Dossier

Dossier : l’ingénierie sociale, comment les hackers vous manipulent pour mieux vous voler

Par Elodie le

Depuis deux ans, les cyberattaques semblent se multiplier à un rythme effréné. Aussi bien des attaques ourdies par des réseaux de hackers obscurs à la solde d’organisations mafieuses, que des pirates d’État agissant pour le compte d’un gouvernement en place.

capture d’écran

La diffusion des messages piratés du Parti Démocrate par Wikileaks aura été un boulet pour l’ancienne secrétaire d’État tout au long de sa campagne, alimentant polémiques, rumeurs et fausses informations.

Une campagne électorale polluée par un simple phishing

Des attaques informatiques parfois menées avec une facilité déconcertante. Julian Assange a ainsi prétendu sur Fox News que la messagerie Gmail de John Podesta, le directeur de campagne de Clinton, était protégée par un mot de passe ridiculement faible : « p@ssw0rd », assurant même qu’ « un ado aurait pu [la] pirater ».

Une faute de frappe à l’origine du hack

Problème, Gmail interdit depuis longtemps ce type de mot de passe aussi simple, même sous une forme plus « complexe ». En réalité, Podesta s’est fait pirater sa messagerie grâce à une bonne vieille technique d’hameçonnage (« spear phishing »). Un mail prétendument envoyé par Gmail lui demandant de modifier de toute urgence son mot de passe. Une faute de frappe plus tard et le sort de sa messagerie était scellé (l’affaire plus en détail ici).

La suite appartient désormais à l’histoire.

Cet exemple illustre une technique d’ingénierie sociale, ou l’art du piratage humain, c’est-à-dire le fait de soutirer, par tout moyen en sa possession (email, messagerie instantanée, téléphone, réseaux sociaux), des informations à une personne en abusant de sa confiance, son ignorance ou sa crédulité et sans que celle-ci ne s’en rende compte.

L’ingénierie sociale n’est donc pas spécifique à Internet, cette notion est d’ailleurs apparue en dehors de ce cadre aux États-Unis, dans les années 40, et s’observe depuis aussi bien en entreprise, dans le management par exemple ou la vente, qu’au sein d’organisation religieuse ou du corps social.

Frank Abagnale, dont la vie est mise en scène dans le film Arrête-moi si tu peux (Leonardo DiCaprio lui prête ses traits), est à ce titre un redoutable ingénieur social, qui use et abuse de son don pour parvenir à ses fins.

Frank Abagnale et Leonardo DiCaprio, Place Royale au Quebec, sur le tournage d’Arrête-moi si tu peux

Internet, source inépuisable d’informations

À l’ère des réseaux sociaux, messageries et autres formes de communication électronique, la sécurité de l’information est mise à mal et laisse un boulevard aux criminels désireux de soustraire certaines informations ou de pousser leur victime à réaliser des actions susceptibles de leur nuire. L’humain reste le principal maillon faible, celui dont le système d’exploitation est le moins sécurisé .

« L’ingénierie sociale joue un rôle très important dans le monde des cyberattaques. Souvent, c’est le principal moyen d’infecter un ordinateur par le biais d’un malware », nous a confié Mike Murray, VP de Recherche et Riposte chez Lookout, société de cybersécurité spécialisée dans la sécurité mobile.

Comme on peut le voir dans notre top 10 des cyberattaques 2016, l’ingénierie sociale est à la base de la plupart des attaques informatiques perpétrées dans le monde cette année-là : du malware Locky, à la cyberattaque contre LinkedIn ou le réseau Swift en passant par le spyware Pegasus, dont l’existence a été révélée en août dernier par le laboratoire de recherche canadien Citizen Lab et Lookout.

« L’ingénierie sociale s’emploie majoritairement dans les phases préalables aux attaques, c’est-à-dire via le phishing », confirme Loic Guézo, Stratégiste Cybersécurité Europe du Sud chez Trend Micro, société spécialisée en sécurité informatique.

Loic Guézo, Stratégiste Cybersécurité Europe du Sud chez Trend Micro

L’ingénierie sociale prélude aux cyberattaques

« Les pirates utilisent le maximum de techniques possibles pour crédibiliser les messages, principalement les mails qui sont le support de leurs débuts d’attaque, poursuit-il. À cette fin, ils font tout pour que ces mails aient l’air officiels et légitimes, et ils y incluent, si possible, des informations qu’ils ont obtenues précédemment par attaque classique, une extraction de données par exemple, et qu’ils réutilisent pour faire de l’ingénierie sociale ».

