What is a social engineering attack?

Lors des attaques par ingénierie sociale, les victimes sont manipulées pour qu'elles communiquent des informations sensibles qui peuvent être utilisées à des fins malveillantes.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Donner la définition de l'ingénierie sociale
  • Présenter plusieurs types d'attaques par ingénierie sociale
  • Comprendre les bonnes pratiques à adopter pour éviter d'être victime d'une attaque par ingénierie sociale

Copier le lien de l'article

Qu'est-ce que l'ingénierie sociale ?

Pour faire simple, l'ingénierie sociale est la pratique consistant à manipuler les personnes pour qu'elles divulguent des informations sensibles. Les attaques par ingénierie sociale peuvent se produire dans la vie courante : un voleur peut par exemple se faire passer pour un livreur pour s'introduire dans un bâtiment. Cet article portera plutôt sur les cyberattaques par ingénierie sociale. Dans la plupart des cas, ces attaques visent à amener la victime à divulguer soit ses identifiants de connexion, soit des informations de paiement confidentielles.

  • Un pirate envoie à une victime un e-mail qui semble provenir d'une personne figurant sur sa liste de contacts. Cet e-mail peut contenir un lien suspect qui exécutera une attaque de type cross-site scripting malveillante, ou qui dirigera la victime vers un site malveillant.
  • Un pirate attire les utilisateurs en ligne avec de prétendus liens de téléchargement de films ou de logiciels populaires, mais ces téléchargements contiennent en fait un payload malveillant.
  • Un pirate contacte une victime en prétendant être un étranger fortuné qui a besoin des coordonnées d'un compte bancaire américain pour y transférer sa fortune, et lui propose de la récompenser généreusement en échange de ces informations bancaires. En réalité, il cherche à vider les comptes de la victime.
Exemple d'ingénierie sociale

Outre ce genre d'escroqueries d'ingénierie sociale à caractère individuel, on observe des attaques d'ingénierie sociale plus sophistiquées qui visent des organisations entières, comme par exemple les attaques par clés USB faussement perdues. Ces attaques peuvent viser les réseaux d'entreprises bien protégées, même celles qui ne sont pas connectées à Internet. Pour ce faire, les pirates dispersent plusieurs clés USB sur le parking de l'entreprise visée. Ils y apposent une étiquette attrayante, comportant par exemple la mention « Confidentiel », dans l'espoir qu'un employé curieux en trouve une et la branche sur son ordinateur. Ces clés peuvent contenir des virus ou des vers très puissants qui seront difficiles à détecter, car ils entrent dans le réseau à partir d'un ordinateur situé sur place.

Quels sont les exemples célèbres d'attaques par ingénierie sociale ?

The 2011 data breach of RSA created a big stir, primarily because RSA is a trusted security company. This breach disrupted RSA’s popular two-factor authentication service, SecurID. While all the details of the attack have not been publicly disclosed, it is known that it began with a social engineering attack. The attack was initiated with a basic phishing attack, where the attackers sent low-level RSA employees emails that appeared to be company emails regarding recruiting. One of these employees opened an attachment in this email which triggered the attack.

En 2013, Associated Press a été victime d'une attaque par ingénierie sociale qui a fait chuter la bourse de 136 milliards de dollars. Une fois encore, des employés ont été victimes d'une attaque par hameçonnage. En ouvrant simplement un lien contenu dans l'e-mail, l'un des employés a déclenché l'attaque qui a abouti au piratage du compte Twitter d'AP, et les pirates ont tweeté un faux article à propos d'une explosion à la Maison Blanche. Cette fausse nouvelle a circulé rapidement et a conduit à une chute de 150 points du Dow Jones. Un groupe de hackers syriens connu sous le nom d'Armée électronique syrienne a revendiqué l'attaque sans jamais en apporter la preuve.

En raison de son niveau de sophistication, l'attaque de violation de données menée contre Target en 2013 est devenue l'une des cyber-attaques les plus tristement célèbres de l'histoire. Tout comme les autres attaques mentionnées ici, celle-ci a commencé par une opération d'ingénierie sociale, mais les pirates ne visaient pas des employés de Target. Au contraire, les pirates ont envoyé des e-mails aux employés d'un fournisseur de systèmes de chauffage et de climatisation qui avait installé des climatiseurs ultramodernes dans les magasins Target. Ces climatiseurs étaient reliés aux systèmes informatiques des magasins Target, et après avoir réussi à infiltrer le fournisseur tiers, les pirates ont pu accéder aux réseaux de Target et obtenir des numéros de cartes bancaires grâce aux lecteurs installés dans des milliers de magasins. Ils ont ainsi divulgué les informations bancaires d'environ 40 millions de clients de Target.

Protection contre les attaques par ingénierie sociale

While automated security features like email screening can help prevent attackers from contacting victims, the best defense against social engineering attacks is common sense combined with an up-to-date knowledge of popular social engineering attacks. The United States Computer Emergency Readiness Team (US-CERT) advises citizens to be wary of any suspicious communications, and to only submit sensitive information over the web on secure web pages (HTTPS and TLS are good indications of website security). They also recommend avoiding clicking on links sent in emails, and instead typing the urls of trusted companies directly into the browser. Website owners can do their part by using a service like the Cloudflare CDN which will alert them when attackers are using their domain in phishing attacks.

Service commercial