Social Engineering : les comportements humains, cible de cyberattaques

Hello, peux-tu me présenter ton entreprise, Arsen? 

Arsen est une solution de protection contre le phishing que j’ai fondé il y a un an. Nous avons créé une simulation d’attaque sur le facteur humain. Nous avons commencé avec la pratique du phishing. L’idée est de mettre en pratique des situations où l’on manipule l’élément humain. Cela est réalisable à large échelle. Pour les entreprises, nous leur donnons un logiciel qu’ils doivent installer. Par la suite, elles doivent simuler le phishing qui est l'attaque par e-mail visant à manipuler le collaborateur en utilisant différents leviers pour qu’elles fassent des actions compromettantes. Elles se retrouvent ainsi à mettre en péril la cybersécurité de l’entreprise.

Le rôle du facteur humain dans la Cybersécurité

Quelle est la définition du Social Engineering ?

L'ingénierie sociale ou le piratage psychologique est une pratique de manipulation psychologique à des fins d'escroquerie. Il s'agit de manipuler la personne pour l'amener à faire quelque chose qui n'est pas dans son intérêt, sans qu'elle ne s'en rende compte.

L'humain est responsable et prépondérant dans 70 à 80 % des attaques, soit car il a cliqué sur un lien, a ouvert une pièce jointe ou une porte à quelqu'un qui ne fallait pas. L'humain est prépondérant, parce qu’ il est omniprésent au sein de l'entreprise. En effet de nombreux collaborateurs occupent une place importante dans l'entreprise. Plus l'entreprise est importante, plus elle sera une cible importante. Par ailleurs, plus les entreprises ont des moyens financiers, plus elles sont importantes, auront une masse salariale et par la suite une surface d'attaque, c'est-à-dire le nombre de points que le hacker peut exploiter qui est importante. En revanche les collaborateurs n'ont pas tous le même niveau d'entraînement face à la manipulation. Certains d'entre eux auront les bons réflexes pour se protéger, tandis que d'autre succomberont plus facilement entre les mains d'hackers.

‍

‍

La recherche d'information

La méthode OSINT

L'Open source intelligence, est la recherche d'information sur des sources ouvertes. Nous y trouvons des sites gratuits, donnant accès à de nombreuses informations. Ces informations en question, se retrouvent dans notre vie quotidienne, que ce soit sur Instagram lorsqu'on prend une photo de nous en vacances par exemple. En revanche cette méthode a été utilisé pour des cambriolages, car les cambrioleurs savaient pertinemment que personne n'était chez soi lors de la publication de leur photo en vacances sur Instagram. La recherche d'information peut également être des identités usurpées. Par exemple sur notre compte LinkedIn, toutes nos informations sont à la portée des hackers, comme le nom de notre collègue ou notre supérieur.

Les outils technologies font également partis de la recherche d'information. Il existe des techniques permettant d'en savoir davantage sur l'entreprise ou une personne. Un exemple courant, les zones DNS. Ce sont des zones qui font correspondre les noms de domaines comme google.com ou jedha.co avec les services se cachant derrière. Lorsqu'on entre sur le site de jedha.co par exemple, nous n'allons pas retenir l'adresse IP du serveur qui va donner le site, mais nous allons uniquement retenir jedha.co. La zone DNS permet également de faire la correspondance pour les serveurs e-mail. Il est pour cette raison nécessaire de connaître l'outil e-mail.

Les Google Dorks

Les Google Dorks sont des opérateurs de recherches spéciaux sur Google, permettant de tirer des informations. Par exemple, un post sur Facebook datant de 2011 représentant des questions sur votre âge, votre statut pose un réel problème, car ce sont des publications publiques où tout le monde peut y accéder.

Si les réglages de confidentialité sont mal configurés, nous nous retrouvons avec des informations extrêmement détaillées permettant de faire deux choses :

• Créer des dictionnaires afin de comprendre quels mots de passe sont le plus répétés. Plusieurs outils permettent de générer des dictionnaires de taux de force
• Avoir des éléments pour des réponses à des questions secrètes. Il y a encore des services qui demandent quel est le nom de votre école primaire pour remettre à zéro, votre mot de passe de messagerie. Une fois qu'on est dans votre messagerie, cela pose une réelle difficulté, car on peut mettre à zéro les autres comptes

La création du rapport

Nous avons récoltés ces informations de manière légales. Dans une deuxième étape il s'agit d'exploiter les informations collectées et nous utiliserons les leviers psychologiques pour exploiter grâce à ces informations l'humain.

En ajoutant un levier psychologique comme l'urgence ou l'autorité, le hacker peut se retrouver à collecter des mots de passe. L'idée est de créer une situation et un contexte émotionnel fort qui va faire en sorte que l'humain ne pensera pas avec clarté.

Si l'humain se positionne dans un contexte différent il n'aura pas les mêmes réflexes et se comportera autrement. C'est exactement ce que le hacker cherchera à faire, c'est à dire déstabiliser l'humain pour pouvoir dérober les informations qui lui seront utiles.

