Ingénierie sociale

Le téléphone sonne et un numéro inconnu s'affiche à l'écran. A l'autre bout du fil, une personne prétendant travailler pour Microsoft qui vous apprend que votre ordinateur est infecté par un logiciel malveillant ayant déjà paralysé un grand nombre de systèmes. Avec éloquence, il vous explique comment il a su identifier la source du mal. Ce soi-disant expert vous demande ensuite de vous connecter à un site de maintenance à distance. Vous suivez ses instructions ? Si oui, vous laissez champ libre à l'arnaqueur qui prend aussitôt le contrôle de votre ordinateur.

L'arnaque se déroule ensuite de la manière suivante : sans que vous ne l'ayez remarqué, ce faux expert reconfigure d'abord votre ordinateur de sorte qu'il ne fonctionne plus correctement. Des choses bizarres apparaîtront en effet sur votre écran. Pour le fameux expert, la preuve que votre ordinateur est infecté. Le correspondant vous propose enfin une "réparation" à distance coûteuse de l'ordinateur. Au pire des cas, il encaisse non seulement la somme généreuse, mais a aussi installé un cheval de Troie lui permettant d'accéder librement et quand bon lui semble à votre ordinateur et à toutes vos données enregistrées, vos mots de passe et vos codes d'accès.

Vous êtes tombé dans son piège car il s'est fait passer pour un expert en matière de sécurité informatique en vous manipulant dans vos décisions. Ci-dessous, vous trouverez des conseils précieux quant à la reconnaissance de tels mauvais tours et à la réaction qu'il faut adopter lorsque l'on est confronté à de telles situations.

Ingénierie sociale (Social Engineering) – les faits

Le Social Engineering (de l'anglais: "sciences sociales appliquées") est en fait une manipulation par tromperie. Dans notre vie de tous les jours, nous rencontrons l'ingénierie sociale p.ex. dans les publicités, lors de flirts ou pendant des entretiens d'embauche. Dans ces cas précis, le "démarcheur" essaie de se comporter ou se vendre de sorte qu'il jouisse de la faveur de son "objectif".

Malheureusement, l'art de la manipulation, notamment en rapport avec les nouveaux médias, est souvent utilisé à des fins déloyaux. Dans ces cas, les vulnérabilités humaines sont exploitées. C'est dans la nature de l'homme de vouloir aider les autres et de faire confiance à des semblables sympathiques. De manière calculée (et pendant une période prolongée), l'arnaqueur construit une relation de confiance avec la personne visée. A un moment précis, la crédulité de la victime est exploitée afin d'obtenir les informations convoitées rentables. Il peut s'agir d'argent, de secrets industriels, d'avantages économiques ou de sabotage concurrentiel.

Qui peut être victime ?

Vous pensez que l’ingénierie sociale concerne uniquement votre vie professionnelle ? C'est faux ! Vous pensez que seuls les salariés de sociétés traitant des données confidentielles puissent être victimes d'une attaque d'espionnage ? Encore faux !

L'ingénierie sociale touche non seulement l'informatique et la vie professionnelle, on la retrouve aussi dans la vie de tous les jours, notamment là où des valeurs intéressantes sont en jeu. Il peut s'agir d'argent, d'informations secrètes ou de l'accès à un ordinateur qui peut être exploité à des fins criminels. Quiconque peut donc être victime de l'ingénierie sociale.

Les données à protéger à tout prix

Les informations suivantes sont confidentielles et ne devraient en aucun cas être révélées : secrets internes d'une société, identifiants et mots de passe pour les accès Web, coordonnées bancaires.

Les informations suivantes sont très sensibles et ne devraient en aucun cas être partagées avec des personnes que vous ne connaissez que depuis peu ou à qui vous ne faites pas entièrement confiance : renseignements sur l'activité professionnelle et données personnelles telles que date de naissance, numéro de téléphone, adresse e-mail etc.

Soyez également très prudent quant aux informations sur des tiers, tels que collègues de travail ou responsables. Il est possible que ces personnes soient dans la ligne de mire des criminels et que l'on essaie de vous soutirer des informations sur ces personnes.

Expliquez également à vos enfants ce que sont les "données personnelles" et apprenez-leur à bien les gérer.

N'oubliez pas : les arnaqueurs arrivent à obtenir un grand nombre d'informations de manière tout à fait légale. Sur le site Web des sociétés, on trouve souvent des listes énumérant les salariés, leur poste, leur numéro de téléphone, leur adresse e-mail et parfois même leur photo. Ce "portrait victime" est ensuite complété sur les réseaux sociaux où l'on obtient plus d'informations sur le caractère, les relations familiales et les loisirs de la personne. Soyez donc toujours prudent quant à la publication de données sur Internet et acceptez uniquement des "amis" en ligne que vous connaissez aussi dans la vraie vie. Veillez à ce que votre profil ne soit pas accessible aux "amis des amis".

Ingénierie sociale - même sans logiciel !

