premium 1
premium 1 mobile
une tête de pigeon

Social engineering : la méthode de hacking qui fait de vous un pigeon

Le 26 sept. 2018

Quand on parle d’attaque informatique, on imagine souvent un hacker en train d’enchaîner des lignes de code sur un ordinateur. En réalité, ces derniers utilisent des méthodes beaucoup plus simples qui s’appuient sur le facteur humain. Il s’agit du social engineering. 

Votre téléphone se met à sonner et au bout du fil une voix sûre d’elle vous annonce que votre ordinateur est infecté. Cette personne dit appartenir au service informatique de votre entreprise. Elle vous demande votre nom, prénom et votre adresse e-mail, pour s’assurer que c’est bien vous au bout du fil. Puis l’interlocuteur vous envoie un lien pour installer un logiciel de prise de contrôle à distance, afin de « nettoyer l’ordinateur ». Une fois la manipulation effectuée, la personne raccroche et vous vous dites que vous l’avez échappé belle. Vous venez juste d’offrir à un hacker un accès complet à vos données sensibles.

Arnaque à 10 millions de dollars

Cette technique consistant à vous manipuler pour obtenir des données personnelles ou professionnelles s’appelle le social engineering ou ingénierie sociale. Souvent utilisé sur des particuliers pour leur extorquer de l’argent, cet ensemble de méthodes vise aussi des salariés ou des entrepreneurs. En mars 2016, Snapchat fit l’objet d’une attaque de ce type. Une employée des ressources humaines avait envoyé un fichier contenant l’ensemble des salaires des personnes travaillant ou ayant travaillé dans l’entreprise à un hacker qui s'étaient fait passer pour son patron. Plus récemment, en juillet 2018, Kaspersky Lab annonçait que des hackers s’étaient faits passer pour des entrepreneurs lançant leur appel de fonds en crypto-monnaie (des ICO). Bernés par des mails d’hameçonnage et des faux sites de donation, des investisseurs de la Silicon Valley ont perdu près de 10 millions de dollars. 

Une attaque multiforme

C’est parce qu’il prend des formes très différentes que le social engineering est aussi redoutable. Faux courrier d'EDF, mail provenant du support technique Microsoft ou Google ou bien encore coup de fil d'une personne se faisant passer pour un informaticien de la boite... Tout est bon pour récupérer des données ou de l'argent. Comme ce type d’attaque porte sur le facteur humain, personne n’est véritablement à l’abri. « Une attaque par ingénierie sociale se fait en deux temps, explique Axel Guerot, un consultant en cyber-sécurité. La première phase consiste à prendre le plus d’informations sur vous et votre entreprise. Pour ça, il faut tomber sur un bon client, une personne crédule ou qui va parler facilement. En général, les hackers ciblent le personnel administratif ou commercial. » Une fois qu’ils ont accès au nom, mail ou identifiant de leur victime, ils passent à la seconde phase du plan. « Il s’agit généralement d’implanter un logiciel de prise de contrôle à distance pour prendre la main sur le PC, poursuit Axel Guerot. Cette technique permet de préparer une attaque plus grande. » 

Infos sensibles et rançons

Une fois que les hackers ont passé en revue une partie suffisamment importante de l’organigramme, plusieurs options s’offrent à eux. Avec assez d’informations, ils peuvent accéder à l’ordinateur du dirigeant de l’entreprise et bloquer ce dernier afin de demander une rançon. S’ils ont réussi à faire parler suffisamment de monde, ils peuvent aussi revendre des données confidentielles à la concurrence. « Quand on est dans une grosse boite, on ne se rend pas toujours compte de l’importance de certaines infos, poursuit Axel. Des informations comme une date de dépôt d’un dossier d’appel d’offres ou bien le montant de ce dernier par exemple peuvent être facilement monnayé. » D’autres hackers, comme Kevin Mitnik dans les années 90, utilisaient les connaissances qu’ils avaient glanées lors de la phase de social engineering pour pénétrer physiquement dans l’entreprise et accéder aux serveurs.

Comment se protéger ?

Pour se défendre, les plus petites entreprises ne sont pas toujours les plus faibles. « Dans les petites boites, on connaît généralement les gens du service informatique prévient Axel. Dans les plus grosses entreprises, le desk est souvent en dehors des murs, ou bien il change tout le temps. C’est bien plus facile pour un hacker de se faire passer pour une personne qui fait partie de la boite. Dans les deux cas, l'idéal est de connaître ces techniques et d’appliquer les mêmes consignes que les gens qui travaillent dans le domaine du secret-défense. » Concrètement, il s’agit d’identifier la personne à qui on parle, et d’être certain que cette dernière nous connaît vraiment. D’autres conseils tombent sous le sens, mais méritent d’être rappelés. « Si vous trouvez un CD ou une clé USB devant la porte de votre bureau ne la mettez jamais dans votre ordinateur conseille Axel. C’est ce qui est arrivé en 2016 dans la centrale nucléaire de Gundremmingen. Le système informatique a été corrompu par un malware qui heureusement n'a pas touché les réacteurs. » L’attaque avait eu lieu au lendemain du trentième anniversaire de Tchernobyl...

Crédit : wiki commons

Commentaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.