Les pratiques du piratage psychologique (ou "ingénierie sociale") exploitent les faiblesses psychologiques, sociales et plus largement organisationnelles des individus ou organisations pour obtenir quelque chose frauduleusement (un bien, un service, un virement bancaire, un accès physique ou informatique, la divulgation d’informations confidentielles, etc.). En utilisant ses connaissances, son charisme, son sens de l’imposture ou son culot, l’attaquant cherche à abuser de la confiance, de l’ignorance et de la crédulité de sa cible pour obtenir ce qu’il souhaite...
Dans son ouvrage L'Art de la supercherie, paru en 2002, le hacker Kevin Mitnick a théorisé et popularisé cette pratique de manipulation qui utilise principalement les « failles humaines » d'un système d'information comme « effet de levier », pour briser ses barrières de sécurité.
Le piratage psychologique est aussi appelée processus « d'élicitation » (de l'anglais elicitate : trier, faire sortir de, susciter...), ou plus concrètement en français : l'art de soutirer frauduleusement des informations à l'insu de son interlocuteur en lui « tirant les vers du nez ». Ce terme est souvent utilisé dans le jargon informatique pour désigner un processus d'approche relationnel frauduleux et définit plus globalement les méthodes mises en œuvre par certains crackers (pirate, ou black hat), qui usent « d'élicitation » pour obtenir d'une personne manipulée un accès direct à un système informatique ou plus simplement, pour satisfaire leur curiosité.
De nos jours, un effort de formation et de prévention est fourni aux utilisateurs des systèmes informatisés sécurisés. Les services chargés de la sécurité des systèmes informatiques forment les différents personnels de l'entreprise aux règles de sécurité fondamentales : la meilleure façon de choisir un mot de passe (long et ne se trouvant pas dans un dictionnaire), ne jamais révéler son mot de passe à quiconque, pas même à un interlocuteur se faisant passer pour un employé du service informatique, etc. De nombreuses conférences invitent les spécialistes du renseignement ou de la sécurité du système d'information dans les entreprises à instruire le personnel au sein des grandes structures de l'État et des grands groupes du CAC 40, et à sensibiliser davantage leurs nombreux utilisateurs à cette forme de menace. Ces formations visent principalement à prévenir les effectifs internes des entreprises, à ne pas divulguer « accidentellement » ni « involontairement » des informations sensibles, et à leur enjoindre de donner l'alerte en cas de tentative d'intrusion frauduleuse.
Les comportements des employés peuvent avoir des conséquences importantes sur les questions de sécurité de l’information au sein d’une organisation. La culture de l’entreprise peut aider différentes parties de l’organisation, d’une part pour des questions d’efficacité et d’autre part pour lutter contre de mauvaises habitudes de sécurité de l’information.
Andersson et Reimers (2014) ont constaté que les employés ne se considéraient pas comme un maillon de la sécurité de l’information au sein de leur structure. Ils ont aussi constaté qu’il leur arrivait même d’ignorer consciemment certaines règles de sécurité. Dans le texte “Information Security Culture from Analysis to Change”, les auteurs estiment que la culture de la sécurité est un travail sans fin d’évaluation et changement ou de maintenance de manière cyclique. Selon eux, pour gérer la culture de la sécurité, il faut suivre 5 étapes : pré-évaluation, planification stratégique, planification opérationnelle, exécution et post-évaluation.
- Pré-évaluation : afin d’identifier et de comprendre la culture actuelle de l’entreprise et son fonctionnement actuel
- Planification stratégique : pour assurer l’efficacité du processus il convient d’identifier clairement les objectifs, le public ciblé et les différents types de personnes
- Planification opérationnelle : un usage basé sur une communication interne, une culture de la sécurité et des programme d'entraînement, peuvent être des solutions efficaces
- Exécution en 4 étapes : un engagement de la direction, une communication officielle, une formation pour l’ensemble des acteurs et enfin un engagement des employés.
Toutes les techniques d'ingénierie sociale sont basées sur les biais cognitifs qui permettent à une personne de prendre une décision. Ces biais peuvent être exploités de manières très différentes afin de créer des moyens d'attaquer, certaines de ces techniques sont présentées ci-dessous. Les attaques peuvent avoir pour objectif de collecter des informations confidentielles auprès des salariés ou encore de les inciter à prendre de mauvaises décisions. Les techniques les plus simples se font via un appel téléphonique.