De manière générale, quiconque peut être victime d'attaques de l’ingénierie sociale, que ce soient les personnes privées ou les sociétés. Souvent, il n'est même pas question d'ordinateur ou d'Internet. L'un des exemples classiques de l'ingénierie sociale est l'"arnaque des grands-parents" : l'agresseur appelle p.ex. une personne âgée sur son téléphone fixe et l'accueille avec les mots suivants : "Coucou mamie, devine qui c'est !" Dans le meilleur des cas pour l'agresseur, la suite se déroule comme suit : la grand-mère donne le nom d'un petit-enfant, le correspondant le confirme et demande ensuite de l'argent ou d'autres objets de valeur prétendant qu'il se trouve dans une situation d'urgence. C'est l'agresseur en personne qui va ensuite chercher le butin en se faisant passer pour un ami du petit-fils.

L'homme, le maillon faible

Les nouvelles technologies offrent aux agresseurs une multitude de possibilités de parvenir par des manipulations ciblées et des informations souhaitées à leur but. Une situation particulièrement dangereuse lorsque l'information d'une seule personne est exploitée pour accéder au système informatique d'une organisation. Le hacker se fait facilement passer pour un opérateur système, un responsable informatique ou un ingénieur système.

Souvent, le hacker n'est même pas en contact direct avec la victime. Car les e-mails de hameçonnage (Phishing) ou les spams fonctionnent selon le principe de l’ingénierie sociale : la victime reçoit un e-mail ressemblant à s'y méprendre à un message d'un expéditeur sérieux avec un contenu qui correspond à son profil. Si l'arnaqueur a découvert en amont (p.ex. en espionnant le profil de la victime sur les sociaux réseaux) que la personne visée aime les soins wellness, il rédige un e-mail avec comme titre : "Offre exceptionnelle : 99 euros pour un weekend bien-être dans un hôtel de luxe". Lorsque la victime ouvre l'e-mail, elle y trouve une annonce de publicité créée de manière professionnelle ainsi qu'un lien ("Pour voir l'offre, cliquez ici") qui, si elle clique dessus, installe immédiatement un cheval de Troie sur son ordinateur.

Même les personnes les plus prudentes quant à la gestion d'informations sensibles peuvent tomber dans le piège de l’ingénierie sociale.

Cependant, en contact direct (entretien) avec l'agresseur, rares sont les personnes qui dévoilent l'information convoitée. Mais, quand on leur pose des questions détaillées à priori anodines, nombreuses sont les personnes qui lâchent des indices précieux sans même s'en rendre compte. Il s'agit en effet d'un puzzle : en recueillant le plus grand nombre d'informations possible, l'expert en ingnénerie sociale peut avoir une vue d'ensemble globale. Dans la plupart des cas, il n'a même pas besoin d'espionner. Souvent, les personnes visées servent délibérément leurs données confidentielles sur un plateau à l'arnaqueur.

Qu'est-ce qui nous rend vulnérable ?

D'une part, notre "négligence technique" nous rend attaquable. L'homme n'a plus de visibilité sur les différentes informations sur sa personne qui, en raison des nouveaux médias, circulent sans qu'il ne le sache. Aussi, il traite ses données sensibles de manière trop insoucieuse, publie des informations privées sur le Web et est parfois trop flemmard pour "nettoyer" régulièrement son profil en ligne.

D'autre part, nous ne sommes rien d'autre que des êtres humains. Toujours à la recherche de reconnaissance, de flatterie, de compliments, d'amitiés etc., l'homme est généralement ouvert à l’intérêt que l'on porte à sa personne. Les points forts de l'homme, tels que la serviabilité ou les points faibles, comme la vanité, sont exploités de manière ciblée par les agresseurs afin de manipuler la personne visée. La plupart des salariés d'une société pensent que le plus important est d'être un bon équipier et solidaire avec ses collègues. Souvent aux dépens de la sécurité.

Du chocolat pour un mot de passe

Au printemps 2012, un groupe d'étudiants en psychologie de l'université du Luxembourg s'est fait passer pour des enquêteurs d'un sondage lors duquel 1206 passants à Esch/Alzette, à Diekirch et au Luxembourg ont été interrogés sur leurs habitudes informatiques. A des moments stratégiques, les participants se sont vu offrir une boîte de chocolats. Après quelques questions d'introduction, dont le but était d'introduire les participants au sujet "ordinateur", les étudiants n'ont pas hésité à passer à l'attaque, à savoir aller à la pêche d'informations sur le mot de passe ! Le résultat effrayant : 30 % des participants âgés de 12 à 74 ans n'ont pas hésité à dévoiler leur mot de passe aux étudiants et certains l'ont même renseigné dans le questionnaire. Nombreux étaient ceux qui ne voulaient pas révéler leur mot de passe, mais qui ont tout de même fait allusion aux éléments dont le mot de passe se compose, rendant ainsi la tâche plus facile aux hackers.

Cette étude a non seulement montré qu'il est important de se servir des mesures de protection techniques (mot de passe, pare-feu, logiciels antivirus etc.), mais aussi et surtout qu'il faut rester vigilant quant à la communication de données personnelles au quotidien.

