Social Engineering
Comment les criminels abusent de votre serviabilité
Il est 2 heures du matin. Le téléphone sonne: c’est un informaticien de la société pour laquelle vous travaillez. Il vous alerte qu’un virus informatique a infecté les ordinateurs de votre bureau, détruisant les documents de tous les collaborateurs. C’est pourqoui il nécessite d’urgence votre nom d’utilisateur ainsi que de votre password afin de pouvoir sauvegarder vos documents dans un lieu sûr. Encore tout endormi vous regardez l’écran de votre téléphone: le numéro à partir duquel vous êtes appelé, est vraiment celui de votre entreprise, et le nom sous lequel l’appelant s’est présenté, vous semble familier. Il mentionne également cet important projet sur lequel vous travaillez et dont juste quelques initiés sont au courant. Communiquez-vous l’information souhaitée au prétendu collaborateur? Après tout, cela semble urgent et vous ne voulez certainement pas être responsable d’une énorme fuite de données (voir: protégez vos données)). Comment réagiraient vos collègues s’ils obtiennent le même appel?
Ingénierie sociale (Social Engineering) – les faits
Le Social Engineering (de l’anglais: “sciences sociales appliquées”) est en fait une manipulation par tromperie. Dans notre vie de tous les jours, nous rencontrons l’ingénierie sociale p.ex. dans les publicités, lors de flirts ou pendant des entretiens d’embauche. Dans ces cas précis, le “démarcheur” essaie de se comporter ou se vendre de sorte qu’il jouisse de la faveur de son “objectif”.
Malheureusement, l’art de la manipulation, notamment en rapport avec les nouveaux médias, est souvent utilisé à des fins déloyales. Dans ces cas, les vulnérabilités humaines sont exploitées. C’est dans la nature de l’homme de vouloir aider les autres et de faire confiance à ses semblables. De manière calculée (et pendant une période prolongée), l’arnaqueur construit une relation de confiance avec la personne visée. A un moment précis, la crédulité de la victime est exploitée afin d’obtenir les informations convoitées rentables. Il peut s’agir d’argent, de secrets industriels, d’avantages économiques ou de sabotage concurrentiel (voir: données classifiées comme importantes ou vitales).
Qui peut être victime ?
En général, n’importe qui peut être victime de l’ingénierie sociale. Les attaques sont toujours là où il y a des valeurs qui pourraient être d’intérêt pour quelqu’un. Cependant c’est au lieu de travail que vous êtes particulièrement exposé. Et surtout si vous êtes en contact avec des données confidentielles. Si seulement le plus petit morceau de l’information cruciale vous échappe en faveur du criminel, c’est peut-être vous, la fuite dans le plan de sécurité de votre entreprise sans même vous en rendre compte. Même votre famille, vos amis et collègues pourraient remporter l’attention des espions. C’est à partir des tiers qu’on essaye souvent avec succès de recevoir les informations critiques.
Les données à protéger à tout prix
Les informations suivantes sont confidentielles et ne devraient en aucun cas être révélées : secrets internes d’une société, identifiants et mots de passe pour les accès Web, coordonnées bancaires (voir aussi: bonnes pratiques - commerce électronique, e-banking).
Les informations suivantes sont très sensibles et ne devraient en aucun cas être partagées avec des personnes que vous ne connaissez que depuis peu ou à qui vous ne faites pas entièrement confiance : renseignements sur l’activité professionnelle et données personnelles telles que date de naissance, numéro de téléphone, adresse e-mail etc. Soyez également très prudent quant aux informations sur des tiers, tels que collègues de travail ou responsables. Il est possible que ces personnes soient dans la ligne de mire des criminels et que l’on essaie de vous soutirer des informations sur ces personnes.
Expliquez également à vos enfants ce que sont les “données personnelles” et apprenez-leur à bien les gérer.
N’oubliez pas : les arnaqueurs arrivent à obtenir un grand nombre d’informations de manière tout à fait légale. Sur le site Web des sociétés, on trouve souvent des listes énumérant les salariés, leur poste, leur numéro de téléphone, leur adresse e-mail et parfois même leur photo. Ce “portrait victime” est ensuite complété sur les réseaux sociaux où l’on obtient plus d’informations sur le caractère, les relations familiales et les loisirs de la personne. Soyez donc toujours prudent quant à la publication de données sur Internet et acceptez uniquement des “amis” en ligne que vous connaissez aussi dans la vraie vie. Veillez à ce que votre profil ne soit pas accessible aux “amis des amis”.
Ingénierie sociale - même sans logiciel !
