Le social engineering, appelée en français l’ingénierie sociale, est un concept utilisé en science politique, en science sociale et en marketing, pour désigner l’ensemble de techniques visant à manipuler la société afin d’atteindre des objectifs précis.
Est-ce que l’ingénierie sociale est simplement un mensonge pour obtenir des avantages, ou s’agit-il d’un outil conceptuel plus complexe ? Dans cet article, nous vous donnons des pistes de réflexion pour comprendre ce domaine de connaissances qu’est le social engineering.
Sommaire
Pour comprendre le concept, il faut regarder du côté de Christopher Hadnagy, le fondateur et PDG de Social-Engineer, qui travaille dans le domaine de l’industrie de la sécurité de l’information.
- Hadnagy a créé le premier cadre et bulletin d’information d’ingénierie sociale au monde et a publié de nombreux ouvrages sur le sujet, notamment « Human Hacking » qui remporte un franc succès dans la presse spécialisée.
On peut définir le social engineering comme le fait de manipuler une personne ou les membres d’un groupe pour déclencher un comportement spécifique, changer sa perception, influer sur ses émotions ou pour obtenir des informations confidentielles.
Le social engineering peut également être utilisé par des dirigeants d’une entreprise, des communautés et des Etats pour corriger de mauvaises habitudes sociales, empêcher des comportements nocifs ou pour lutter contre une pathologie sociale.
Selon Christopher Hadnagy, « L’ingénierie sociale en soi n’est ni bonne ni mauvaise, c’est simplement un outil avec de nombreuses applications différentes » [Ch. Hadnagy (2012) page 17].
Ainsi, il existe plusieurs utilisations possibles pour l’ingénierie sociale :
- Au niveau sociologique : planifier et créer un changement social au sein d’une communauté ou d’une société dans son ensemble.
- Au niveau politique : utiliser des outils de persuasion pour faciliter la gouvernance d’une population.
- Au niveau informatique : utiliser en cybercriminalité pour manipuler des utilisateurs et obtenir des informations confidentielles à leur insu.
Comme précisé ci-dessus, l’ingénierie sociale peut être utilisée pour le bien de la société et des citoyens qui la constitue. Dans ce contexte précis, le social engineering est utilisé en sociologie, en psychologie sociale et en science politique.
Mais le sens qui nous intéresse ici concerne le domaine de l’informatique et tout particulièrement l’utilisation de l’ingénierie sociale en cybercriminalité.
Pour le grand public, les menaces sur Internet sont généralement associées au craquage de mots-clés, aux détournements des pare-feu ou à des fichiers infectés qui désorganisent des réseaux d’ordinateurs. Malheureusement, il y a d’autres méthodes plus subtiles qui sont de véritables dangers modernes tant pour les entreprises, que pour les particuliers.
Le social engineering utilisé à des fins frauduleuses est un véritable fléau pour les personnes non attentives et facilement influençables. Comment cela se caractérise ?
Les hackers utilisent toutes les techniques pour contourner des sécurités informatiques, mais il existe aussi la possibilité de tromper les victimes en se faisant passer pour un professionnel, un agent administration, un administrateur système et même par son patron.
Les cybercriminels vont parfois élaborer des plans machiavéliques sur une longue période, pendant des mois ils vont stalker leurs victimes, surveiller leurs réseaux sociaux, analyser leurs comportements et essayer de repérer un point sensible. Par exemple, ils peuvent analyser des milliers de données personnelles en utilisant des outils informatiques, puis essayer de récupérer un mot de passe d’un compte d’entreprise.
Fait intéressant, la majorité des victimes de social engineering sont des agents administratifs qui ont accès à de nombreuses informations centralisées, par exemple des postes de direction ou d’assistant.
Pour bien comprendre ce qu’est le social engineering, voici quelques exemples concrets qui sont les situations les plus couramment utilisées par les cybercriminels.
Création de faux comptes
La plupart des personnes font naturellement confiance à leurs interlocuteurs si la forme du message est travaillée, par exemple en utilisant des formules de politesse et en donnant rapidement son identité.
Si un collègue présent dans un autre service écrit un message interne pour demander une aide spécifique sans que son comportement suscite des soupçons, cela peut encourager à apporter son soutien.
Souvent, les hackers créent de faux comptes d’employés et des profils sociaux afin de tomber leurs victimes. Cela peut aller jusqu’à créer de faux documents d’identité, de fausses fiches de paie ou des courriers internes inventés de toutes pièces.
Phishing
Ce type d’attaque est qualifié de « Phishing » (ou hameçonnage) car la victime va délivrer plus facilement des informations à des personnes de confiance, à des entreprises ou à des administrations.
Ces informations sont ensuite utilisées pour accéder à des comptes plus importants ou à des contacts privés appartenant à un réseau confidentiel.
Le social engineering repose principalement sur l’utilisation de mécanismes psychologiques, et non sur des failles de sécurité. Par conséquent, il est possible de se former contre ce type d’attaques en apprenant les différentes méthodes et en identifiant les signes annonciateurs d’une probable escroquerie.
Des formations
En entreprise, les employés peuvent suivre des formations sur les menaces informatiques, ainsi que sur les méthodes de protection existantes. Un formateur spécialisé dans la sécurité informatique, dans la sécurité des réseaux d’entreprise et dans le social engineering, peuvent délivrer ce genre de formations.
Les entreprises peuvent également envisager de mener des tests d’ingénierie sociale randomisés, c’est-à-dire des situations provoquées par un prestataire extérieur spécialisé en sécurité informatique.
Ces tests permettent de contrôler et de vérifier la vigilance des employés qui reçoivent continuellement des appels ou des courriels de l’extérieur.
Les cybercriminels utilisent toujours des moyens de communication pour amorcer leurs attaques :
- Par courriers.
- Par Internet.
- Par téléphone.
Ainsi, les meilleurs programmes antivirus, les pares-feux les plus efficaces, les algorithmes d’espionnage les plus efficaces et tous les outils informatiques censés nous protéger, ne pourront rien contre l’ingénierie sociale.
Car vous aurez beau mesurer et analyser les failles d’un système informatique ou tout autre type d’intrusion dans le réseau, vous constaterez partout que la première porte d’entrée est humaine.