L'exploitation

Il existe plusieurs motifs d'exploitation :

• L'extraction d'information à partir d'une discussion ou d'un e-mail. Dans ce cas, l'information qui sera récupérer sera pertinente et pourra être utilisée plus tard
• La compromission : il s'agit de l'exploitation du système auquel on est entré. Un exemple les ransomwares, les hôpitaux ou la récupération des identifiants e-mail, les business e-mail compromise. Ce sont des attaques dans lesquelles on prend possession de l'adresse mail d'un collaborateur. Si il s'agit d'un commercial, il est assez connu d'envoyer un nouveau RIB pour les virement SEPA. Il y aura un changement dans le RIB. Par ailleurs, sans procédure du coter du client, celui-ci payera le hacker et non l'entreprise fournissant le service. Une fraude courante !

L'utilisation du Social Engineering

Comment rentrer dans un endroit où vous n'êtes pas autorisé? En utilisant ces deux techniques :

• Tailgating : une technique utilisée pour obtenir un accès physique à un endroit non autorisé. La méthode à appliquer ? Suivre de près une personne autorisé dans un endroit sans que celle-ci ne s'en rende compte
• Piggybacking : une technique utilisée dans laquelle une personne accède à un endroit avec l'autorisation. La méthode à appliquer ? La personne qui souhaite accéder à l'endroit demande à l'autre personne poliment de l'aider à porter un colis par exemple
  

Le cas de l'arnaque au président

L'arnaque au président est un exemple classique de phishing. Utiliser l'urgence et l'autorité sur une personne qui a de l'ascendant dans une situation urgente pour négocier est une preuve de manipulation psychologique. En prétextant le rachat d'une entreprise à Dubaï, le président français s'est fait avoir avec un hacker qui a prétexté être le président hollandais de Pathé en déclarant qu'il fallait transférer des fonds de rachat de Dubaï. Cette situation était urgente est complexe à gérer. De plus, 17 millions d'euros ont été escroqués.

Le cas de l'arnaque le Drian

Un autre exemple de Social Engineering. Des hackers se sont fait passer pour Jean-Yves le Drian qui était le ministre de la défense sous François Hollande. Ces hackers en question ont demandé un échange de 55 millions d'euros en prétextant une demande d'aide pour la France et ont utilisé des visioconférences avec un masque en latex reprenant la tête de Jean-Yves le Drian.

Le cas des comptes Twitter

Exemple de l'Associated Press :

Un exemple de phishing sur un compte Twitter. Le compte de l'Associated Press qui est l'équivalent de l'AFP aux Etats-Unis a été hacké. Le tweet prétendait des explosions à la Maison Blanche auquel Barak Obama aurait été blessé. L'exploitation de l'attaque a duré six minutes, six minutes durant lesquelles le tweet a été posté. En effet, le S&P 500 a chuté de 136,5 milliards de dollars durant ce laps de temps. Cette attaque a été revendiquée par l'armée syrienne qui est exploitable financièrement. Pour quelle raison ce cas est-il si important ? Tout simplement, car le compte Twitter n'a pas été sécurisé.

Exemple du vol de compte Twitter du journaliste Mat Honan :

Dans ce cas, nous retrouvons un exemple du vol de compte Twitter du journaliste Math Honan. Ce journaliste a perdu son compte Twitter, dont son IPhone et son MacBook. Les hackers ayant volé son compte, ont fait comprendre à l'entreprise Apple qu'ils étaient le propriétaire du MacBook, de l'IPhone et de l'adresse e-mail. Ils ont également déclarer avoir avoir perdu le mot de passe de l'adresse e-mail. Ils ont pu y accéder en formatant l'IPhone et en le récupérant à distance.

‍
L'importance de la sensibilisation en Social Engineering

La sensibilisation en ingénierie sociale est plus qu'importante à relever. Se rendre compte des dangers de cette méthode et connaître les bonnes pratiques sont la clé pour se protéger au mieux de ses attaques.

L'entraînement est la clé pour se protéger ! Il faut s'entraîner constamment, s'exposer aux menaces et vérifier si nous sommes capables d'appliquer les bons réflexes face aux différents types d'attaques.

‍
Se protéger

L'ingénierie sociale prend plusieurs formes, l'humain est très créatif ! Avoir un plan en cas de compromission est nécessaire, car il faut toujours prendre en considération le fait que l'humain se fera piéger tôt ou tard. Comment se protéger et se sensibiliser au mieux si on se fait pirater demain ?

Dans un contexte professionnel, l'entreprise doit pouvoir survire pour faire face à ce genre d'attaques et continuer à produire de la valeur. Il faut pour cela sensibiliser les entreprises et les employés à des conditions réelles tout en s'exerçant quotidiennement.

Si vous souhaitez vous former au Social Engineering, n'hésitez pas à regarder notre formation Cybersécurité.