Exemples d'ingénierie sociale : un individu entre dans un immeuble et placarde une affiche à l’aspect officiel affirmant que le numéro de service de dépannage informatique a changé. Donc quand les salariés de l'entreprise auront besoin d'une assistance technique ils appelleront cet individu, en ayant une entière confiance en lui. Ainsi ce dernier pourra leur demander login, mot de passe ou d'autres informations confidentielles et personnelles prétextant une intervention à distance par exemple. De cette manière l'individu pourra avoir accès au système d'information de l'entreprise.
La technique dite du prétexte, également connue au Royaume-Uni sous le terme de bohoing, est une technique consistant à créer un scénario de toutes pièces (le prétexte) afin d’engager une victime ciblée. L’élaboration d’un tel scénario permet d’augmenter les chances que la victime fasse ce que souhaite l’attaquant. La technique du prétexte se base sur un scénario élaboré en amont de l’attaque. Cela nécessite des recherches préalables de la part de l’attaquant (ex: date de naissance, numéro de sécurité sociale, montant de la dernière facture, etc.) et qui permettent d’emprunter une fausse identité, ce qui viendra légitimer l’attaquant et permettra d’obtenir la confiance de la victime. Cette technique peut être utilisée pour tromper une entreprise et lui faire divulguer des informations sur ses clients ou encore pour obtenir des enregistrements téléphoniques, des registres bancaires, etc.
C’est ensuite un cercle vicieux qui s’enchaine. L’attaquant obtenant de l’information, ces informations lui permettront de toujours mieux se légitimer. Notamment lorsqu’il cherche à atteindre de nouvelles cibles plus élevées dans la hiérarchie et donc plus soupçonneuses, telles qu’un comptable ou un gestionnaire qui peuvent être ciblées pour obtenir des changements de comptes, des soldes spécifiques, des virements bancaires, etc.
La technique du prétexte ne cherche pas nécessairement à se faire passer pour une personne interne à l’entreprise mais également pour prendre l’identité des services de police, d’une banque, des autorités fiscales, des enquêteurs d’assurance, etc. Le prétexte doit simplement permettre à l’attaquant d’anticiper et de préparer des réponses aux questions qui pourraient lui être posées par la victime. Dans certains cas, cela peut aller jusqu’à travailler la diction, le son de sa voix voire le vocabulaire utilisé, toujours dans l’objectif de se crédibiliser au maximum auprès de la victime.
La fraude aux faux ordres de virement (FOVI) ou fraude au président est une technique particulière de prétexte. Elle consiste pour le fraudeur à se faire passer pour le dirigeant de la société, exclusivement dans le but d’obtenir un virement bancaire. La FOVI permet à l’escroc d’être en position dominante vis-à-vis de la victime car celle-ci est dans une situation de subordination hiérarchique. L’escroc peut ainsi plus facilement prétexter l’urgence et la confidentialité, voire recourir à de l’intimidation (exemple: c’est un ordre! J’exige que vous fassiez le virement sinon… ) ou à l’inverse à de la valorisation (exemple: Je vous fais confiance).
L’hameçonnage ou phishing est une technique frauduleuse qui vise à obtenir des informations privées. L’escroc prend contact par courrier électronique en faisant croire à sa victime qu’il s’agit d’un organisme de confiance - banque, fournisseur d’électricité, police, etc. - et lui demande la confirmation d’une information (mot de passe, numéro de carte de crédit, code d’accès, identifiant, etc.) sous peine sinon de lourdes conséquences. Le mail contient alors un lien renvoyant vers un site internet paraissant tout à fait officiel aux yeux de la victime. C’est pourtant une copie faite par l’escroc qui permettra dès lors que la victime aura renseigné les informations demandées de les récupérer pour pouvoir les réutiliser et également avoir accès aux données personnelles de la victime.
Cette technique peut également être faite par le biais de SMS et porte le nom de SMiShing.
Photo : Fotolia - Sergey Nivens. Texte sous licence CC BY-SA 3.0. Contributeurs, ici.
Pour aider les entreprises à mettre en place des verrous de sécurité administrative, des experts-comptables :
75001 - CABINET FRANCOIS BRUNET http://www.expert-comptable-paris-01.com