En partenariat avec Atom solutions

La « cybersécurité », ce néologisme qui effraie les organisations… Alors que la révolution digitale bat son plein à travers le monde et en Calédonie, une nouvelle sorte de pirates gangrène l’océan numérique : les « hackers ». Aussi appelés « pirates informatiques » dans la langue de Molière, ces individus peu scrupuleux et souvent anonymes se servent du web et des ordinateurs pour accéder à des données privées qu’ils exploitent ensuite de différentes façons. Un fléau qui a vu naître un nouveau secteur que les entreprises du Caillou peinent encore à adopter : la « cybersécurité ».

Dans cette série d’articles qui prendra la forme d’un glossaire thématique, nous nous attarderons sur des termes techniques liés à différentes cyber-arnaques ; notre objectif ? Présenter et définir ces différentes méthodes malveillantes, identifier des cas d’usages et vous proposer des outils et réponses pour créer un bouclier numérique sur vos ordinateurs personnels et le parc informatique de votre organisation.  

__

Glossaire de la cybersécurité – épisode #6

Ingénierie sociale
Soyez prudents quand vous surfez sur le web, les pirates sont au tournant ! © Canva

Piraterie n°6 – L’ingénierie sociale

Aristote l’a dit : « Les êtres humains sont des animaux sociaux ». Nous aimons nous mélanger, communiquer, travailler et nous amuser ensemble. Cette socialisation basée sur des relations de confiance permet aux groupes humains de coopérer et de coexister. Malheureusement, ce sont également ces aspects sociaux que les cybercriminels, désireux de nuire, peuvent exploiter. Les attaques d’ingénierie sociale font appel à la ruse et à l’usurpation d’identité pour inciter les gens à effectuer une action qui profite à l’escroc. En 2022, le rapport « DBIR » – pour Data Breach Investigations Report – révèle que 82 % des violations impliquent un élément humain.

Ingénierie sociale
Tous les moyens sont bons ! © Canva

Un e-mail qui semble provenir d’un fournisseur de confiance et qui vous demande de mettre à jour vos informations de carte de crédit ? Un message vocal menaçant d’un interlocuteur se faisant passer pour une administration fiscale ? Ou encore un émirat étranger qui vous propose de vous aider à vous enrichir ? Prenez-garde ! Ce ne sont là que quelques exemples d’ingénierie sociale menés par les pirates du web. Comme cette cyberattaque exploite les faiblesses humaines plutôt que les vulnérabilités des systèmes techniques ou numériques, elle est parfois surnommée le « piratage humain ».

__

Piraterie n°6 – Cas d’usage

Les tactiques et les techniques de l’ingénierie sociale reposent sur les failles de l’être humain. Son principe consiste à manipuler les émotions des victimes pour les pousser à agir dans un sens contraire à leur propre intérêt. Voici quelques exemples de tactiques :

  • Arnaque n°1 : Le phishing (ou hameçonnage)

Les pirates usurpent l’identité d’entreprises connues des victimes. Ce sont des marques auxquelles elles font confiance et avec lesquelles elles interagissent souvent ou régulièrement, au point qu’elles suivent les instructions de ces marques par réflexe, sans prendre les précautions nécessaires. Certains cybercriminelscréent de faux sites Web ressemblant à s’y méprendre à ceux de marques ou entreprises connues.

  • Arnaque n°2 : Spear Phishing (ou harponnage)

Cette forme très ciblée d’attaque par hameçonnage fait appel au bon cœur des victimes. Par exemple, un message qui semble provenir d’un ami ou d’un réseau social peut proposer une assistance technique, demander la participation à une enquête, prétendre qu’une publication du destinataire est devenue virale. Mais que nenni ! Les cybercriminels en profitent pour vous envoyer un lien vous dirigeant vers un faux site Web ou provoquant le téléchargement d’un logiciel malveillant.

Ingénierie sociale
Hameçonnage, harponnage, des pêches qui laissent un goût amer © Canva
  • Arnaque n°3 : Pretexting (ou prétexte)

Les « arnaques du prince » et « arnaques au président » sont des attaques similaires. Dans la première, un e-mail est envoyé par quelqu’un se faisant passer pour un prince cherchant à fuir son pays, promettant une grosse récompense financière en échange d’informations bancaires ou d’une avance de fonds. Dans la seconde, l’e-mail prétend venir d’un dirigeant, notaire ou avocat, et après plusieurs échanges de confiance, le fraudeur demande un virement urgent et confidentiel. L’année dernière, le monde de l’entreprise calédonien a subi une longue série de tentatives d’arnaques « au président ». Ces escroqueries sont des exemples classiques d’ingénierie sociale et sont aussi anciennes que l’invention de l’e-mail lui-même !

  • Arnaque n°4 : Le quid pro quo (ou contrepartie)

D’après l’expression : « échange équitable n’est pas vol ». Toutefois, dans notre cas, il s’agit bien d’un vol ! De nombreuses attaques d’ingénierie sociale font croire aux victimes qu’elles obtiennent quelque chose en échange de données qu’elles peuvent fournir. Les « faux logiciels de sécurité » promettent aux utilisateurs une mise à jour pour corriger un problème de sécurité urgent, alors qu’en fait, ce sont les logiciels eux-mêmes qui représentent la menace de sécurité.

