Social Engineering : qu’est-ce que c’est et comment ça marche ?

Social engineering défintion et fonctionnement

Les virus, les programmes malveillants ainsi que les ransomwares sont devenus le quotidien de toutes les personnes ayant un appareil électronique. Ces derniers peuvent s’installer sur votre smartphone ou votre ordinateur de diverses manières et engendré le chiffrage de vos données ou encore le dysfonctionnement de votre appareil. D’après le Human Factor, une nouvelle technique de piratage s’est répandue depuis 2015. C’est le Social Engineering. Ici les failles exploitées ne sont plus techniques, mais plutôt humaines. Cet article vous explique ce qu’est le Social Engineering et les techniques utilisées pour y parvenir.

Le Social Engineering

Ce sont plusieurs techniques mises en place par un hacker pour abuser des faiblesses organisationnelles, sociales ou psychologiques. Dans le but de récupérer des données confidentielles. Pour ce faire, la cible de l’attaque est manipulée par le hacker pour obtenir des informations, sans qu’elle ne s’en rende compte.

Cette pratique est devenue le danger premier auquel toute entreprise doit faire face quotidiennement. À cet effet, les formations en sécurité informatique d’entreprise sont devenues primordiales et implanter la culture du risque au niveau de toutes les équipes est importante. Cela permet à l’ensemble des employés de faire face à ce Social Engineering. Il faut savoir que cette technique peut être réalisée via :

  • courrier électronique ;
  • téléphone ;
  • réseaux sociaux ;
  • une présence physique.

Les techniques du Social Engineering

De manière générale, le Social Engineering est mis en place à travers quatre techniques principales, mais il faut savoir qu’une attaque peut se faire, en combinant plusieurs de ces techniques. Comme il est aussi possible qu’un hacker utilise une nouvelle technique, inconnue de tous. Ces techniques du Social Engineering sont :

Le pretexting

Pour ce faire, le hacker crée un scénario contextuel cohérent qui lui permettra de voler les informations confidentielles de sa cible. Cette technique vise à prendre possession des identifiants et des mots de passe de plusieurs services ou systèmes importants. Afin d’y arriver, le hacker devra faire croire à sa cible, par exemple, qu’elle doit suivre des ordres bien précis venant de leurs supérieurs. Ces derniers sont généralement de nature financière, par exemple, en virant d’importantes sommes d’argent vers le compte bancaire du hacker.

La phishing

Assez ressemblant à la technique précédente, mais dans ce cas, le hacker entreprend d’envoyer des e-mails très ressemblant à ceux envoyés habituellement par l’entreprise, un client ou un partenaire. Pour ce faire, il peut par exemple insérer le logo de votre logiciel CRM d’entreprise. Et dans l’e-mail, il pourrait prétexter une procédure d’amélioration et demander l’accès à certaines informations confidentielles pour valider la mise à jour. Cela peut paraître peu probable, mais il ne faut pas les sous-estimer. En effet, la technique du phishing peut passer de nombreux contrôles de sécurité et l’ouverture de ce type d’e-mail entraîne souvent l’installation de malwares sur les téléphones ou ordinateur de la cible. Ces derniers sont installés dans le but de contrôler l’appareil à l’insu de l’utilisateur.

L’usurpation d’identité

Cela se fait assez facilement, car de nos jours, les personnes ont tendance à rendre disponible leurs informations personnelles sur internet. Face à cela, il est impératif de limiter et de protéger ces dernières.

Les biais cognitifs

Afin d’accéder aux informations que l’ingénieur social recherche, des biais cognitifs ainsi que les préjugés de la personne vont être utilisés contre elle.

Le déroulement d’une attaque de Social Engineering

Tout d’abord, il faut savoir que l’imprévisibilité est ce qui rend le Social Engineering très dangereux. De ce fait, aucune méthode d’attaque réglementaire n’est connue, car l’ingénieur social s’adapte à la situation et à ses besoins, mais de manière générale, avant de procéder à l’attaque, le hacker rassemble un nombre important de données sur la personne. Cela va de la fonction qu’elle occupe au sein d’une entreprise, jusqu’à ses habitudes en dehors du travail. Ensuite, en fonction de la technique utilisée, il devra soit :

  • introduire le système informatique ;
  • mettre en place un BackDoor sur l’appareil ;
  • installer un RootKit.

Parfois, ces étapes sont futiles. C’est généralement le cas des appareils ne disposant que de sécurité minime.

Les solutions contre le Social Engineering pour les entreprises

Il faut savoir qu’il n’existe pas de solution de prédilection pour ce type de piratage, mais ce n’est pas pour autant qu’une entreprise ne doit rien faire. En effet, la première solution consiste à sensibiliser et former l’ensemble des employés à ce risque, le service des ressources humaines doit être fortement impliqué sur le sujet. Cela leur permettra de prendre conscience de l’impact d’une telle attaque sur les finances et la réputation de l’entreprise, mais aussi le rôle important qu’il joue dans la préservation de la qualité du système de sécurité de l’entreprise. Pour maximiser cela, vous pourrez effectuer des tests de phishing pour identifier les maillons vulnérables.