Archives par mot-clé : ingénierie social

Sécurité informatique et l’être humain

Dans le dernier rapport du World Economic Forum portant sur les risques mondiaux, les insuffisances en matière de sécurité informatique occupent une place importante dans les classifications.

L’interrogation à ce niveau est de savoir quelles sont les mesures qu’il faudrait prendre pour anticiper le problème et le colmater si possible.

Cet article va aussi vous intéresser : Sécurité informatique : les pompiers d’une localité Française victimes de cyberattaque

Dans une approche assez simpliste des menaces informatiques, il faut noter que la grande partie des attaques informatiques commence par un courriel. Pour ce qui concerne en la totalité des programmes malveillants qui sont en circulation, leur impact négatif dépend de l’action d’un l’utilisateur pour que c’est la soit. Du côté des pirates informatiques, les tactiques ont bel et bien changé. En effet, ces derniers misent beaucoup plus sur les faiblesses humaines. Leurs actions s’appuient beaucoup plus sur des compagnes de phishing ou d’ingénierie sociale, beaucoup moins sur des techniques sophistiquées. Le plan est très simple : c’est de pousser les personnes ciblées à commettre eux-mêmes la faute souvent en leur fournissant les accès nécessaires.

« Aujourd’hui, les trois types d’attaques les plus dangereuses employées par les cybercriminels à des fins lucratives tournent autour du facteur humain. Il s’agit du BEC (Business Email Compromise) ou arnaque au président, de la compromission des comptes de messagerie (lorsque de vrais comptes sont usurpés par des cybercriminels) et des attaques de rançongiciels. ». Note Irene Marx, Responsable pays, Suisse et Autriche chez Proofpoint.

Les attaques informatiques de type BEC sont généralement des attaques assez bien ficelées voir perfides. « Les attaquants envoient en général un message en texte clair qui n’est pas identifié comme une menace par la plupart des systèmes de sécurité pour e-mail. Une fois que le message a été livré dans la boîte de réception de l’employé, c’est à lui d’évaluer l’authenticité du courriel. Souvent, l’adresse de l’expéditeur a été falsifiée avec soin pour imiter celle d’un supérieur ou d’un partenaire de la chaîne d’approvisionnement, tandis que le contenu a été adapté individuellement au destinataire. Si ce dernier n’est pas sensibilisé à ce type d’attaque, il n’est pas impossible qu’il effectue un transfert sur un compte des pirates ou qu’il envoie au supérieur supposé des informations sensibles comme des secrets d’entreprise. Avec des dommages s’élevant à plusieurs milliards de dollars par an, les attaques BEC sont aujourd’hui à l’origine de la plupart des réclamations de cyberassurance. », souligne Irene Marx.

70 % des responsables du domaine estiment que les employés constituent une très grande menace pour la sécurité informatique selon une étude en fourni par Proofpoint.

Si de plus en plus on constate que les entreprises prennent conscience de cette réalité, il y a quand même une limite à observer. Peu d’entreprises forment et sensibilisent leurs employés convenablement. En effet 77 pourcents des sociétés ne sensibilisent et ne forment leurs collaborateurs que deux fois par an. Et bien sûr cela n’est largement pas suffisant vu le contexte actuel où les attaques informatiques sont de plus en plus pressante et imminente.

« Seul un concept de sécurité à plusieurs niveaux permet de protéger efficacement l’organisation: les entreprises sont tenues d’investir dans la sécurité du courrier électronique. Elles doivent veiller à ce que les tentatives de fraude et autres attaques par e-mail soient détectées et n’atteignent pas la boîte de réception des destinataires. Mais il ne faut pas négliger la formation des utilisateurs, afin que les employés soient capables d’identifier et de traiter de manière responsable les e-mails frauduleux se retrouvant dans leur boîte de réception. Car ce n’est que lorsque la technologie et les utilisateurs formés travaillent ensemble que la sécurité dans l’entreprise peut être accrue à long terme. » décrit la responsable locale de Proofpoint.