De manière générale, quiconque peut être victime d’attaques de l’ingénierie sociale, que ce soient les personnes privées ou les sociétés. Souvent, il n’est même pas question d’ordinateur ou d’Internet. L’un des exemples classiques de l’ingénierie sociale est l’“arnaque des grands-parents” : l’agresseur appelle p.ex. une personne âgée sur son téléphone fixe et la salue avec les mots suivants : “Coucou mamie, devine qui c’est !” Dans le meilleur des cas pour l’agresseur, la suite se déroule comme suit : la grand-mère donne le nom d’un petit-enfant, le correspondant le confirme et demande ensuite de l’argent ou d’autres objets de valeur prétendant qu’il se trouve dans une situation d’urgence. C’est l’agresseur en personne qui va ensuite chercher le butin en se faisant passer pour un ami du petit-fils.
L´homme, le maillon faible
Les nouvelles technologies offrent aux agresseurs une multitude de possibilités de parvenir par des manipulations ciblées et des informations souhaitées à leur but. Une situation particulièrement dangereuse lorsque l’information d’une seule personne est exploitée pour accéder au système informatique d’une organisation. L’agresseur se fait facilement passer pour un opérateur système, un responsable informatique ou un ingénieur système.
Souvent, l’agresseur n’est même pas en contact direct avec la victime. Car les e-mails de hameçonnage (Phishing) ou les spams fonctionnent selon le principe de l’ingénierie sociale : la victime reçoit un e-mail ressemblant à s’y méprendre à un message d’un expéditeur sérieux avec un contenu qui correspond à son profil. Si l’arnaqueur a découvert au préalable (p.ex. en espionnant le profil de la victime sur les sociaux réseaux) que la personne visée aime les soins wellness, il rédige un e-mail avec comme titre : “Offre exceptionnelle : 99 euros pour un weekend bien-être dans un hôtel de luxe”. Lorsque la victime ouvre l’e-mail, elle y trouve une annonce de publicité créée de manière professionnelle ainsi qu’un lien (“Pour voir l’offre, cliquez ici”) qui, si elle clique dessus, installe immédiatement un cheval de Troie sur son ordinateur.
Même les personnes les plus prudentes quant à la gestion d’informations sensibles peuvent tomber dans le piège de l’ingénierie sociale.
Cependant, en contact direct (entretien) avec l’agresseur, rares sont les personnes qui dévoilent l’information convoitée. Mais, quand on leur pose des questions détaillées à priori anodines, nombreuses sont les personnes qui finissent par donner des indices précieux sans même s’en rendre compte. Il s’agit en effet d’un puzzle : en recueillant le plus grand nombre d’informations possible, l’expert en ingénierie sociale peut avoir une vue d’ensemble globale. Dans la plupart des cas, il n’a même pas besoin d’espionner. Souvent, les personnes visées servent délibérément leurs données confidentielles sur un plateau à l’arnaqueur.
Qu´est-ce qui nous rend vulnérables?
D’une part, notre “négligence technoloqique” nous rend attaquables. L’homme perd la vue d’ensemble sur les différentes informations sur sa personne qui, en raison des nouveaux médias, circulent sans qu’il ne le sache. Aussi, il traite ses données sensibles de manière trop insoucieuse, publie des informations privées sur le Web et est parfois trop flemmard pour “nettoyer” régulièrement son profil en ligne.
D’autre part, nous ne sommes que des êtres humains. Toujours à la recherche de reconnaissance, de flatterie, de compliments, d’amitiés etc., l’homme est généralement ouvert à l’intérêt que l’on porte à sa personne. Des vertus humaines comme p.ex. la serviabilité ou des faiblesses comme la vanité sont exploités par les agresseurs pour manipuler leurs victimes. La plupart des salariés d’une société pensent que le plus important est d’être un bon équipier et solidaire avec ses collègues. Souvent aux dépens de la sécurité.
Du chocolat pour un mot de passe
Au printemps 2012, un groupe d’étudiants en psychologie de l’université du Luxembourg s’est fait passer pour des enquêteurs d’un sondage lors duquel 1206 passants à Esch/Alzette, à Diekirch et au Luxembourg ont été interrogés sur leurs habitudes informatiques. A des moments stratégiques, les participants se sont vu offrir une boîte de chocolats. Après quelques questions d’introduction, dont le but était d’introduire les participants au sujet “ordinateur”, les étudiants n’ont pas hésité à passer à l’attaque, à savoir aller à la pêche d’informations sur le mot de passe ! Le résultat est effrayant : 30 % des participants âgés de 12 à 74 ans n’ont pas hésité à dévoiler leur mot de passe aux étudiants et certains l’ont même renseigné dans le questionnaire. Nombreux étaient ceux qui ne voulaient pas révéler leur mot de passe, mais qui ont tout de même fait allusion aux éléments dont le mot de passe se compose, rendant ainsi la tâche plus facile aux agresseurs.
Cette étude montre comment il est important non seulement de mettre en place des mesures de protection techniques (mot de passe, pare-feu, antivirus, etc.), mais aussi d’appeler à la prudence et au scepticisme s’il s’agit de divulguer des données personnelles.
