Ingénierie sociale

Les attaques d'ingénierie sociale (social engineering) utilisent la serviabilité, la bonne foi ou l'insécurité des personnes pour accéder par exemple à des données confidentielles ou conduire la victime à exécuter certaines actions spécifiques. De tous les types d'attaques, celles-ci restent parmi les plus fructueuses. Via l'ingénierie sociale, un attaquant pourra par exemple chercher à obtenir les noms d'utilisateur et les mots de passe des collaborateurs d'une entreprise, se présentant au téléphone comme l'administrateur du système ou le responsable de la sécurité. Sous prétexte de graves problèmes informatiques et en échangeant au préalable des informations sur l'entreprise (p. ex. noms des supérieurs hiérarchiques, processus, etc.) la victime est progressivement mise en confiance jusqu'au moment où elle livre les informations souhaitées.

Des méthodes d'ingénierie sociale sont souvent utilisées pour diffuser des virus ou des chevaux de Troie, notamment lorsque le nom du document lié et contenant un virus apparaît particulièrement alléchant. Le phishing (hameçonnage) est également une forme d'ingénierie sociale.

Conséquences et danger

  • Divulgation d'informations confidentielles
  • Escroquerie
  • Diffusion de virus et de chevaux de Troie 
Mesures
  • Soyez prudent lorsque vous transmettez des informations. Ne publiez sur Internet que ce qui est nécessaire. Cela vaut en particulier pour les entreprises et la publication des noms et fonctions des employés.

  • Au téléphone également, il convient de faire preuve de retenue avec la divulgation d’informations.

  • Ne transmettez pas, même par téléphone, des informations confidentielles (p. ex. nom d’utilisateur, mot de passe, etc.). Au cas où la personne insiste, informez votre supérieur hiérarchique, votre responsable système ou votre fournisseur de services (p. ex. banque, fournisseur d’accès Internet, etc.). Un fournisseur de services sérieux ne vous demandera jamais votre mot de passe. 
 

Exemple 

Un travail d'information sur l'entreprise cible est mené préalablement à l'attaque, ce qui permet aux escrocs de se faire une idée précise de l'environnement  visé: secteur d'activité, postes clefs, modèles utilisés pour les adresses e-mails. Ce sont en particulier des sources d'information ouvertes, telles que le site web de l'entreprise,  qui sont utilisées pour cette collecte d'information. Ce travail de préparation peut également être nourri par des premières prises de contacts (appels, e-mails) visant à obtenir les informations souhaitées.

Par la suite, les auteurs mèneront l'attaque à proprement parler. Typiquement, un courriel semblant venir d'un cadre dirigeant, et imitant en réalité son e-mail, sera envoyé à un employé du service de comptabilité. Dans certains cas, cet e-mail proviendra directement d'un compte préalablement piraté. Le comptable sera informé d'une opération commerciale confidentielle en cours et mis en contact avec un « cabinet juridique » chargé de lui fournir les indications en vue du versement.  Là encore, les escrocs se feront passer pour un cabinet existant. Les auteurs insisteront notamment sur le caractère exceptionnel de la demande, la nécessité de discrétion, mais également sur l'urgence de la situation. Des appels téléphoniques sont parfois également effectués en parallèle ou préalablement à l'attaque pour appuyer le scénario que les escrocs ont mis en place.

Les méthodes d'ingénierie sociale peuvent être comme ici mobilisées en vue d'aboutir à un virement d'argent vers un compte contrôlé par les escrocs, mais d'autres cas de figure sont envisageables. Suite à de premiers contacts visant à gagner la confiance de leur cible, les auteurs peuvent par exemple  également envoyer un courriel contenant une pièce jointe malicieuse, ou un lien vers une page servant à propager un virus. 

 

Dernière modification 28.10.2016

Début de la page

https://www.melani.admin.ch/content/melani/fr/home/themen/socialengineering.html