Dans des situations similaires, on dira que la sécurité informatique des entreprises repose d’une certaine manière sur les employés. Au vu de cela, Michele Rapisarda, la responsable grands comptes chez Proofpoint en Suisse et en Autriche déclare : « Nous pensons qu’une défense forte ne peut être obtenue que par l’interaction efficace de la technologie, des processus et des personnes. Quelle que soit leur ampleur, la grande majorité des cyberattaques ont en commun de commencer par un courriel et d’essayer de tromper un humain – il faut donc une stratégie de défense centrée sur les personnes. La formation est un élément fondamental de cette démarche, tout comme les solutions de sécurité e-mail qui peuvent détecter les messages suspects à un stade précoce. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les dangers du télétravail face à l’ingénierie sociale

Aujourd’hui le maître mot sur le plan professionnel est le télétravail ou la collaboration à distance.

Une grande partie des sociétés à travers le monde entier ont adopté ce modèle pour être en mesure de répondre à un besoin qui se faisait sentir lors de confinement.

Cependant, la popularité du télétravail a aussi accru les risques liés aux incidents informatiques. La forme qui le prend, travailler à distance est aujourd’hui devenu quelque chose de bien risqué, quand bien même que cela est tendance. Car dans une certaine mesure le danger est partout. Une petite erreur de jugement, une mauvaise manipulation, un choix non judicieux, c’est tout un système qui est mis en branle. Comme le signifie Anu Bourgeois, professeur d’information à la Georgia State University : « Tout le monde est devenu vulnérable à ce moment-là ».

En effet, les protocoles de sécurité lorsqu’il y a des protocoles, ne sont pas respectés à la lettre. C’est le problème de formation et de maîtrise des domaines et risque cyber est toujours d’actualité. Avec le piratage de Twitter, l’ingénierie sociale est devenue d’actualité comme un risque à ne pas négliger. De ce côté-là fraude au président, reste la pratique la plus courante. Pour réussir leur coup, les cybercriminels vont prendre du temps pour analyser chaque élément essentiel pour usurper l’identité de la personne qui le permettra de tromper le maximum d’employés. « Les individus récupèrent des données en vente sur le dark web ou sur les réseaux sociaux. Une fois qu’ils détiennent les informations, le jour où le président est en vacances, ou absent, ou injoignable, ils appellent un membre de l’entreprise, un ou une assistant(e), comptable ou autre en se faisant passer pour le président, en faisant croire que c’est lui au bout du fil et en ordonnant de faire un virement vers des pays ou des comptes d’où l’argent ne revient évidemment jamais », explique dans le fond, Fred Raynal, qui ne cesse de mettre en évidence que cette pratique est certes négligées mais très répandue depuis ces 6 dernières années. « Le social engineering : peu coûteux, ne nécessite pas de gros moyens matériels, s’appuie sur la psychologie et les ressorts cognitifs ».

Dans ce genre de pratique, il est beaucoup plus mis en avant l’aspect psychologique plutôt que l’aspect technique. Les individus les individus concernés c’est-à-dire les cybercriminels, vont usurper l’identité d’une personne importante. Et cela à plusieurs reprises pour créer des relations de confiance. Ceci est une manipulation. « La perception du risque agit sur le comportement et joue un rôle prépondérant sur le processus de décision de l’individu. Considérant que le risque est faible, un individu ne procédera pas au traitement de l’information de manière aussi rigoureuse que s’il considérait le risque élevé », souligne David Castonguay, de l’Université de Montréal. « Nous ne sommes pas du tout sûr de la technique au sens informatique, mais bien sur un domaine des neurosciences. Le marketing, les grandes surfaces utilisent les neurosciences également. Les applications ne manquent pas », note de son côté le président de Quarkslab.

Dans ce contexte le sociologue Pierre Bourdieu observe : « les gouvernants ont aujourd’hui besoin d’une science capable de rationaliser, au double sens, la domination, capable à la fois de renforcer les mécanismes qui l’assurent et de la légitimer. Il va de soi que cette science trouve ses limites dans ses fonctions pratiques, aussi bien chez les ingénieurs sociaux que chez les dirigeants de l’économie. Elle ne peut jamais proférer de mise en question radicale. ».

