Article issu de la plénière : « Social engineering: hack me if you can«
Ingénierie sociale : définition d’une menace en forte croissance
Ensemble des pratiques de manipulation psychologique visant à exploiter les vulnérabilités de l’utilisateur pour faire du facteur humain le maillon faible de la cybersécurité. Les cybercriminels incitent leurs victimes à révéler leurs informations confidentielles pour pouvoir par la suite les attaquer de manière plus ciblée. L’ingénierie sociale est au cœur d’un nombre croissant d’attaques, tant ciblées que massives. En 2017, le FBI estimait par exemple que le cumul des coûts de piratage par ingénierie sociale depuis 2013 s’élevait à 1,6 milliard de dollars pour les entreprises américaines. Ce phénomène connaît une croissance mondiale de 8% sur un an.
La notion de piratage est un peu plus large que celle d’ingénierie sociale. Il s’agit en effet de quelque chose qui est utilisée de manière détournée ou non-éthique dans le but d’obtenir des informations ou de créer des actions pour prendre le contrôle ou influencer afin d’obtenir différents résultats.
Il a précédemment été mentionné que les cybercriminels prenaient l’avantage grâce aux « failles humaines ». Néanmoins, ce terme ne fait pas l’unanimité. Selon Raef Meeuwisse, expert ISACA[1] en gouvernance des systèmes d’information et auteur, les développeurs de logiciels ont l’habitude de dire que : « si vous savez ce que c’est, ce n’est pas une faille mais une fonctionnalité ». Le paradigme s’en trouve dès lors inversé et la faille n’est pas nécessairement là où on l’imagine. Montrer du doigt les utilisateurs serait donc une erreur si on considère les vulnérabilités comme issues de la conception du logiciel. Les hackers exploitent alors ces failles qui sont nombreuses.
Les techniques d’ingénierie sociale
L’observation de la psychologie humaine, « discipline visant la connaissance des activités mentales et des comportements en fonction des conditions de l’environnement »[2], trahit le fait que l’être humain aime que les choses soient accessibles. L’étude des biais cognitifs indique que nous favorisons les options qui nous paraissent simples ou qui ont des informations plus complètes aux options plus complexes ou ambiguës. Ce biais peut par ailleurs nous amener à prendre de mauvaises décisions basées sur nos émotions, « réactions affectives transitoires d’assez grande intensité, habituellement provoquée par une stimulation venue de l’environnement »[3]. Plusieurs leviers peuvent donc être utilisés et l’ingénierie sociale n’est qu’une forme parmi tant d’autre de « piratage de l’humain ».
Un exemple simple peut être la réservation d’une chambre d’hôtel sur internet. L’introduction d’une certaine crainte et d’un certain doute quant à la réservation par le biais de la psychologie (nombre de chambres disponibles, réduction si réservation immédiate) va inciter à la réservation sans savoir si les informations fournies sont fiables.
D’après Raef Meeuwisse, la réussite du « piratage humain » repose sur le fait que la personne visée n’est pas au courant. En réalité, en observant attentivement les achats d’un utilisateur sur internet, la façon dont ses données sont analysées, les boîtes de dialogues d’acceptation des cookies et les techniques utilisées pour qu’ils soient tous acceptés en décourageant l’utilisateur d’avoir recours à d’autres options. Toutes ces techniques utilisent divers vulnérabilités humaines pour nous atteindre.
Focus sur l’hameçonnage ciblé ou spear phising
« Le spear phishing est une forme d’escroquerie en ligne. Il s’agit d’une variante particulière du phishing ou hameçonnage. Au lieu de s’adresser à un large public, les escrocs sélectionnent leur cible avec précautions. En utilisant des informations concrètes relatives au groupe sélectionné, ils peuvent créer des messages et sites Web qui se veulent les plus crédibles possibles. Bien que cela leur demande des efforts considérables, leur taux de réussite élevé en vaut la peine »[4].
La plupart du temps, ces attaques ont pour but de nuire à des entreprises et organisations. A la différence des auteurs de phishing classique dont l’objectif réside principalement dans l’obtention malicieuse de coordonnés bancaires, les scénarios d’attaque, des auteurs de ces variantes de phishing, varient de l’espionnage industriel aux cyberattaques.
