Cybersécurité : Comprendre l'ingénierie sociale

Qu'est-ce que l'ingénierie sociale ?

En sécurité de l'information, l'ingénierie sociale (social engineering en anglais) est une technique de manipulation par tromperie qui consiste à persuader une personne en profitant de sa crédulité pour lui pousser à faire ce que nous voulons ou lui pousser à fournir les informations que nous cherchons sans qu’elle s’en rende compte.

Pour accentuer le concept de tromperie en ingénierie sociale, les termes plus appropriés pour le désigner sont le piratage psychologique ou la fraude psychologique.

Nous voulons voir dans ce tutoriel les techniques utilisées par les pirates informatiques, appelons-les hackers, pour mener une ingénierie sociale et les moyens de s'en protéger.

Techniques d'ingénierie sociale

Naturellement, l’homme éprouve le besoin d’aide, d’assistance, d’accorder sa confiance aux personnes sympathiques et polies, ... C’est cette faille humaine qu'exploite l’ingénierie sociale.

Les hackers recourent aux moyens de communication tels qu’internet, les appels téléphoniques ou le contact direct avec la cible en se faisant passer un opérateur, un responsable informatique ou une personne de confiance pour récupérer les informations dont ils ont besoin en pratiquant l’ingénierie sociale.

Voyons quelques pratiques courantes d'ingénierie sociale :

Hameçonnage

L'hameçonnage (ou phishing en anglais) est une technique qui consiste à soutirer des renseignements personnels d'une cible (mot de passe d'un compte, numéro de carte de crédit, ...) en créant, le plus souvent, une copie exacte d'un site internet dans l'optique de faire croire à la victime qu'elle est sur le site officiel.

Pour réussir un hameçonnage, un hacker peut recourir à l'ingénierie sociale pour conduire une cible vers une copie de la page de connexion Facebook (une fausse page de connexion Facebook) en lui envoyant un message de ce genre :

La cible non avisée peut vite se rendre à l'adresse reçue (site web de l'hacker) puis, se fiant à l'apparence Facebook de la page présentée, se connecter. Ses identifiants sont alors livrés à l'hacker.

Arnaque par messagerie électronique

Pour obtenir les informations d'une cible, prenons ses informations bancaires, un hacker peut entamer une conversation avec un message frauduleux de ce genre :

Entretenir une telle conversation aboutit aux échanges des cordonnées bancaires.

Notez bien

Ces types de messages peuvent aussi être une demande ou une incitation à télécharger et installer un programme ou un module complémentaire de navigateur internet. Ce programme ou module peut être malveillant et permettre à l'hacker d’accéder à un ordinateur à distance.

Se protéger de l'ingénierie sociale

Malgré que les humains puissent se faire manipuler, il y a tout de même des bonnes pratiques pour se protéger de l'ingénierie sociale :

• Ne pas répondre aux mails suspicieux et non pertinents des inconnus
• Eviter de télécharger des programmes dont on ne connait l’éditeur ou l’origine
• N’acheter en ligne que sur des sites de confiance et connus
• Toujours vérifier l’URL d'un site avant de remplir un formulaire de connexion et s’assurer d'être mode sécurisé ("https" au lieu de "http")
• Se méfier de formulaires de sites non connus qui demandent des informations bancaires
• Ne pas vite cliquer sur les liens directs contenus dans les mails avant de les vérifier, surtout ceux qui contiennent une adresses IP
• Lire attentivement les autorisations demandées pour un module complémentaire d'un navigateur avant de confirmer l'installation. Accepterez-vous d'autoriser un module destiné à créer un fichier PDF d'une page web d'accéder au micro ou à la caméra de votre ordinateur ? Je crois que non.
• ...

Portez-vous bien ! 😉