En outre, l’ingénierie sociale qui à l’origine est une pratique plus sophistiquée, il n’en demeure pas moins qu’elle est efficace. Le cas du piratage de twitter est là pour nous le rappeler. Et derrière cela on s’aperçoit que d’autres problèmes se manifestent. « Cela révèle d’ailleurs un autre problème, et d’une manière générale, c’est celui de qui a accès à nos données ? Nous n’avons aucun moyen de le savoir. Il y a un autre problème : technologiquement aujourd’hui, on sait stocker des données chiffrées. On peut le faire sans souci dans le Cloud. Mais tant qu’elles sont chiffrées, on ne peut pas les déchiffrer. Donc à un moment, il faut que ces données soient déchiffrées, et la question, c’est qui les déchiffre, et où les déchiffre-t-on ? Est-ce sur les serveurs de Twitter, Salesforce ou Doctolib par exemple ? »

En tout cas de cause, le profil des coupables n’a pas encore été déterminé. On hésite entre affirmer que c’est un groupe de cybercriminels, d’un État ou une personne esseulée. Pour Fred Raynal, cet incident « est l’œuvre d’individus malins, qui ne répondaient pas qu’à des considérations techniques. Ils ont dû se demander quel était le meilleur moyen de faire une arnaque au Bitcoin, et se dire ensuite que c’était en s’emparant de gros comptes. Ils ont tout simplement été pragmatiques ». De son côté, le fondateur de Quarkslab reste sceptique. Pour lui, toutes les éventualités doivent être envisagées. « Ça peut être simplement un groupe d’arnaque au Bitcoin désireux de revendre les données d’un Elon Musk à des tiers, ou des gouvernements qui veulent accéder à des données de personnalités parce qu’ils les jugent d’intérêt et veulent les suivre d’un peu plus près car, plus on a d’informations sur une personne, plus c’est facile de l’attaquer », s’interroge-t-il. « Si c’est un gouvernement qui a fait ça, le fait de mettre des Bitcoin peut avoir servi de leurre pour masquer d’où cela vient. On peut imaginer aussi une société ou un ensemble de sociétés privées qui veulent accéder à des choses et veulent cacher le but de leur opération ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

L’ingénierie sociale

Depuis le piratage de Twitter, la technique utilisée par les cybercriminels dans le but de soit dérober des informations ou accéder un des terminaux est de nouveau sur la select.

L’ingénierie sociale, est définie par Kevin Mitnick en 2006 comme « l’art d’utiliser la tromperie et le mensonge pour arriver à ses fins ». Elle permet dans toute sa simplicité, d’utiliser la faiblesse humaine pour réussir un piratage informatique. Les conséquences peuvent avoir des effets néfastes pour les entreprises. Le vol d’information, la prise de contrôle de terminaux ou encore les arnaques peuvent facilement en découler.

Cet article va aussi vous intéresser : Twitter : Le réseau social a enfin la preuve que ses salariés ont participé à son piratage informatique

La question qui se posent dans le domaine de la cybersécurité et de la cybercriminalité est de savoir si l’on peut assimiler aujourd’hui l’ingénierie sociale à de l’hacking. Si cela est possible, le définiront-on dans quel domaine de l’hacking ? La question portant sur son origine et la manière de s’en prévenir aussi d’actualité sont aussi d’actualité.

« Le social engineering est quelque chose qui existe depuis longtemps, bien avant l’informatique, depuis que le commerce existe même, depuis que l’espionnage a été créé, sauf que selon les époques et les mondes, cela porte des noms différents » explique lors d’une interview Fred Raynal,  le fondateur de Quarkslab, (…) L’individu va établir une relation de confiance et de stress pour essayer d’abuser de la personne qu’il a à l’autre bout du téléphone, de façon à pouvoir accéder aux réseaux internes et aux données privées. » ajoute l’expert.