« En amont, les escrocs espionnent la cible et accumulent les informations leur permettant d’augmenter leur crédibilité. Ils rédigent ensuite un email sur mesure. L’expéditeur est alors souvent une personne prétendument en position d’autorité ou un partenaire commercial fictif. Le spear phishing fonctionne particulièrement bien au sein de larges entreprises internationales, dont les employés ne connaissent pas forcément l’organigramme dans son entier »[4]. Les victimes sont ainsi incitées à divulguer des données sensibles ou télécharger des logiciels malveillants permettant de prendre ainsi le contrôle de leurs appareils. « Inconsciente du danger, la victime pense avoir ouvert un e-mail inoffensif ou consulté un site Web sécurisé. »[4]
Une nécessaire acculturation
Le manque de connaissance du grand public a pour conséquence de ne générer que peu d’engouement à l’égard de l’ingénierie sociale. Ce n’est parfois pas à propos de vous, ça pourrait tout autant être à propos de votre meilleur ami, votre patron ou votre conjoint. Un acteur malveillant souhaitant atteindre une cible le fera souvent par l’intermédiaire de tous ses amis et l’ensemble de leurs ramifications pour mieux l’encercler. Il obtiendra ainsi des informations de la part de l’ensemble du cercle social de sa cible avant de spécifiquement l’atteindre.
Ce n’est pas toujours à propos de vous mais ça peut également l’être. Le grand public éprouve de grandes difficultés à appréhender la dangerosité des actes numériques sur la « vie réelle » et les conséquences néfastes qu’ils peuvent avoir. La plupart des gens souffrent d’une sorte de schizophrénie, dissociant les actes posés sur un plan numérique de ceux qu’ils peuvent poser dans la « vie réelle ». Certains vous diront que ce n’est pas grave que vous obteniez leurs coordonnées par l’intermédiaire des réseaux sociaux. Mais si vous ne le faites pas pour vous, faites le pour les autres. C’est une simple question d’hygiène numérique pour mieux vous défendre vous et votre entourage.
En cette période, l’accès à l’information n’est presque jamais une barrière. En effet, les personnes divulguent de plus en plus d’informations et avec les différents systèmes de stockage de données, les informations durent pour toujours. L’adage « Internet n’oublie jamais » n’aura jamais été aussi vrai. Par ailleurs, le potentiel de nuisance peut s’étendre bien au-delà de la sphère numérique par l’intermédiaire des informations glanées ici et là.
L’humain comme premier maillon de la chaîne de la cybersécurité
Selon Deanna Caputo, spécialiste des sciences de l’étude du comportement dans l’amélioration de la cybersécurité : « l’humain est en ce moment en « mode avion », il ne sait pas quoi faire. Les humains sont passifs et inconscients de leur capacité à endiguer la menace. Nous devons nous renforcer et nous mettre en ordre d’attaque, apporter un cadre à tout ce que les gens ne font pas en ce moment et considérer que les compétences humaines nous permettront de nous adapter ». Les professionnels de la cybersécurité sont enclins à se focaliser sur l’erreur humaine. Ce qui témoigne de la douloureuse poussée de croissance que connaît la cybersécurité. A l’instar de l’instauration de la ceinture de sécurité en son temps, la cybersécurité est un domaine encore jeune qui pâtit peut-être de l’impatience de ses professionnels.
Jeff Moss, également connu sous le nom de Dark Tangent, est un hacker américain, expert en sécurité informatique et Internet qui considère qu’ « on attend de l’utilisateur final qu’il soit un expert cybersécurité, qu’il choisisse de parfaits mots de passe, qu’il mémorise quinze règles différentes issues des départements informatiques. C’est vraiment irréaliste. Nous devons prendre cela en compte et concevoir nos produits de manière à faciliter la bonne décision par l’utilisateur final. Nous ne devons pas blâmer l’utilisateur final mais plutôt s’interroger sur le pourquoi du comment des alertes émises par un système d’information ».
[1] https://fr.wikipedia.org/wiki/ISACA
[2] https://www.larousse.fr/dictionnaires/francais/psychologie/64844?q=psychologie#64118
[3] https://www.larousse.fr/dictionnaires/francais/%c3%a9motion/28829?q=%c3%a9motion#28701
[4] https://www.ionos.fr/digitalguide/email/securite-email/spear-phishing/
Intervenants de la plénière :
- Julia SIEGER – Journaliste France 24
- Raef MEEUWISSE – CyberSimplicity.com
- Rachel TOBAC – CEO SocialProof Security
- Jeff MOSS – Founder and CEO DefCon
- Ton VAN GESSEL – CISO Skyteam
- Deanna CAPUTO – Chief Scientist for Behavioral Sciences & Cyber Security Capability – The MITRE Corporation
Rédigé par : Wilfried IME