Les attaques par ingénierie sociale

D’aussi loin que nous sommes des êtres sociaux, l’Homme a cherché à escroquer ses paires afin de profiter de biens ou de savoirs. Avec l’avènement des réseaux informatiques, le partage massif d’informations se démocratise, et de nombreux services en ligne deviennent accessibles au plus grand nombre. On peut effectuer des démarches en ligne pour soi-même et son entreprise, dépenser de l’argent, stocker ses données et y accéder depuis n’importe où.

De telles nouvelles opportunités sont un nouveau terrain pour des criminels, qui tentent par tous les moyens de voler vos informations bancaires, de faires des démarches en votre nom (pour souscrire des crédits, escroquer vos clients, …), d’utiliser vos infrastructures pour leur puissance de calcul, etc…

Les points d’entrée des attaques :

Il existe de nombreuses façon pour les attaquants de pénétrer dans les systèmes : cheval de Troie, keyloggers (enregistreurs de frappe clavier), attaques DDOS, Injections SQL, Man-In-The-Middle, etc… Si de nombreuses d’entre elles peuvent être protégés par vos fournisseurs de services et prestataires informatiques, il en existe face auxquelles vous êtes seul·e : les attaques par ingénierie sociale.

En quoi ça consiste ?

Les attaques par ingénierie sociale regroupent l’ensemble des méthodes utilisées par un attaquant afin que vous fournissiez, par vous-même, un moyen de pénétrer dans le système. Grossièrement, vous lui ouvrez la porte.

Le principe est simple : L’attaquant se fait passer pour votre banque, le compte CPF, un organisme et vous demande vos identifiants de connexion afin de « vérifier votre identité » et/ou de « compléter une démarche ». Il s’agit là de l’attaque la plus courante.

Ces mensonges peuvent prendre plusieurs formes :

    • Un SMS vous invitant à suivre un lien

    • Un e-mail personnellement adressé, dont l’expéditeur est similaire au vrai service

    • Un appel téléphonique

    • Une page Web publique sur laquelle vous tombez maladroitement

    • Un courrier envoyé par la poste

Vous fournissez ensuite vos logins, mots de passes, numéros de carte bancaire, digicodes sur une page web bien léchée, au téléphone, en réponse à l’e-mail ou par n’importe quel autre moyen directement à l’attaquant, qui n’a plus qu’à les utiliser à votre place.

D’autres formes d’ingénierie sociale

Dans certaines entreprises, principalement celles qui travaillent dans le secret (technologique, légal, militaire, diplomatique), les attaques par ingénierie sociale peuvent provenir :

    • d’un candidat à un emploi que vous engagez,

    • un client,

    • un prestataire de service.

Vous lui fournissez des accès plus ou moins restrictifs à certains locaux, postes informatiques, logiciels ou partages de fichiers. Il n’a plus qu’à profiter de ses accès pour voler des informations ou paralyser votre infrastructure. Vous devez impérativement surveiller vos installations à la mesure du risque, et limiter les accès au stricte nécessaire. Cela n’est pas incompatible avec un climat de confiance avec vos collaborateurs et vous agissez également pour leur propre sécurité.

Comment se protéger face à ces menaces

Vous devez avant tout vous assurer que les personnes avec lesquelles vous communiquez sont bien celles qu’elles prétendent être. Vérifiez les identités de vos prestataires de service et leur réelle existence légale. Vérifiez également la réputation des sites web que vous visitez et n’hésitez pas à vérifier sur les sites gouvernementaux les liens vers les plateformes de démarche en ligne. Vous pouvez également appeler les organismes qui seraient à l’origine de la communication. Mais attention : n’utilisez pas les informations de contact fournies par la personne suspecte, utilisez celles référencées sur internet ou sur les documents que vous recevez habituellement.

Dans tous les cas, refusez de fournir vos mots de passes ou numéros de carte bancaires à qui que ce soit : il n’y a aucune raison de vous les demander. Seul votre employeur ou votre service informatique sont habilités à vous demander vos identifiants professionnels, pour vous dépanner ou vous remplacer en cas d’absence par exemple.

Vous pouvez également faire appel à votre service informatique ou prestataire de service afin qu’il vous aide à déceler une arnaque. Ne vous laissez pas avoir par les demandes soit distant urgentes qui peuvent ajouter un stress supplémentaire et limiter ainsi votre vigilance au profit d’un délai tenu.

D’autres moyens complémentaires peuvent être mis en place afin de limiter l’accès à vos comptes si vos identifiants sont volés (la MFA par exemple), mais cela implique que vos identifiants sont déjà compromis et cela est déjà bien problématique. Si vous utilisez le même mot de passe sur diverses plateformes, l’attaquant aura alors la possibilité d’exploiter une brèche.