Plusieurs techniques peuvent être utilisées, de la plus banale à la plus fine (phishing, ransomware, arnaque au président, etc.), c’est-à-dire qu’elles nécessitent moins d’envois massifs de mail, mais utilisent des informations beaucoup plus précises, qui peuvent avoir été obtenues par ingénierie sociale.

Comme ce fut le cas en France, l’année dernière, avec la société BRM, placée en liquidation judiciaire après avoir été victime d’une arnaque au président, ou faux ordres aux virements internationaux (Fovi). L’objectif est d’utiliser un support informatique et de la vraie ingénierie sociale pour obtenir de la victime qu’elle réalise un virement, si possible d’un gros montant, au profit d’une personne bénéficiaire. Cela se passe principalement par téléphone, mais aussi par mail.

Un éventail de techniques

Pour la petite histoire, l’inventeur de l’arnaque au président est le Franco-Israélien Gilbert Chikli, soupçonné d’avoir escroqué plusieurs millions d’euros à diverses institutions et entreprises (La Poste, Adidas, les Galeries Lafayette, Disneyland Paris ou encore la Caisse d’épargne et les Pages jaunes).

exemple d’arnaque au faux président
Faux ordres aux virements internationaux – Police nationale

Ici, l’objectif est de prendre contact avec une personne qui a la capacité de réaliser des virements financiers, munis d’un ensemble d’informations collectées en amont, tout en lui expliquant, via des techniques de pression et de manipulation, qu’il faut procéder ainsi parce que le président est dans l’incapacité de le faire ou en usurpant son identité (comme ce fut le cas pour BRM). Généralement, l’appelant joue sur le caractère urgent de la demande. Dans cette arnaque, le social engineering prime parce qu’il faut être capable de parler correctement, avec les codes de l’environnement de travail ciblé pour être crédible. Il n’y a pas nécessairement de technique informatique spécifique derrière.

Le social engineering peut se pratiquer par téléphone, par lettre, par internet et par contact direct. Sur la toile, diverses techniques sont employées :

Internet et les réseaux sociaux (Facebook, Twitter, Foursquare, LinkedIn, Viadeo, Google, les blogs, etc.) sont une source d’information inépuisable. Il suffit parfois de googler un nom pour tomber sur tous les sites auquel un internaute est inscrit et de collecter les données nécessaires ou intéressantes pour la suite, voire même des photos lorsque celles-ci sont accessibles. Et généralement elles le sont (merci Facebook, Instagram et les profils publics).

L’internaute lambda pris pour cible

ingenierie-sociale-vie-privée
Black Mirror – Saison 3 – Nosedive

Certaines vidéos diffusées sur la toile avec des titres racoleurs comme, “Cette vidéo a mis fin à la carrière de Justin Bieber”, renvoient vers des sites malveillants où l’on doit laisser son adresse mail ou télécharger une image contenant bien souvent un malware.

La pratique de l’hameçonnage, appelé également phishing ou filouterie, fait également partie des techniques d’ingénierie sociale. Trend Micro décrit l’hameçonnage comme « une sorte de fraude informatique qui utilise les principes de l’ingénierie sociale dans le but d’obtenir des informations privées sur la victime. Le cybercriminel utilise souvent des e-mails, des messageries instantanées ou des SMS pour diffuser le message malveillant qui persuadera la victime de révéler ses informations directement ou de réaliser une action (entrer dans un faux site Web, cliquer sur un lien de téléchargement malveillant, etc.), ce qui permettra au criminel de poursuivre son plan malintentionné ».

Il arrive que des malware ou spyware (logiciel malveillant) soient téléchargés sur un ordinateur en pensant le protéger d’un virus nouvellement détecté ou pour une mise à jour de sécurité. Par exemple avec une mise à jour de Flash Player (les fichiers exécutables intégrés dans des documents Word notamment). Enfin, autre méthode, le kidnapping virtuel. Il utilise des techniques d’ingénierie sociale en prétendant qu’un membre de la famille a été kidnappé. Le kidnappeur demande alors une somme d’argent sous forme de rançon pour assurer la sécurité et/ou la libération de l’otage.