Le social engineering est la méthode d’intrusion la plus efficace et également la plus négligée par les politiques de sécurité des entreprises. Elle consiste à utiliser le maillon le plus faillible dans la sécurité d’un système : l’être humain.
L’ingénierie sociale (en Français) était pratiquée bien avant l’existence de l’informatique et du web “modernes”. Elle a évolué pour s’adapter aux technologies contemporaines et prendre les formes que nous allons voir.
Quelles sont ces attaques?
Commençons par définir les techniques de social engineering que nous allons aborder ensemble :
Phishing
Le phishing consiste à envoyer des e-mails à une ou plusieurs cibles dans le but d’obtenir de l’argent, des informations personnelles, une information interne à une entreprise ou faire effectuer une action par la cible dans le but de compromettre sa machine, ses identifiants ou son réseau. Il s’accompagne souvent d’usurpation d’identité dans le but de se faire passer pour une personne ou un membre d’une entité pouvant légitimement avoir besoin de ce que l’attaquant demande.
Voici un exemple d’e-mail d’une campagne de phishing récente : Exemple d’e-mail de phishing
Spear Phishing
Le spear phishing est fondamentalement similaire au phishing (il consiste à envoyer des e-mails à une cible dans le but d’obtenir une information ou une action de sa part et passe souvent par de l’usurpation d’identité) mais est plus spécialisé et souvent plus efficace que du phishing “classique”. Il passe par une phase de recherche sur la cible dans le but de comprendre son environnement pour mettre en place une attaque plus plausible et personnalisée.
Voici un exemple d’e-mail de spear phishing, les parties en rouges sont les informations récupérées et préparées lors de la phase de recherche : Exemple d’e-mail de spear phishing
Vishing
Le vishing est un cousin du phishing, plus ancien et diablement efficace. Il consiste à téléphoner à une cible dans le but d’obtenir des informations de sa part.
La voix joue un rôle très important dans notre perception de l’autre et permet notamment de créer une relation de confiance, d’empathie ou d’autorité bien plus efficacement que par écrit.
La technique est utilisée par les hackers, détectives privés et arnaqueurs depuis plusieurs dizaines d’années et revient en force ces dernières années grâce à la facilité d’accès des lignes téléphoniques VoIP.
Exemple d’attaque menée par la social engineer Jessica Clark lors de la DefCon en 2016 :
Comment se protéger?
Pour se préparer et lutter contre les attaques d’ingénierie sociale deux types de défenses sont inévitables : les défenses techniques et l’entrainement.
Au fur et à mesure que la technologie évolue, il faut garder en tête qu’elle peut être exploitée pour usurper l’identité de quelqu’un, par exemple récemment le CEO d’un grand groupe s’est fait extorquer près de 250 000 dollars par des attaquants utilisant la voix de son supérieur à l’aide d’une technologie de génération de voix automatisée.
La première étape pour vous protéger efficacement est de déployer des solutions techniques (pare-feu, règles d’e-mail strictes, vérification des signatures numériques des messages, alertes de connexion sur vos comptes, authentification à multiple facteurs, vérification des numéros de téléphone) afin d’aider vos collaborateurs et vous même à prendre les bonnes décisions face à un message ou un appel suspect.
La seconde et la plus importante est de vous tenir au courant des campagnes et techniques pouvant être utilisée contre vous et votre équipe ainsi que de subir un entrainement régulier sur le social engineering, le but est que vous sachiez reconnaître et contrecarrer immédiatement une tentative d’attaque d’ingénierie sociale.
Mettez-vous à la place d’un attaquant : Qui répond au téléphone dans l’entreprise ? Qui reçoit ce qui est envoyé à l’e-mail de contact de votre entreprise ? Peut-on trouver le numéro de téléphone de vos collaborateurs sur LinkedIn, GitHub ou autre ? Cette personne sait-elle comment vérifier l’identité d’un interlocuteur ?
Si vous souhaitez en discuter vous pouvez nous contacter, que ce soit pour planifier une séance d’entrainement, nous partager une anecdote intéressante ou vous renseigner !