Qu'est-ce qu'une attaque par ingénierie sociale ?

Qu'est-ce que l'ingénierie sociale ?

Pour faire simple, l'ingénierie sociale est la pratique consistant à manipuler les personnes pour qu'elles divulguent des informations sensibles. Les attaques par ingénierie sociale peuvent se produire dans la vie courante : un voleur peut par exemple se faire passer pour un livreur pour s'introduire dans un bâtiment. Cet article portera plutôt sur les cyberattaques par ingénierie sociale. Dans la plupart des cas, ces attaques visent à amener la victime à divulguer soit ses identifiants de connexion, soit des informations de paiement confidentielles.

• Un pirate envoie à une victime un e-mail qui semble provenir d'une personne figurant sur sa liste de contacts. Cet e-mail peut contenir un lien suspect qui exécutera une attaque de type cross-site scripting malveillante, ou qui dirigera la victime vers un site malveillant.
• Un pirate attire les utilisateurs en ligne avec de prétendus liens de téléchargement de films ou de logiciels populaires, mais ces téléchargements contiennent en fait un payload malveillant.
• Un pirate contacte une victime en prétendant être un étranger fortuné qui a besoin des coordonnées d'un compte bancaire américain pour y transférer sa fortune, et lui propose de la récompenser généreusement en échange de ces informations bancaires. En réalité, il cherche à vider les comptes de la victime.

Outre ce genre d'escroqueries d'ingénierie sociale à caractère individuel, on observe des attaques d'ingénierie sociale plus sophistiquées qui visent des organisations entières, comme par exemple les attaques par clés USB faussement perdues. Ces attaques peuvent viser les réseaux d'entreprises bien protégées, même celles qui ne sont pas connectées à Internet. Pour ce faire, les pirates dispersent plusieurs clés USB sur le parking de l'entreprise visée. Ils y apposent une étiquette attrayante, comportant par exemple la mention « Confidentiel », dans l'espoir qu'un employé curieux en trouve une et la branche sur son ordinateur. Ces clés peuvent contenir des virus ou des vers très puissants qui seront difficiles à détecter, car ils entrent dans le réseau à partir d'un ordinateur situé sur place.

Quels sont les exemples célèbres d'attaques par ingénierie sociale ?

La violation des données de la société RSA en 2011 a fait beaucoup de bruit, principalement parce que RSA est une société de sécurité réputée. Cette attaque a perturbé le service populaire d'authentification à deux facteurs, SecurID. Bien que tous les détails de l'attaque n'aient pas été rendus publics, on sait qu'elle a commencé par une attaque par ingénierie sociale. Elle a débuté par une simple attaque par hameçonnage, dans laquelle les pirates ont envoyé à des employés de bas niveau de RSA des e-mails qui semblaient être des e-mails de la société concernant des recrutements. L'un de ces employés a ouvert une pièce jointe contenue dans ce message électronique, ce qui a déclenché l'attaque.

En 2013, Associated Press a été victime d'une attaque par ingénierie sociale qui a fait chuter la bourse de 136 milliards de dollars. Une fois encore, des employés ont été victimes d'une attaque par hameçonnage. En ouvrant simplement un lien contenu dans l'e-mail, l'un des employés a déclenché l'attaque qui a abouti au piratage du compte Twitter d'AP, et les pirates ont tweeté un faux article à propos d'une explosion à la Maison Blanche. Cette fausse nouvelle a circulé rapidement et a conduit à une chute de 150 points du Dow Jones. Un groupe de hackers syriens connu sous le nom d'Armée électronique syrienne a revendiqué l'attaque sans jamais en apporter la preuve.

En raison de son niveau de sophistication, l'attaque de violation de données menée contre Target en 2013 est devenue l'une des cyber-attaques les plus tristement célèbres de l'histoire. Tout comme les autres attaques mentionnées ici, celle-ci a commencé par une opération d'ingénierie sociale, mais les pirates ne visaient pas des employés de Target. Au contraire, les pirates ont envoyé des e-mails aux employés d'un fournisseur de systèmes de chauffage et de climatisation qui avait installé des climatiseurs ultramodernes dans les magasins Target. Ces climatiseurs étaient reliés aux systèmes informatiques des magasins Target, et après avoir réussi à infiltrer le fournisseur tiers, les pirates ont pu accéder aux réseaux de Target et obtenir des numéros de cartes bancaires grâce aux lecteurs installés dans des milliers de magasins. Ils ont ainsi divulgué les informations bancaires d'environ 40 millions de clients de Target.

Protection contre les attaques par ingénierie sociale

Si des fonctionnalités de sécurité automatisées comme le filtrage des e-mails peuvent contribuer à empêcher les attaquants de prendre contact avec leurs victimes, la meilleure défense contre les attaques par ingénierie sociale est le bon sens conjugué à une connaissance actualisée des attaques par ingénierie sociale les plus courantes. Le United States Computer Emergency Readiness Team (US-CERT) conseille aux citoyens de se méfier de tout message suspect, et de ne communiquer des informations sensibles sur le web que sur des pages web sécurisées (les protocoles HTTPS et TLS donnent une bonne indication de la sécurité des sites Web). Il recommande également d'éviter de cliquer sur les liens contenus dans les e-mails, et de taper les urls des entreprises de confiance directement dans le navigateur. Les administrateurs de sites Web peuvent contribuer à cet effort en utilisant des services tels que le RDC Cloudflare qui les alertera lorsque des attaquants utiliseront leur domaine dans le cadre d'attaques de hameçonnage.