu de .net, par exemple).
- Si vous doutez de la légitimité d’une demande reçue par e-mail, essayez de contacter l’entreprise directement pour vous en assurer. N’utilisez pas les coordonnées indiquées sur un site Web lié à la demande ; vérifiez plutôt les coordonnées des interlocuteurs indiqués dans les messages précédents. Vous trouverez également des renseignements sur les attaques d’hameçonnage connues en ligne en vous adressant à des groupes comme le Anti-Phishing Working Group.
- Installez un logiciel antivirus et mettez-le régulièrement à jour, sans oublier les pare-feu et anti-spams pour réduire une partie de ce trafic malveillant.
- Profitez des fonctions anti-hameçonnage offertes par votre client de messagerie et votre navigateur Web.
Avertissement CERT : que faire si vous pensez avoir été piégé ?
- Si vous pensez avoir révélé des informations sensibles sur votre organisation, signalez-le aux responsables dans votre organisation, y compris aux administrateurs réseau. Ils pourront ainsi redoubler de vigilance face à toute activité suspecte ou inhabituelle.
- Si vous pensez que vos comptes financiers sont susceptibles d’avoir été compromis, prenez immédiatement contact avec votre établissement financier et fermez les comptes potentiellement compromis. Repérez les éventuels frais inexpliqués sur votre compte.
- Changez immédiatement les mots de passe que vous êtes susceptible d’avoir révélés. Si vous utilisiez le même mot de passe pour plusieurs ressources, n’oubliez pas de le changer pour chaque compte, et ne réutilisez pas ce mot de passe.
- Surveillez les autres signes révélateurs d’un vol d’identité.
- Pensez à signaler l’attaque aux autorités et signalez les faits dont vous avez été victime via la plateforme de signalement « Pharos »
En définitive, nous ne sommes que des humains et sommes donc faillibles. Par nature, nous sommes confiants et bienveillants (du moins pour la majorité d’entre nous). Et au bout du compte, nous sommes tous des cibles potentielles pour les escrocs. Mais il faut que nous soyons prêts et que nous sachions à quoi nous en tenir. Pour approfondir le sujet, voici une liste de liens vers des articles parus récemment dans les médias sur les types d’attaques auxquelles il convient d’être vigilant, et sur les moyens pour les entreprises et les consommateurs de se protéger pour éviter de se faire escroquer par les as de l’ingénierie sociale.
