De nouvelles pratiques de hacking ne cessent d'émerger
Vous avez probablement déjà entendu parler de virus, de ransomwares, de vers et autres programmes malveillants. Ils peuvent s’installer sur votre ordinateur et agir sur vos données de multiples façons. Ces menaces peuvent chiffrer vos fichiers, vous demander une rançon ou encore rendre votre ordinateur inopérable… Il y a quelques années une nouvelle forme d’attaque, de plus en plus répandue, a vu le jour : le social engineering.
Le concept de Social Engineering
De quoi parle-t-on ?
Le Social Engineering, ou Attaque par Ingénierie Sociale en français, n’est basé ni sur l’outil informatique, ni sur l’exploitation de failles matérielles ou logicielles. Ce type d’attaque utilise une autre faille : l’Humain. Le Social Engineering vise à manipuler une personne, la victime, afin de soustraire des informations du système informatique ou de s’y introduire, sans avoir besoin de procéder à un quelconque piratage informatique classique.
Le fonctionnement des attaques de type Social Engineering
La persuasion et la manipulation sont les clefs de voûte de cette technique. Le Social Engineering peut être appliqué sous divers scénarios, ce qui peut le rendre d’autant plus difficile à identifier. Le malfaiteur chercher à exercer une pression psychologique sur la victime, en invoquant l’urgence ou la confidentialité pour obtenir rapidement les informations souhaitées.
Quelques exemples autour du monde
Les exemples d’attaques de type Social Engineering sont malheureusement nombreux. Les scénarios sont en effet illimités. Voici quelques cas concrets trouvés autour du monde.
En France, dans une petite entreprise, un malfaiteur a usurpé l’adresse e-mail du Dirigeant pour envoyer des emails à la Directrice des Affaires Financières. Le message demandait de faire des virements sur des comptes bancaires pour l’ouverture et le déploiement de leur marché vers la Chine. L’usurpateur a joué sur la confidentialité de cette affaire et a demandé à ce que ces actions soient exécutées rapidement et discrètement.
Dans une autre région, des travaux de fibre étaient en cours dans un espace d’entreprises. Pour accéder aux données de l’entreprise qu’il ciblait, le malfaiteur s’est fait passer pour un technicien Orange. Il a ainsi demandé à accéder à la salle serveur de la société. Le collaborateur chargé de l’accueil a guidé le technicien à la salle serveur. Une fois installé, le hacker a pu y introduire un dispositif permettant de lui accorder un accès à distance au réseau de l’entreprise.
Enfin, au Japon, des cybercriminels ont utilisé un service de livraison à domicile pour distribuer des CD qui étaient infectés avec un cheval de Troie espion. Les adresses des clients d’une banque japonaise avaient été dérobées dans la base de données de la banque. Les hackers ont ensuite fait envoyer les CD infectés directement aux clients de l’établissement, afin de récupérer leurs données bancaires.
Comment se protéger concrètement du Social Engineering ?
Les scénarios d’attaque par le Social Engineering sont nombreux, et c’est ce qui fait sa complexité. Il n’y a malheureusement pas de solution clés en main pour se prémunir de ces attaques mais il découle un certain nombre de bonnes pratiques à appliquer dans chaque entreprise.
La sensibilisation des collaborateurs
Le point clé du Social Engineering est l’utilisateur. Il est donc primordial de sensibiliser les collaborateurs sur l’enjeu et la criticité des informations qu’ils véhiculent. Il est également important de leur faire prendre conscience de l’impact qu’ils peuvent avoir sur un système informatique.
La mise en place de tests
Le point clé du Social Engineering est l’utilisateur. Il est donc primordial de sensibiliser les collaborateurs sur l’enjeu et la criticité des informations qu’ils véhiculent. Il est également important de leur faire prendre conscience de l’impact qu’ils peuvent avoir sur un système informatique.
La formation de vos collègues
Il est important de faire en sorte que les collaborateurs d’une entreprise aient connaissance des moyens et techniques utilisés par les pirates informatiques. Il faut les former sur les bonnes pratiques informatiques. Ceci leur permettra par exemple de détecter un email frauduleux, usurpé, ou une pièce jointe suspecte et de déclencher une suite d’actions auprès du service informatique.
En résumé
La sécurité informatique ne se joue donc pas uniquement sur des mécanismes informatiques complexes. Les meilleurs équipements informatiques de sécurité ne serviront à rien si l’humain n’est pas prudent.
Enfin, même s’il est crucial pour chaque entreprise de s’assurer des différents mécanismes de sécurité qui sont déployés, cela n’est pas synonyme d’un risque « zéro » qui – par définition – n’existe pas. La formation continue et la sensibilisation des employés permettra cependant de s’en rapprocher.
