Les pare-feu et programmes antivirus ne vous protégeront pas de ces attaques. Il est ici question d’ingénierie sociale. Une combine vieille comme le monde qui fait encore des ravages.
Des employés qui téléchargent des fichiers malveillants, cliquent sur les liens d’hameçonnage, correspondent avec des pirates informatiques et distillent les coordonnées de leurs collègues. L’ingénierie sociale fait à la fois partie des méthodes les plus puissantes et les plus anciennes à disposition des pirates informatiques. Elle fit en effet son apparition bien avant la naissance d’Internet. Elle remonte aussi loin que les débuts de la communication humaine. Car elle consiste essentiellement à gagner notre confiance afin de nous faire faire des choses que nous ne devrions pas faire. Comme par exemple divulguer nos mots de passe, notre numéro de sécurité sociale, nos coordonnées bancaires ou tout autre type d’informations confidentielles.
L’attaque par l’émotion
Mais comment y parviennent-ils ? Les psychologues ont découvert que l’homme a tendance à ignorer toute notion logique ou factuelle face à la prise de décisions impliquant des émotions. Certains criminels sont ainsi passés maîtres dans l’art de générer et manipuler les émotions. Il est en effet bien plus simple d’appeler un collaborateur en se faisant passer pour un employé du support informatique dans le but d’essayer de lui soutirer un mot de passe, que de chercher à identifier une faille de sécurité dans un programme. Personne ne confierait par ailleurs ses informations de connexion Facebook à un parfait inconnu. Mais faisons intervenir un message d’hameçonnage bien ficelé, traitant avec conviction d’un problème de piratage de compte qui requiert un contrôle du compte en question, et beaucoup en oublient alors leur bon sens ! Ces méthodes fonctionnent en outre parfaitement dans le monde réel. Combien d’individus ont déjà été dupés par des pseudo-policiers ou artisans quelconques ?
Harponnage : des attaques ciblées sur des individus choisis avec soin
Les cybercriminels ont cependant tendance à cibler spécifiquement leurs victimes. Contrairement aux autres types d’attaques, dans le cas du harponnage (ou « spear phishing »), le criminel entre en contact direct avec sa victime. Par exemple par le biais d’un e-mail dans lequel il se présente en tant qu’administrateur système ou à l’aide d’un faux profil Facebook dans lequel il se fait passer pour un collègue. Les escrocs vont parfois jusqu’à oser l’appel téléphonique direct. Une étude actuelle de Positive Technologies s’est intéressée aux taux de réussite des attaques d’ingénierie sociale et a pour cela envoyé 3 300 e-mails aux collaborateurs de différentes entreprises. Voici les principales conclusions (en anglais) du cabinet de recherche en sécurité :
- 17 % de toutes les attaques d’ingénierie sociale ont réussi et auraient conduit à une mise en danger du système du collaborateur, voire potentiellement de tout le réseau de la société.
- 27 % des collaborateurs ont cliqué sur un lien d’hameçonnage envoyé par e-mail, ce qui constitue la méthode d’ingénierie sociale la plus efficace. Manifestement, de nombreux utilisateurs ne sont pas en mesure de reconnaître les pages Internet falsifiées.
Selon l’étude, certains utilisateurs auraient même tenté de saisir leur mot de passe près d’une quarantaine de fois sur un site factice. Et lorsqu’ils ne parvenaient pas à ouvrir un fichier transmis en pièce jointe, ils étaient nombreux à le transmettre au service informatique. Selon le rapport, ce type d’actions accroît encore plus le risque d’infection, dans ce sens où les collaborateurs du service informatique n’ont normalement pas lieu de se méfier des envois de leurs collègues et sont ainsi susceptibles d’exécuter les fichiers « défectueux » sans aucun contrôle.
Lutte contre l’ingénierie sociale
Contrairement aux virus et autres attaques types, les logiciels de sécurité comme Avira Internet Security Suite ne sont pas toujours d’une grande aide. Ils reconnaissent néanmoins dans la plupart des cas les pièces jointes infectées, voire les pages Internet factices. La meilleure stratégie de protection contre l’ingénierie sociale repose cependant sur la clarification ciblée, la méfiance de bon sens et une curiosité bridée. Les scandales suivants n’auraient jamais eu lieu d’être si les employés des entreprises concernées avaient suivi ces conseils.
Les trois attaques d’ingénierie sociale les plus dévastatrices
Ubiquiti Networks
Ubiquiti, fabricant américain spécialisé dans le matériel et les logiciels Wi-Fi, a subi d’énormes pertes après que son service financier ait été la cible d’une attaque frauduleuse. Ce dernier a en effet reçu des demandes de paiement qui semblaient provenir de la filiale hongkongaise de la société. Les montants demandés ont été versés directement sur les comptes des pirates informatiques, sans aucun contrôle. Le préjudice s’est élevé à pas moins de 47 millions de dollars.
Sony Pictures
Cette attaque a presque généré des tensions entre deux puissances nucléaires. Des hackers nord-coréens sont parvenus à paralyser le temps d’une journée les serveurs de la société Sony Pictures par le biais d’une attaque d’hameçonnage. En cause à l’origine, le film « L’interview qui tue » dans lequel deux journalistes américains, campés par Seth Rogen et James Franco, avaient pour mission d’assassiner le chef d’État nord-coréen Kim Jong Un lors d’une interview.
Yahoo
L’un des plus gros scandales liés aux données de tous les temps : un ingénieur Yahoo a commis l’erreur de se laisser duper par un message de harponnage arrivé dans sa boîte de réception. Les cyber-attaquants ont dès lors eu accès à tous les comptes clients de l’entreprise américaine, impliquant de fait plus de 3 milliards d’utilisateurs. Toutes les données de ces utilisateurs ont ainsi gagné le Darknet et ont servi à perpétrer d’autres attaques sur davantage de cibles.