S'interroger reste indispensable !

Cette étude, réalisée in persona au Luxembourg, se retrouve dans le même esprit et avec le même succès effrayant sur Internet. De nombreuses victimes sont déjà tombées dans le piège du test : "Vérifiez la force de votre mot de passe !" Les questions telles que "Votre mot de passe contient-il votre nom ou le nom d'un des membres de votre famille ?" ou "Une date importante à vos yeux fait-elle partie de votre mot de passe ?" servent en premier lieu à cracker votre mot de passe, et souvent les amateurs de quiz s'en rendent compte trop tard ou jamais. Dès qu'il est question d'informations sensibles, il est important de s'interroger ! Réfléchissez bien : est-il vraiment nécessaire de partager ces informations ou quels risques encours-je en partageant ces informations ?

Comment reconnaître l'ingénierie sociale ?

L'ingénierie sociale peut avoir lieu de manière indirecte sous forme d'e-mails de hameçonnage (Phishing) et de spams. Les e-mails de hameçonnage semblent être envoyés par une banque ou une autorité et leur but est de presser la personne visée à agir rapidement ("Votre compte a été bloqué") afin de saisir des données personnelles, telles que mots de passe ou numéros de crédit. Les spams fonctionnent plutôt selon le principe de la publicité. Les arnaqueurs essayent de tenter la personne visée avec un produit ou un contenu publicitaire et de l'inciter à ouvrir un lien contenu dans l'e-mail.

Les attaques directes ont p.ex. lieu lors d'un entretien téléphonique et ne sont pas toujours très complexes. Il arrive qu'elles se résument à une simple demande d'informations directe et anodine. Une attaque peut avoir pour objectif d'obtenir des renseignements qui permettent d'attaquer une toute autre cible. De manière générale : Toute demande d'informations d'une personne inconnue sur les activités professionnelles, données personnelles et habitudes reste suspecte.

Comment se protéger ?

  • toute information, même paraissant insignifiante, doit être considérée comme importante et donc protégée.
  • Soyez également vigilant quant aux sondages et quiz semblant anodins sur Internet.
  • Soyez prudent dès qu'une personne que vous ne connaissez pas devient trop curieuse. Même si les questions ne se rapportent pas directement à des informations confidentielles.
  • Ne cliquez pas sur des liens dans des e-mails que vous n'attendiez pas. En cas de doute, contactez l'expéditeur (supposé) et renseignez-vous sur la légitimité de l'e-mail.
  • Ne divulguez à personne vos identifiants ni votre mot de passe pour l'accès à Internet et les systèmes informatiques, même si la demande semble très crédible. Le département informatique de votre société n'en a pas besoin et ne vous les demandera jamais. Il est de même pour les banques, les boutiques en ligne ou autres services qui vous demanderaient des informations par e-mail.
  • N'exécutez jamais des commandes qu'une personne inconnue vous demande de faire, que ce soit par téléphone, e-mail ou en contact direct si ces commandes concernent des informations sensibles.
  • En cas de doute, vérifiez l'identité de votre correspondant téléphonique ou informatique. Au téléphone, vous pourriez p.ex. demander le numéro de téléphone à votre correspondant et le rappeler après avoir vérifié son numéro. Cette mesure de prévention permet de savoir si votre correspondant dispose en effet d'un accès autorisé à la connexion téléphonique à partir de laquelle il vous a appelé.
  • En cas de situation douteuse, ne prenez pas de décisions impulsives. Gagnez du temps pour réfléchir, vous vous dégagez ainsi de la pression de l'agresseur. Sans mauvaise conscience, dites à un correspondant inconnu de vous rappeler le lendemain, vous aurez ainsi le temps de bien réfléchir et de résoudre le problème en toute tranquillité.
  • Déconnectez-vous toujours des sites Web et d'autres pages en ligne à l'aide du bouton prévu à cet effet. Si vous ne vous déconnectez pas manuellement d'une page, la session peut rester ouverte et donc facile d'accès aux hackers.
  • N'ouvrez jamais un fichier joint à un e-mail d'un expéditeur inconnu ou douteux. Il est de même pour les fichiers des sites Web suspects. De telles pièces jointes peuvent contenir des chevaux de Troie qui permettent à un hacker d'avoir accès à tous les fichiers et données sauvegardés sur votre ordinateur.
  • Ne laissez jamais traîner des documents en papier contenant des informations sensibles à la vue de tous. Il est de même pour les documents dans la poubelle. Rendez illisibles les documents dont vous n'avez plus besoin.

Revenons à notre premier exemple. Si vous rencontrez vraiment des problèmes sur votre ordinateur, BEE SECURE vous conseille de demander de l'aide professionnelle, à savoir auprès de personnes et services spécialisés qui vous connaissent bien. Sur bee-secure.lu, vous trouverez une liste de sociétés spécialisées ("PC Doctors") qui se sont engagées auprès de BEE SECURE de travailler de manière professionnelle.