L´autoquestionnement reste indispensable !
Cette étude, réalisée au Luxembourg, se retrouve dans le même esprit et avec le même succès effrayant sur Internet. De nombreuses victimes sont déjà tombées dans le piège du test : “Vérifiez la force de votre mot de passe !” . “Est-ce que votre mot de passe contient votre nom ou le nom d’un membre de famille?” ou „Est-ce-qu’il contient une date qui est importante pour vous personnellement?” Ce sont des questions qui, en premier lieu, servent à deviner votre mot de passe pour des actions malhonnêtes plutôt qu’à le rendre plus sûr. Dès qu’il est question d’informations sensibles, il est important de s’interroger ! Réfléchissez bien : est-il vraiment nécessaire de partager ces informations ou quels risques encoure -t-on en partageant ces informations ? (Voir aussi : les ressources humaines face aux menaces).
Comment reconnaître l´ingénierie sociale ?
L’ingénierie sociale peut avoir lieu de manière indirecte sous forme d’e-mails de hameçonnage (phishing) et de spam. Les e-mails de hameçonnage semblent être envoyés par une banque ou une autorité et leur but est de presser la personne visée à agir rapidement (“Votre compte a été bloqué”) afin de saisir des données personnelles, telles que mots de passeou numéros de crédit. Les spams fonctionnent plutôt selon le principe de la publicité. Les arnaqueurs essayent de tenter la personne visée avec un produit ou un contenu publicitaire et de l’inciter à ouvrir un lien contenu dans l’e-mail.
Les attaques directes ont p.ex. lieu lors d’un entretien téléphonique et ne sont pas toujours très complexes. Il arrive qu’elles se résument à une simple demande d’informations directe et anodine. Une attaque peut avoir pour objectif d’obtenir des renseignements qui permettent d’attaquer une toute autre cible. De manière générale : Toute demande d’informations d’une personne inconnue sur les activités professionnelles, données personnelles et habitudes reste suspecte.
Comment se protéger ?
- Toute information, même paraissant insignifiante, doit être considérée comme importante et donc protégée.
- Soyez également vigilant quant aux sondages et quiz semblant anodins sur Internet.
- Soyez prudent dès qu’une personne que vous ne connaissez pas devient trop curieuse. Même si les questions ne se rapportent pas directement à des informations confidentielles.
- Ne cliquez pas sur les liens dans les e-mails ou les réseaux sociaux, que vous n’avez pas attendu ou que vous trouvez douteux. En cas de doute, contactez l’expéditeur (supposé) et renseignez-vous sur la légitimité de l’e-mail (Voir aussi : e-mail - bonnes pratiques, logiciels malveillants: bonnes pratiques).
- Ne divulguez à personne vos identifiants ni votre mot de passe pour l’accès à Internet et les systèmes informatiques, même si la demande semble très crédible. Le département informatique de votre société n’en a pas besoin et ne vous les demandera jamais. Il est de même pour les banques, les boutiques en ligne ou autres services qui vous demanderaient des informations par e-mail.
- N’exécutez jamais des commandes qu’une personne inconnue vous demande de faire, que ce soit par téléphone, e-mail ou en contact direct si ces commandes concernent des informations sensibles.
- En cas de doute, vérifiez l’identité de votre correspondant téléphonique ou informatique. Au téléphone, vous pourriez p.ex. demander le numéro de téléphone à votre correspondant et le rappeler après avoir vérifié son numéro. Cette mesure de prévention permet de savoir si votre correspondant dispose en effet d’un accès autorisé à la connexion téléphonique à partir de laquelle il vous a appelé.
- En cas de situation douteuse, ne prenez pas de décisions impulsives. Gagnez du temps pour réfléchir, vous vous dégagez ainsi de la pression de l’agresseur. Sans mauvaise conscience, dites à un correspondant inconnu de vous rappeler le lendemain, vous aurez ainsi le temps de bien réfléchir et de résoudre le problème en toute tranquillité.
- Déconnectez-vous toujours des sites Web et d’autres pages en ligne à l’aide du bouton prévu à cet effet. Si vous ne vous déconnectez pas manuellement d’une page, la session peut rester ouverte et donc facile d’accès aux agresseurs.
- N’ouvrez jamais un fichier joint à un e-mail d’un expéditeur inconnu ou douteux. Il est de même pour les fichiers des sites Web suspects. De telles pièces jointes peuvent contenir des chevaux de Troie qui permettent à un agresseur d’avoir accès à tous les fichiers et données sauvegardés sur votre ordinateur (Voir aussi : e-mail - bonnes pratiques, logiciels malveillants: bonnes pratiques).
- Ne laissez jamais trainer des documents en papier contenant des informations sensibles à la vue de tous. Il est de même pour les documents dans la poubelle. Rendez illisibles les documents dont vous n’avez plus besoin.