Aller au contenu principal

Ingénierie sociale

Objectifs

  • Définir l'ingénierie sociale
  • Identifier les différentes techniques d'ingénierie sociale
    • Hameçonnage (phishing)
    • Appâtage (baiting)
    • Attaque de point d'eau (watering hole)
    • Prétexter (pretexting)
    • Talonnage (tailgating)
  • Reconnaître les signes d'une attaque d'ingénierie sociale
  • Lister les moyens de protection contre l'ingénierie sociale
  • Définir le hacking éthique

Cours

Ingénierie sociale

Sécurité

Ingénierie sociale

https://imgs.xkcd.com/comics/security.png

https://xkcd.com/538

Ingénierie sociale

  • Noms

    • social engineering

    • piratage psychologique

    • fraude psychologique

  • Définition

    • Techniques de manipulation pour obtenir des informations confidentielles.

    • Hacker l'humain plutôt que la machine : le maillon le plus faible.

    • L'erreur est humaine.

Hameçonnage

  • Nom anglais

    • Phishing

  • Définition

    • Envoi d'un message en se faisant passer pour une personne (physique ou morale) de confiance.

    • Par courriel, SMS, appel téléphonique, message sur les réseaux sociaux, en personne, …

    • Demande de cliquer sur un lien, d'ouvrir une pièce jointe ou de donner des informations personnelles.

  • Exemple

    • Message prétendant venir de votre banque vous demandant de vérifier vos informations de compte.

Hameçonnage

https://upload.wikimedia.org/wikipedia/commons/f/f2/Email_account_phishing_fr.jpg

https://commons.wikimedia.org/wiki/File:Email_account_phishing_fr.jpg

Indices d'un message de phishing

  • Nom et adresse de l'expéditeur suspecte (ex: @banque-secure.com).

  • Orthographe et grammaire approximatives.

  • Lien ou pièce jointe à ouvrir.

  • Demande d'informations personnelles (ex: mot de passe, numéro de carte de crédit, …).

  • Sentiment d'urgence (ex: compte bloqué, offre limitée, …).

Hameçonnage

Appâtage

  • Nom anglais

    • Baiting

  • Définition

    • Promettre une récompense pour obtenir des informations.

    • Joue sur la curiosité, la générosité et/ou la peur de manquer (FOMO).

    • Cheval de Troie IRL (in real life).

  • Exemples

    • Fraude 4-1-9 : promesse d'une grosse somme d'argent en échange d'un paiement en avance.

    • Clé USB laissée dans un lieu public.

Appâtage

https://upload.wikimedia.org/wikipedia/commons/7/71/NigerianScam.jpg

https://commons.wikimedia.org/wiki/File:NigerianScam.jpg

Attaque de point d'eau

  • Nom anglais

    • Watering hole attack

  • Définition

    • Un prédateur attend au point d'eau que sa proie vienne boire.

    • Piéger un site visité par la cible pour y injecter un maliciel.

  • Exemple

    • Cross-site scripting (XSS) : infecter un site web visité régulièrement par la victime.

Prétexter

  • Nom anglais

    • Pretexting

  • Définition

    • Prétendre être une personne de confiance.

  • Exemples

    • Appel téléphonique d'un technicien informatique pour résoudre un problème.

    • Visite d'un·e collègue pour obtenir des informations sensibles.

Talonnage

  • Nom anglais

    • Tailgating

  • Définition

    • Suivre une personne autorisée pour entrer dans un lieu sécurisé.

  • Exemples

    • Physique : entrer dans un bâtiment qui requière une clé/un badge en prétendant avoir oublié son badge.

    • Informatique : Accéder à un ordinateur/téléphone déverrouillé sans surveillance.

Prévention active

  • Douter et vérifier l'identité de la personne physique ou morale (oral ou écrit).

  • Rester calme et vigilant (prendre du recul).

  • Penser à la confidentialité des informations (mot de passe, code, adresse, date de naissance, etc.). Est-ce que cette information est nécessaire ?

  • Ne pas laisser ses appareils sans surveillance.

  • Ne pas cliquer sur les liens, mais aller sur le site officiel directement.

  • En cas de doute, en discuter autour de soi.

