L’ingénierie sociale

Depuis le piratage de Twitter, la technique utilisée par les cybercriminels dans le but de soit dérober des informations ou accéder un des terminaux est de nouveau sur la select.

L’ingénierie sociale, est définie par Kevin Mitnick en 2006 comme « l’art d’utiliser la tromperie et le mensonge pour arriver à ses fins ». Elle permet dans toute sa simplicité, d’utiliser la faiblesse humaine pour réussir un piratage informatique. Les conséquences peuvent avoir des effets néfastes pour les entreprises. Le vol d’information, la prise de contrôle de terminaux ou encore les arnaques peuvent facilement en découler.

Cet article va aussi vous intéresser : Twitter : Le réseau social a enfin la preuve que ses salariés ont participé à son piratage informatique

La question qui se posent dans le domaine de la cybersécurité et de la cybercriminalité est de savoir si l’on peut assimiler aujourd’hui l’ingénierie sociale à de l’hacking. Si cela est possible, le définiront-on dans quel domaine de l’hacking ? La question portant sur son origine et la manière de s’en prévenir aussi d’actualité sont aussi d’actualité.

« Le social engineering est quelque chose qui existe depuis longtemps, bien avant l’informatique, depuis que le commerce existe même, depuis que l’espionnage a été créé, sauf que selon les époques et les mondes, cela porte des noms différents » explique lors d’une interview Fred Raynal,  le fondateur de Quarkslab, (…) L’individu va établir une relation de confiance et de stress pour essayer d’abuser de la personne qu’il a à l’autre bout du téléphone, de façon à pouvoir accéder aux réseaux internes et aux données privées. » ajoute l’expert.

Dans un certain sens, cette technique est connue depuis les années 70. « En informatique, il a été popularisé à la fin des années 70 et au début des années 80 notamment par Kevin Mitnick, un hacker qui fut suivi par le FBI pendant plusieurs années et qui allait fouiller dans les poubelles d’organismes publics pour récolter des informations qui lui permettaient d’entrer dans le réseau interne » relate le patron de Quarkslab. Quand les cybercriminels arrivent à établir la relation de confiance entre la victime et eux, ils peuvent alors facilement récolter les informations nécessaires pour accéder soit à des réseaux internes d’entreprises ou pour récolter des informations sensibles.

Selon les spécialistes de la sécurité, l’ingénierie sociale ne peut pas se définir véritablement comme une cyberattaque. Elle est juste un moyen utilisé par les cybercriminels pour récolter des informations, sur un système ou un réseau, dans le but d’initier une attaque informatique.

« Le social engineering est favorisée par la présence des personnes ciblées sur les réseaux sociaux ou sur des sites communautaires, ce qui facilite l’hameçonnage » explique Stéphane Gill, enseignant et spécialiste rattaché depuis plus de 20 ans au département informatique du Collège Ahuntsic de Montréal. « Elle consiste surtout à se faire passer pour quelqu’un que l’on n’est pas (en général un des administrateurs du serveur que l’on veut pirater) et de demander des informations personnelles (login, mots de passe, accès, numéros, données…) en inventant un quelconque motif (plantage du réseau, modification de celui-ci…). Elle se fait soit au moyen d’une simple communication téléphonique ou par courriel », ajoute-t-il.

De nos jours avec l’explosion des réseaux sociaux, cette pratique de cybermalveillance est favorisée voir facilitée même. Car il est aujourd’hui très simple de récolter des informations sur un des réseaux sociaux les plus utilisés tels que Facebook, Twitter ou même TikTok. Ce qui dans une certaine manière facilite certaines pratiques tel que l’hameçonnage. Car comme il a été observé depuis un certain moment, l’ingénierie sociale vient généralement en renfort au phishing. Cependant, il faut faire une distinction entre ces deux pratiques. « Le social engineering ne s’appuie pas sur des techniques informatiques. Le phishing, c’est autre chose : on crée quelque chose qui est un leurre, qui est bien fait, et qui piège quelqu’un qui ne fera pas attention. Le social engineering, c’est un peu plus évolué », note Fred Raynal.

Par ailleurs, avec l’explosion du télétravail, il n’est pas inenvisageable en que durant cette période de confinement, la pratique de l’ingénierie sociale est connue aussi un boom à l’instar de plusieurs autres actes de cybermalveillance. C’est d’ailleurs dans ce contexte que Anu Bourgeois, professeur d’information à la Georgia State notait ceci : « Tout le monde est devenu vulnérable à ce moment-là ».

En outre, plusieurs formes ont été observés dans la pratique de l’ingénierie sociale. La plus célèbre et celle appelée « la fraude au président », une situation à laquelle, a été confrontée une très grande partie des entreprises durant ces 10 dernières années, et qui continue de subsister. Cela consiste tout simplement pour le cyber criminel de se faire passer pour un responsable de l’entreprise qu’il cible dans le but d’induire les collaborateurs en erreur et de les pousser à commettre des actes pouvant avoir des conséquences négatives pour l’entreprise. « Les individus récupèrent des données en vente sur le dark web ou sur les réseaux sociaux. Une fois qu’ils détiennent les informations, le jour où le président est en vacances, ou absent, ou injoignable, ils appellent un membre de l’entreprise, un ou une assistant(e), comptable ou autre en se faisant passer pour le président, en faisant croire que c’est lui au bout du fil et en ordonnant de faire un virement vers des pays ou des comptes d’où l’argent ne revient évidemment jamais », explique Fred Raynal, qui met en évidence, la prolifération de ce genre de pratique durant ces 6 dernières années. » Le social engineering : peu coûteux, ne nécessite pas de gros moyens matériels, s’appuie sur la psychologie et les ressorts cognitifs » ajoute-t-il.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage