On connait le principe du piratage de terminaux, de réseaux ou d’applications. Il existe aussi le piratage du cerveau, non pas dans le sens où l’on copie des informations, à l’image d’un disque dur dont le contenu se trouve compromis ou détruit, mais dans celui où le cerveau se trouve influencé par un tiers, évidemment à l’insu de la personne ciblée.
C’est le principe de l’ingénierie sociale, très utilisé par les hackers, qui privilégie la psychologie aux outils technologiques. Les auteurs de ce rapport définissent l’ingénierie sociale comme « l’utilisation délibérée de techniques trompeuses ayant pour objet de manipuler un individu, afin de le forcer à divulguer des informations ou à exécuter certaines actions pouvant entraîner une telle divulgation. Lors d’une attaque d’ingénierie sociale, la victime n’a pas conscience des conséquences dramatiques de ses actes. L’auteur de l’attaque exploite l’innocence de la cible et non ses instincts criminels. » L’ingénierie sociale se concrétise par plusieurs modes de communication : un site Web, un face-à-face, une conversation téléphonique, un e-mail, un courrier postal…
Les auteurs distinguent deux types d’attaques. D’une part, les attaques de type « chasse » qui visent à extraire des informations par une interaction limitée avec la cible. « Cette approche implique généralement une prise de contact unique, avec arrêt total de la communication dès que le cybercriminel obtient les informations recherchées », expliquent-ils. D’autre part, les attaques de type « récolte », qui ont pour objectif d’établir une relation continue avec la cible et de lui soutirer des informations sur une période prolongée.
Le processus se déroule généralement en quatre étapes. La première consiste à recueillir des informations auprès d’une cible, par exemple sur ses loisirs, les caractéristiques de son lieu de travail, ses collègues, ses managers ou les partenaires, tels que les établissements bancaires. La seconde étape va consister à « hameçonner » la cible. Pour cela, plusieurs techniques de manipulation peuvent être utilisées (voir encadré). Troisième phase : l’exécution de l’attaque qui aboutit, par exemple, à un vol d’informations, d’un mot de passe, à une action pour cliquer sur un lien vers un logiciel malveillant, un transfert de fonds… Enfin, la quatrième étape consiste, pour le pirate, à se désengager, de manière à mettre fin à toute interaction avec sa victime.
Pour les auteurs, « les attaques d’ingénierie sociale ne sont pas nécessairement linéaires : une attaque en apparence isolée peut s’inscrire dans une campagne de bien plus grande envergure, visant à recueillir différents fragments d’informations liées. Les cybercriminels peuvent, par exemple, lancer une attaque, récupérer les informations souhaitées, puis disparaître ou, au contraire, mener différentes attaques de type « chasse » et utiliser les informations ainsi recueillies pour mettre en place une attaque de type « récolte ». »
Comment se protéger ? Sur ce terrain, il convient, selon les auteurs, d’agir à la fois sur les individus (définir des limites claires, former, encourager les vérifications, sensibiliser à l’importance des informations), sur les procédures (signalisation des appels téléphoniques suspects, tests d’intrusion, procédures d’escalade en cas d’incident) et sur les technologies (enregistrement des appels, lignes factices, filtrage des e-mails et des contenus Web, authentification forte…).
Hacking the Human Operating System, The role of social engineering within cybersecurity, Intel Security, McAfee, Europol European Cybercrime Center.
Les auteurs distinguent deux types d’attaques. D’une part, les attaques de type « chasse » qui visent à extraire des informations par une interaction limitée avec la cible. « Cette approche implique généralement une prise de contact unique, avec arrêt total de la communication dès que le cybercriminel obtient les informations recherchées », expliquent-ils. D’autre part, les attaques de type « récolte », qui ont pour objectif d’établir une relation continue avec la cible et de lui soutirer des informations sur une période prolongée.
Le processus se déroule généralement en quatre étapes. La première consiste à recueillir des informations auprès d’une cible, par exemple sur ses loisirs, les caractéristiques de son lieu de travail, ses collègues, ses managers ou les partenaires, tels que les établissements bancaires. La seconde étape va consister à « hameçonner » la cible. Pour cela, plusieurs techniques de manipulation peuvent être utilisées (voir encadré). Troisième phase : l’exécution de l’attaque qui aboutit, par exemple, à un vol d’informations, d’un mot de passe, à une action pour cliquer sur un lien vers un logiciel malveillant, un transfert de fonds… Enfin, la quatrième étape consiste, pour le pirate, à se désengager, de manière à mettre fin à toute interaction avec sa victime.
Pour les auteurs, « les attaques d’ingénierie sociale ne sont pas nécessairement linéaires : une attaque en apparence isolée peut s’inscrire dans une campagne de bien plus grande envergure, visant à recueillir différents fragments d’informations liées. Les cybercriminels peuvent, par exemple, lancer une attaque, récupérer les informations souhaitées, puis disparaître ou, au contraire, mener différentes attaques de type « chasse » et utiliser les informations ainsi recueillies pour mettre en place une attaque de type « récolte ». »
Comment se protéger ? Sur ce terrain, il convient, selon les auteurs, d’agir à la fois sur les individus (définir des limites claires, former, encourager les vérifications, sensibiliser à l’importance des informations), sur les procédures (signalisation des appels téléphoniques suspects, tests d’intrusion, procédures d’escalade en cas d’incident) et sur les technologies (enregistrement des appels, lignes factices, filtrage des e-mails et des contenus Web, authentification forte…).
Manipuler le subconscient d’une cible : six leviers d’influence
- La réciprocité : une personne qui reçoit quelque chose se sent par la suite moralement obligée de rendre la pareille.
- La rareté : les individus ont tendance à vouloir acquérir une chose lorsqu’ils pensent que sa disponibilité est limitée.
- La cohérence : une cible qui a fait une promesse aura tendance à la respecter quoi qu’il arrive pour ne pas paraître indigne de confiance.
- L’appréciation : les cibles sont plus enclines à obtempérer si l’auteur de l’attaque est une personne qu’elles tiennent en estime.
- L’autorité : les individus ont tendance à se conformer plus facilement aux demandes émanant de personnes faisant figure d’autorité.
- La preuve par la masse : les individus ont tendance à se conformer aux actions du plus grand nombre.