Prévention proactive

  • Éviter de publier des informations personnelles sur Internet (par soi-même ou par d'autres).

  • Sensibiliser son entourage (famille, ami·e·s, collègues).

  • Utiliser des mots de passe forts et différents pour chaque service (gestionnaire de mots de passe).

  • Activer la double authentification (2FA) quand c'est possible.

  • Être au courant des techniques d'attaques.

Hacking éthique

  • "Apprendre l'attaque pour mieux se défendre."

  • Très efficace pour sensibiliser les personnes.

  • Métier de pentester (penetration tester = testeur d'intrusion) : simuler une attaque pour détecter les failles d'une organisation.

Futur ?

  • Attaques de plus en plus crédibles et créatives.

  • Trucage de l'image et de la voix (deepfake).

  • Personnalisation des attaques grâce à l'IA et des données sur les réseaux sociaux.

  • Influence sur les opinions et les votes.

  • Cyber-guerre et cyber-terrorisme.

F pour passer en plein écran ou O pour afficher la vue d'ensemble.
Versions sans animation, plein écran, imprimable.

Exercices

Définition

Associer chaque technique d'ingénierie sociale à sa définition.

  1. Piéger un site web fréquemment visité par la cible pour y introduire un logiciel malveillant.
  2. Envoyer des courriels frauduleux pour inciter les victimes à divulguer des informations sensibles.
  3. Suivre quelqu'un pour entrer dans une zone sécurisée sans autorisation.
  4. Offrir des objets gratuits pour inciter les victimes à installer des logiciels malveillants.
  5. Se faire passer pour une personne de confiance afin d'obtenir des informations sensibles.
Solution
  1. Attaque de point d'eau (watering hole)
  2. Hameçonnage (phishing)
  3. Talonnage (tailgating)
  4. Appâtage (baiting)
  5. Prétexter (pretexting)

Étude de cas

Lire les articles suivants et répondre aux questions.

https://www.letemps.ch/suisse/vaud/une-filiale-du-groupe-kudelski-touchee-par-une-fraude-a-plusieurs-millions-de-francs

  1. Quelles est le lien avec le sujet de ce cours ?
  2. Quels techniques vus en cours ont été utilisées ?
  3. Quelles erreurs ont été commises ?
  4. Quelles mesures de protection auraient pu être mises en place ?
Solution
  1. La fraude a été commise par une employée, le système informatique n'est pas en cause. C'est donc un cas d'ingénierie sociale.
  2. Le fraudeur a prétexté être son chef direct pour lui pousser à effectuer des virements.
  3. L'employée a cru que son chef lui demandait de faire ces virements et a effacé les traces de ses actions, ce qui a rendu la détection de la fraude plus difficile.
  4. Elle aurait pu vérifier la demande en contactant directement son chef. L'entreprise aurait pu mieux former ses employés à reconnaître les techniques d'ingénierie sociale.

https://www.blick.ch/fr/news/suisse/soyez-vigilents-des-escrocs-faussent-les-factures-de-redevance-searfe-id19385891.html

  1. Est-ce un cas d'ingénierie sociale ?
  2. Quelles techniques ont été utilisées ?
  3. Quelles erreurs ont été commises ?
  4. Comment aurait-on pu éviter cette fraude ?
Solution
  1. Oui, c'est un cas d'ingénierie sociale car on a tenté de tromper les gens pour obtenir de l'argent.
  2. C'est un cas de phishing par courrier. Les escrocs ont envoyé des factures de redevance Serafe falsifiées.
  3. Les gens ont payé sans vérifier l'authenticité de la facture.
  4. Serafe aurait peut-être pu informer ses clients de cette fraude (si elle est au courant). Les clients auraient pu mieux vérifier les données de paiement (IBAN, nom, ...) avant de payer.

https://www.rts.ch/info/monde/2024/article/comment-le-mossad-aurait-organise-l-explosion-de-bipeurs-au-liban-un-vrai-coup-dur-pour-le-hezbollah-28634521.html

  1. Quelles techniques d'ingénierie sociale ont été utilisées ?
Solution
  1. L'attaque de point d'eau (watering hole), car les bipeurs ont été piégés (car l'attaquant savait que le Hezbollah utilisait ces bipeurs).

Références

Dernière mise à jour le