Ingénierie sociale
Ne pas « donner sans rien attendre en retour » © Canva
  • Arnaque n°5 : Fraude au faux fournisseur ou Arnaque au RIB

La fraude au faux fournisseur est une méthode couramment utilisée en entreprise. Les escrocs se renseignent sur les moyens de communication du commerçant légitime, créant par exemple une adresse e-mail similaire. Sous l’apparence de ce dernier, ils demandent le paiement d’une prestation récente, détournant ainsi les fonds. Dans le cas d’un fournisseur régulier, les fraudeurs tentent d’obtenir un accès permanent aux systèmes de l’entreprise. Ils vous informent d’un changement de compte bancaire et vous envoient un nouveau RIB en pièce jointe. Une fois les informations mises à jour, tous les paiements sont dirigés vers l’escroc : vous voilà victime d’une arnaque au RIB.

__

Piraterie n°6 – Se défendre

Les attaques d’ingénierie sociale sont difficiles à empêcher car elles reposent sur la psychologie humaine et non sur des stratagèmes technologiques. En entreprise notamment, la surface d’attaque peut se révéler très importante. En effet, il suffit de l’erreur d’un seul employé pour compromettre l’intégralité de l’ensemble du réseau de l’organisation. 

Voici quelques-unes des mesures recommandées par l’un des spécialistes calédoniens de la cybersécurité, Atom Solutions, pour atténuer le risque causé par ce type d’arnaque :

Pour les professionnels et entreprises :

  • Défense n°1 : La formation de sensibilisation à la sécurité

De nombreux utilisateurs ignorent comment identifier les attaques d’ingénierie sociale. Certains ne se rendent pas compte que communiquer des informations apparemment anodines, telles qu’un numéro de téléphone ou une date de naissance, peut permettre aux pirates de violer un compte. Une formation de sensibilisation à la sécurité, associée à des politiques de sécurité des données, peut aider à comprendre comment protéger les données sensibles et comment détecter les attaques d’ingénierie sociale en cours et réagir.

  • Défense n°2 : Une politique de contrôle des accès

Les politiques et technologies sécurisées de contrôle des accès peuvent limiter l’accès des cybercriminelsaux informations sensibles du réseau d’entreprise et ce, même s’ils obtiennent les identifiants de connexion des utilisateurs. Pour ce faire, il est conseillé d’utiliser un système d’authentification multifactorielle dont on vous a parlé dans un épisode précédent concernant l’attaque par « force brute » et une approche de sécurité de type « confiance zéro ».

  • Défense n°3 : Des technologies de cybersécurité

Les filtres anti-spam peuvent empêcher certaines attaques de phishing d’arriver jusqu’aux employés. De plus, les firewalls et les logiciels antivirus peuvent atténuer l’ampleur des dégâts causés par les pirates qui accèdent au réseau. Pour ce faire, les solutions avancées de détection et de réponse aident les équipes de sécurité à détecter et à neutraliser rapidement les menaces qui infectent le réseau.

Pour les particuliers :

  • Défense n°1 : Renseignez-vous ! 

L’ignorance est l’une des plus grandes faiblesses et est facile à exploiter, ce qui fait des personnes non-renseignées les principales cibles des cyberattaquants. Ainsi, le premier et le meilleur niveau de défense consiste à savoir ce qu’il faut rechercher et connaître les meilleures techniques d’ingénierie sociale pour les éviter.

  • Défense n°2 : Soyez conscient des informations que vous divulguez

Ce conseil concerne notamment l’utilisation de vos réseaux sociaux préférés. Les plateformes comme Instagram, Facebook et Twitter s’avèrent être des sources abondantes d’informations et de ressources exploitables allant de vos photos à vos centres d’intérêt. Par la suite, une simple recherche sur Google Map de l’adresse de votre domicile permet d’avoir une vue d’ensemble du bâtiment et de ses environs. Ainsi, un piratequi possède vos informations entrera plus facilement en contact avec vous dans le but de vous faire faire ce qu’il veut.

  • Défense n°3 : Vérifiez les informations

Comme vu précédemment, les méthodes de ce type d’attaques reposent sur un sentiment d’urgence. Les cyberattaquants attendent de leurs cibles qu’elles ne se posent pas de questions sur la situation. Ainsi, un moment de réflexion peut prévenir des attaques. Vous pouvez vérifier en appelant le numéro officiel ou consultez le site officiel, plutôt que de communiquer vos données en cliquant sur un lien. Vous pouvez aussi utiliser un autre mode de communication pour vérifier la crédibilité de la source. Par exemple, si vous recevez un e-mail d’un ami vous demandant de transférer de l’argent, envoyez-lui un SMS sur son smartphone ou appelez-le pour vérifier qu’il s’agit bien de lui.

__

Ingénierie sociale : la règle d’or contre les voleurs d’or

Depuis le début de cette série d’articles, un conseil revient encore et toujours : maintenez vos logiciels à jour ! Ce précieux conseil, prodigué par Atom Solutions, concerne tous types de cyberattaque : ransomwareMITM, cheval de Troie… et l’ingénierie sociale n’y coupe pas. 

Entre autres, les pirates cherchent généralement à déterminer si vous utilisez un logiciel non patché et/ou obsolète. Le fait de se tenir au courant des correctifs et de maintenir vos logiciels à jour peut atténuer une grande partie des risques. Avez-vous fait vos mises à jour ?

Ingénierie sociale
Updater vos logiciels tient éloigner les pirates © Canva

__