22.10.2020

Ingénierie sociale : espionner avant d’attaquer

Sécurité

Avec l’association GÉANT et à l’occasion du mois européen de la cybersécurité, la Fondation Restena partage quelques conseils sur l’« art » de l’ingénierie sociale et, plus précisément, la technique de la manipulation de personnes à laquelle tous secteurs d’activité, dont la recherche et l’éducation, peut, un jour ou l’autre, être confrontés.

Comme chaque année, octobre est le mois européen de la cybersécurité propice à de nombreuses initiatives de sensibilisation sur la cybersécurité partout en Europe. Avec le slogan "Devenez un cyber-héros", l’association européenne GÉANT gérant le réseau pan-européen de recherche dans laquelle Restena est membre, partage chaque semaine d’octobre 2020 des conseils pratiques, études de cas et articles sur les thématiques de l'ingénierie sociale, du phishing, de la sécurité des mots de passe et des logiciels de rançon. La Fondation Restena, qui dispose notamment d’un CSIRT dédié à la communauté de recherche et d’éducation luxembourgeoises et a co-organisé le 6 octobre 2020, avec l’Université du Luxembourg, l’événement CyberDay.lu, a apporté son soutien à cette campagne en y publiant un article intitulé « USURP, MANIPULATE, EXPLOIT ». 

>> Traitant de la thématique de l’ingénierie sociale, nous vous invitons à lire ci-dessous, et en langue française, l’article publié sur CONNECT Online de la communauté GÉANT :

USURPER, MANIPULER, EXPLOITER

Toute entreprise ou institution peut un jour être confrontée à des attaques dites d’ingénierie sociale. Fouille de déchets, recherche d’accès mal protégées à un bâtiment par exemple, mais surtout manipulation de personnes ne sont là que quelques techniques qui en illustrent sa complexité et sa diversité. L’ingénierie sociale est un art en soi… et nous nous concentrerons dans les lignes suivantes sur la manipulation de personnes.

Une méthode d’espionnage engageante et efficace

Sorte de reconnaissance de terrain, l’ingénierie sociale est une méthode d’espionnage permettant d’obtenir des informations jugées nécessaires avant de passer à une réelle attaque. Cette méthode n’est pas obligatoire ni systématiquement utilisée par les personnes malveillantes, mais, force est de constater qu’elle facilite l’entrée en contact avec l’institution visée par une attaque. 

L’humain est en effet bien plus facile à tromper que les machines et c’est grâce à lui que l’attaquant entend par la suite mettre en œuvre ses attaques malveillantes. Bien qu’efficace, cette technique n’est pourtant pas la plus utilisée car elle requiert une forte implication de la part de l’attaquant. En ayant recours à l’ingénierie sociale via la manipulation de personnes, celui-ci cherche en effet à établir un lien personnel et un sentiment de confiance avec la personne qu’il aura préalablement identifié ou qui aura le mieux répondu à ses sollicitations pour obtenir des informations utiles pour mener son attaque.

De la confiance à la tromperie

Avec l’ingénierie sociale, l’attaquant n’a qu’un but : manipuler la personne qu’il tient entre ses griffes en se faisant passer pour quelqu’un qu’il n’est pas. Pour réussir son usurpation d’identité, l’attaquant va mettre tout en œuvre pour rendre son histoire crédible. Dans un premier temps, il s’informe un minimum sur l’institution ou la personne qu’il entend attaquer. La confiance établie, il va ensuite user de subtiles techniques pour amener sa proie à dévoiler, de son propre chef, toujours plus d’informations qu’il va ensuite utiliser soit pour toucher une autre personne dans l’institution soit pour rediriger subtilement sa victime vers une personne tierce. À ce stade, l’attaque à proprement parler débute. Mais, il arrive aussi que l’attaquant entame directement une attaque, souvent de type phishing, en demandant à sa proie d’effectuer une action (payer une facture via un compte illégitime, cliquer sur un lien pour régénérer un mot de passe, etc.). L’attaquant infecte alors sa victime et dispose d’une porte d’entrée sur les plates-formes de l’entreprise.

Chaque attaque est unique et les stratégies utilisées sont multiples bien que l’ambition première de l’ingénierie sociale, comme la majorité des cyberattaques, soit le détournement d’argent. Cependant, le détournement d’informations n’est pas en reste et ne doit pas être négligé.

Vulnérabilité de l’éducation et de la recherche

Tout autant ciblés que les entreprises privées et autres institutions publiques, les centres de recherche et les établissements d’éducation ne sont pas à l’abri. Dans les établissements scolaires de taille importante, il est d’ailleurs assez facile pour un attaquant de se faire passer pour un étudiant et de poser des questions en rapport avec le cours ou bien encore de s’inscrire sur des listes de mails destinés à des étudiants et de là obtenir des informations sur les personnes du groupe. Autant de sources d’informations qui lui seront utiles pour lancer des attaques, principalement menés dans un but lucratif en bloquant, par exemple, des données essentielles pour l’institution, ou en tentant de dévier l’argent des budgets de subventions destinés à des projets de recherche et développement. 

Mais, l’ingénierie sociale peut également être utilisée pour obtenir l’accès à des systèmes et obtenir des informations jugées pertinentes. Dans le monde de l’éducation, cette technique peut notamment être utilisée pour accéder à des questions d’examens que la personne malveillante pourra soit utilisée à ses propres fins, soit revendre à des tiers.

Vérifier la demande avant toute transmission d’informations

Pour se prémunir de l’ingénierie sociale, la vigilance et l’esprit critique sont indispensables. La prévention et la sensibilisation de l’ensemble des employés par les équipes informatiques voire l’équipe Computer Security Incident Response Team (CSIRT) si existante, restent la meilleure défense.

Au moindre doute, même le plus infime, sur la véracité d’un mail, d’une demande d’information, ou bien encore sur l’existence d’une personne, il convient de prendre le temps nécessaire pour valider la demande par un autre canal d’information. Discuter avec ses collègues, s’entretenir sur le contenu de la demande/ du mail avec sa hiérarchie ou, plus largement demander à la personne en question de vous contacter par un autre biais pour vous assurer de son existence réelle, sont quelques petites astuces qui peuvent aider à déceler une ingénierie sociale.

Une coopération indispensable avec les équipes IT

Si le doute se confirme, il est important que le service informatique ou l’équipe CSIRT de chaque institution soit l’interlocuteur privilégié des employés. Même si une aucune action précise ne peut être prise à l’encontre de la personne malveillante qui est entrée en contact avec l’un des employés, le service doit à minima être informé de l’existence de ce fléau. Charge à lui, par la suite de prendre les mesures nécessaires sur son infrastructure technique et surtout d’informer et sensibiliser les employés.

>> Cet article, ainsi que toutes les initiatives et informations diffusés par l’association GÉANT en partenariat avec les réseaux nationaux de recherche et d’éducation sont à retrouver en langue anglaise sur le site CONNECT Online de GEANT.