Dans un certain sens, cette technique est connue depuis les années 70. « En informatique, il a été popularisé à la fin des années 70 et au début des années 80 notamment par Kevin Mitnick, un hacker qui fut suivi par le FBI pendant plusieurs années et qui allait fouiller dans les poubelles d’organismes publics pour récolter des informations qui lui permettaient d’entrer dans le réseau interne » relate le patron de Quarkslab. Quand les cybercriminels arrivent à établir la relation de confiance entre la victime et eux, ils peuvent alors facilement récolter les informations nécessaires pour accéder soit à des réseaux internes d’entreprises ou pour récolter des informations sensibles.

Selon les spécialistes de la sécurité, l’ingénierie sociale ne peut pas se définir véritablement comme une cyberattaque. Elle est juste un moyen utilisé par les cybercriminels pour récolter des informations, sur un système ou un réseau, dans le but d’initier une attaque informatique.

« Le social engineering est favorisée par la présence des personnes ciblées sur les réseaux sociaux ou sur des sites communautaires, ce qui facilite l’hameçonnage » explique Stéphane Gill, enseignant et spécialiste rattaché depuis plus de 20 ans au département informatique du Collège Ahuntsic de Montréal. « Elle consiste surtout à se faire passer pour quelqu’un que l’on n’est pas (en général un des administrateurs du serveur que l’on veut pirater) et de demander des informations personnelles (login, mots de passe, accès, numéros, données…) en inventant un quelconque motif (plantage du réseau, modification de celui-ci…). Elle se fait soit au moyen d’une simple communication téléphonique ou par courriel », ajoute-t-il.

De nos jours avec l’explosion des réseaux sociaux, cette pratique de cybermalveillance est favorisée voir facilitée même. Car il est aujourd’hui très simple de récolter des informations sur un des réseaux sociaux les plus utilisés tels que Facebook, Twitter ou même TikTok. Ce qui dans une certaine manière facilite certaines pratiques tel que l’hameçonnage. Car comme il a été observé depuis un certain moment, l’ingénierie sociale vient généralement en renfort au phishing. Cependant, il faut faire une distinction entre ces deux pratiques. « Le social engineering ne s’appuie pas sur des techniques informatiques. Le phishing, c’est autre chose : on crée quelque chose qui est un leurre, qui est bien fait, et qui piège quelqu’un qui ne fera pas attention. Le social engineering, c’est un peu plus évolué », note Fred Raynal.

Par ailleurs, avec l’explosion du télétravail, il n’est pas inenvisageable en que durant cette période de confinement, la pratique de l’ingénierie sociale est connue aussi un boom à l’instar de plusieurs autres actes de cybermalveillance. C’est d’ailleurs dans ce contexte que Anu Bourgeois, professeur d’information à la Georgia State notait ceci : « Tout le monde est devenu vulnérable à ce moment-là ».

En outre, plusieurs formes ont été observés dans la pratique de l’ingénierie sociale. La plus célèbre et celle appelée « la fraude au président », une situation à laquelle, a été confrontée une très grande partie des entreprises durant ces 10 dernières années, et qui continue de subsister. Cela consiste tout simplement pour le cyber criminel de se faire passer pour un responsable de l’entreprise qu’il cible dans le but d’induire les collaborateurs en erreur et de les pousser à commettre des actes pouvant avoir des conséquences négatives pour l’entreprise. « Les individus récupèrent des données en vente sur le dark web ou sur les réseaux sociaux. Une fois qu’ils détiennent les informations, le jour où le président est en vacances, ou absent, ou injoignable, ils appellent un membre de l’entreprise, un ou une assistant(e), comptable ou autre en se faisant passer pour le président, en faisant croire que c’est lui au bout du fil et en ordonnant de faire un virement vers des pays ou des comptes d’où l’argent ne revient évidemment jamais », explique Fred Raynal, qui met en évidence, la prolifération de ce genre de pratique durant ces 6 dernières années. » Le social engineering : peu coûteux, ne nécessite pas de gros moyens matériels, s’appuie sur la psychologie et les ressorts cognitifs » ajoute-t-il.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage