Dernière mise à jour : 8 juin 2024
L'ingénierie sociale est une méthode astucieuse où l'on parvient à obtenir des informations confidentielles directement des personnes sans qu'elles ne s'en rendent compte. De façon surprenante, au lieu de s'appuyer sur des logiciels, cette technique utilise habilement la confiance des individus.
Tout d'abord, le hacker gagne la confiance de sa cible pour extraire des informations précieuses, souvent relatives à des systèmes informatiques. En effet, cette pratique cible les vulnérabilités humaines et sociales, directement liées au système informatique en question.
Par exemple, la technique la plus courante consiste à se présenter dans une entreprise armé d'un "ordre de mission" fictif pour prétendument mettre à jour l'antivirus sur l'ordinateur de l'assistante. Cependant, l'objectif réel est tout autre : installer un keylogger pour récolter tous les mots de passe saisis.
Il est important de souligner que l'ingénierie sociale n'est pas une nouveauté. Des figures notoires comme Kevin Mitnick ou Frank Abagnale ont marqué l'histoire avec leurs exploits. Selon Kevin Mitnick, il était plus facile d'exploiter la nature humaine que de trouver des failles dans un logiciel.
Donc sans plus attendre voyons ensemble et de manière approfondie les diverses techniques de social engineering utilisées par les hackers.
Le social engineering par téléphone
Au téléphone, il est facile de se faire avoir par un individu. Le but du hacker est d'avoir le renseignement le plus rapidement possible.
Un bon hacker aura préparé son personnage et son discours. Avec quelques phrases bien placées et le bon ton, il lui sera assez simple de soutirer des informations confidentielles.
Certains hackers ont quelques techniques pour parfaire leur crédibilité, comme jouer sur un magnétophone une cassette préalablement enregistrée de bruits de bureau, ou encore utiliser un modificateur de voix gratuit pour imiter celle d'une secrétaire.
Un test d'ingénierie social
Un test réalisé à l'occasion de la conférence Defcon a permis d'évaluer le risque de divulgation d'informations secrète par les employés de l'entreprise.
135 employés, issus de 17 grandes entreprises, dont Coca-Cola, Ford, Pepsi, Cisco, Wal-Mart, ont été testés dans le cadre de ce concours de piratage.
Les résultats sont choquants, puisque 96% d'entre eux, démarchés par téléphone, ont divulgué des informations considérées comme "sensibles".
Le social engineering par internet
Le social engineering par internet est semblable à celui par téléphone. Il peut se faire par courrier émail, par des sites web falsifiés (Phishing ).
Souvent, ces attaques commencent par l'envoi d'un email par un hacker prétendant provenir de quelqu'un ou de quelque chose que vous connaissez ou en qui vous avez confiance, tel qu'un ami ou votre banque préféré.
Ces emails vous incitent à effectuer une action comme cliquer sur un lien, ouvrir une pièce jointe, ou bien répondre à un message. Les hackers élaborent ces emails de manière à ce qu'ils soient très convaincants, en les envoyant à des millions de personnes à travers le monde.
Les pirates n'ont pas de cible précise en tête, pas plus qu'ils ne savent exactement qui en sera victime. Ils savent simplement que plus ils envoient d'emails, plus il y aura de personnes susceptibles d'être trompées.
Le social engineering par contact direct
Même si un hacker peut faire énormément de choses par le téléphone ou par internet, il est parfois nécessaire de se rendre sur le terrain. Ainsi, il pourra étudier l'état des lieux, prendre un mot de passe écrit sur un papier ou installer un Malware sur l'ordinateur de la victime.
Le hacker doit être bien équipé pour que la cible ne rend compte de rien. L'apparence va énormément compter. Costume, cravate, très bien habillé, très propre, attaché-case, agenda rempli, documents divers, carte de visite, badge... Il lui faudra avoir une attitude sûre, le regard axe et la tête haute.
Si le hacker prend de tels risques, c'est qu'il est déterminé à obtenir les renseignements souhaités. Il sera donc très persuasif.
J’ai perdu mon compte Facebook pour problème de deux vecteurs