Pour gérer vos consentements :

Avis d’expert : l’ingénierie sociale, ou comment pirater le cerveau humain

Thierry Karsenti, directeur technique Europe chez Check Point Software Technologies, se penche aujourd’hui sur l’intéressante problématique des attaques exploitant des techniques d’ingénierie sociale.

Dans une scène du film « Les Associés », le personnage principal, joué par Nicolas Cage, discute avec l’actrice Alison Lohman. L’échange est à peu près le suivant : Alison Lohman – « Tu n’as pas l’air malhonnête ». Nicolas Cage – « C’est pourquoi je suis un si bon arnaqueur ».

Cette conversation capte une vérité fondamentale inhérente à toutes les escroqueries, qu’elles soient pratiquées dans le monde numérique ou le monde physique : amener quelqu’un à baisser sa garde par un stratagème habile facilite la vie d’un voleur. Dans le jargon des pirates, cela s’appelle l’ingénierie sociale.

L’ingénierie sociale consiste à pirater l’esprit humain, ce qui, à bien des égards, est beaucoup plus facile à faire que de trouver une nouvelle faille logicielle et l’utiliser comme une passerelle d’accès à l’entreprise. Ces failles, appelées zero‐day, peuvent coûter des dizaines de milliers de dollars dans l’économie souterraine des pirates. Cet argent peut être économisé si l’on amène un individu à installer un virus informatique sur sa propre machine en abusant de sa crédulité. Après tout, pourquoi prendre la peine de crocheter une serrure si vous pouvez convaincre quelqu’un de vous laisser entrer chez lui.

La technique : leurrer et tromper

Alors, quelle est la clé d’une attaque d’ingénierie sociale réussie ? Il s’agit du leurre, qui peut aller d’un message sur Facebook qui attire l’attention sur une célébrité à des e‐mails au sujet de l’activité de votre entreprise. L’une des cyberattaques les plus médiatisées de l’année 2011, celle dont a été victime RSA, s’est produite lorsqu’un employé a ouvert un e‐mail intitulé : « Plan de recrutement 2011 ». Lorsque l’employé a ouvert la pièce jointe, il a déclenché une série d’événements qui a entraîné le piratage de données. Si le piratage d’un système repose sur la connaissance des failles de programmation, le piratage de l’esprit humain requiert un autre type de connaissance : il s’agit plus précisément de savoir sur quel type d’e‐mail ou de lien la victime est la plus susceptible de cliquer.

Un moyen de connaître ces informations consiste à cibler les personnes en fonction de leur emploi et de leurs centres d’intérêt, et il n’existe peut‐être pas de meilleure source de données sur ces sujets que les réseaux sociaux. La consultation d’un profil LinkedIn peut dévoiler la carrière et le poste actuel d’un employé. Un coup d’œil à ses comptes Facebook peut fournir des informations sur ses amis et ses loisirs. Les réseaux sociaux ont considérablement renforcé leurs contrôles de confidentialité au cours de ces dernières années, mais de nombreux utilisateurs ne les exploitent pas toujours efficacement ou les rendent involontairement inefficaces en entrant en relation avec des personnes qu’ils ne connaissent pas vraiment. Des études ont montré que le faux profil classique sur Facebook a en moyenne 726 « amis », soit plus de cinq fois plus qu’un utilisateur typique du site.

Page: 1 2

Recent Posts

Étude Trends of IT 2024 : comprendre les mutations de l’environnement IT

Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…

5 heures ago

Guillaume Poupard, DGA de Docaposte : « Le plus de l’offre, c’est notre position comme acteur de confiance »

Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…

6 heures ago

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

9 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

13 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

15 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

1 jour ago