Depuis quelques années, la communauté d’experts en sécurité informatique a officialisé un nouveau type d’attaques très tendance : les Advanced Persistent Threats (APT). Cette terminologie fait référence aux techniques et méthodologies qui peuvent être utilisées par un groupe d’individus pour perpétrer une attaque de longue durée sur une cible bien définie. Ainsi une APT vise à (1) infiltrer un système informatique cible et s’y installer pour une longue période sans se faire détecter, pour ensuite (2) capturer et extraire des informations sensibles. Pour infiltrer la cible, plus besoin de contourner l’arsenal de pare-feux mis en place par leur équipe de sécurité ni de se lancer dans des cyber-attaques farfelues : les attaquants préfèrent maintenant s’adonner à la pratique ardue mais très efficace du social engineering.
Social Engineering : késako ?
Dans le contexte de la sécurité de l’information, le social engineering se réfère aux techniques de manipulations psychologiques permettant d’exploiter les faiblesses de la nature et du comportement humain pour perpétrer une escroquerie. Il cherche avant tout à extirper des informations ou influencer une personne à exécuter des tâches qui vont servir à l’escroquerie, le tout sans que la victime ne s’en rende compte.
Dans le cadre d’une APT, l’escroc va essayer de récolter un maximum d’informations à propos de certains employés-cibles qui peuvent se révéler très pratiques. En effet, la nature même du social engineering se base sur le fait établi que les employés sont souvent le maillon faible de la chaine de sécurité d’une entreprise, et ceci pour plusieurs raisons. Tout d’abord, se sentant en sécurité au sein d’une entreprise, les employés vont par nature faire confiance à leurs interlocuteurs et sont prêts à les aider presque aveuglément. Voulant toujours plus ou moins impressionner leur chef, les employés sont aussi prêts à fournir des informations à n’importe quelle personne avec un minimum de pouvoir. Par exemple, la secrétaire du directeur obtiendra les informations qu’elle demande avec succès si elle affirme que cette demande a été autorisée par le directeur. Aussi, beaucoup d’employés ne se rendent pas compte de la valeur d’une information. Par exemple, dévoiler son numéro d’identification d’employé ne semble pas être si important. Mais il peut aider un escroc à l’associer avec d’autres données récoltées et potentiellement infiltrer le système. On peut ainsi trouver une panoplie d’exemples prouvant cette théorie du maillon faible. Pour une APT, les victimes favorites du social engineering ont généralement un poste avec un haut niveau d’accréditation dans le système, tels que les managers, administrateurs système ou tout autre personne du HelpDesk.
Les principales méthodes de social engineering
Il est difficile d’énumérer de façon exhaustive toutes les astuces pour perpétrer du social engineering, car cette sous-branche des sciences comportementales est bien trop étendue. Présentons néanmoins ce qui apparait comme les quatre familles de méthodes les plus répandues.
1. Récolte classique d’information
Cette méthode est la plus basique qu’un escroc peut perpétrer sans se faire repérer. L’escroc utilise tous les moyens légaux et publics qui lui sont offerts pour récolter des informations, comme une simple recherche sur Internet. De nos jours, cette méthode peut être vraiment efficace avec le développement des réseaux et autres médias sociaux. Par exemple, il n’est pas rare de voir un employé dévoiler naïvement un certain nombre d’informations sensibles sur son compte Facebook.
2. Attaque physique
Cette méthode se rapporte plus aux actions concrètes que peut tenter un escroc pour son attaque. Par exemple, l’escroc essaie de rentrer dans un immeuble surveillé sans aucun badge. S’il réussit, il est alors possible pour lui de récolter matériellement des informations, telles que des papiers sensibles se trouvant dans les bureaux des victimes ou encore jetés à la poubelle.
3. Attaque informatique
Cette méthode fait référence aux actions informatiques qu’un escroc peut mettre en place pour faciliter son social engineering. Une illustration simple de cette méthode est la récupération de mot de passe. En effet, on a remarqué que beaucoup de personnes utilisent le même mot de passe pour plusieurs comptes (p.ex. pour Gmail, eBay, Facebook ou Twitter). Un escroc peut donc essayer de retrouver ce mot de passe (p.ex. avec une attaque du dictionnaire) et ainsi accéder aux autres comptes de cet utilisateur. Un autre exemple un peu plus poussé que l’on peut citer est l’utilisation de pop-up qui semble faire partie du réseau et qui demande à l’utilisateur de ré-entrer son login et mot de passe.
4. Phishing
Cette méthode est une des plus connues à l’heure actuelle. Elle permet de récolter des informations sensibles en se faisant passer pour une entité de confiance (p.ex. banque, administration). Il y a plusieurs types de phishing. Le classique se perpétue via les communications électroniques (p.ex. envoi d’emails ou de SMS avec lien vers site web falsifié). Le but va être de forcer la victime à révéler une information sensible ou encore de la persuader d’ouvrir une pièce jointe malveillante. Le vishing est une variante où l’escroc utilise le téléphone. Par exemple, il appelle un employé en se faisant passer pour une personne du HelpDesk pour un problème urgent et demander un accès immédiat au réseau.
Comment se protéger du social engineering
Il n’existe malheureusement pas de solution miracle contre le social engineering. Comme l’a très bien mentionné Kevin Mitnick, célèbre hacker reconverti en consultant sécurité informatique :
« You could spend a fortune purchasing technology and services […] and your network infrastructure could still remain vulnerable to old-fashioned manipulation. »
Les organisations et entreprises doivent néanmoins mettre en place un certain nombre de démarches pour limiter et réduire au maximum le social engineering, à défaut de pouvoir le bloquer complètement.
1. Formation des employés
La première tactique à adopter pour se défendre contre le social engineering est de former les cibles potentielles – à savoir tous les employés – à reconnaitre une telle attaque. Par exemple, tout employé doit savoir que le HelpDesk a accès à beaucoup d’informations sensibles ; donc si une soi-disant personne du HelpDesk lui demande son mot de passe pour une quelconque vérification, l’employé doit considérer cette demande comme suspicieuse. De plus, par son accès très étendu aux données de l’entreprise, le HelpDesk est généralement une cible favorite du social engineering. Une attention particulière doit donc être apportée à sa formation sur le sujet. La règle fondamentale du HelpDesk doit être de ne jamais divulguer d’information sans une autorisation préalable de la hiérarchie. Dans tous les cas, il est primordial de favoriser une culture de la connaissance et de la conscience du social engineering. Les employés ne doivent jamais ressentir de suffisance et de complaisance vis-à-vis de ce problème : ils doivent toujours être proactifs et autodidactes sur les dangers du social engineering.
2. Politique de sécurité robuste et adéquate
Le social engineering est également contré grâce à la mise en place d’une politique de sécurité développée. Ainsi, cette dernière peut interdire aux employés de communiquer (p.ex. par téléphone) un certain type d’information, et ce, peu importe la personne qui en fait la demande. La politique de sécurité doit aussi fixer certains points fondamentaux du système informatique, tels que le contrôle d’accès aux informations, la création des comptes utilisateurs, ou encore les changements réguliers de mot de passe.
3. Procédures de sécurité, de vérification et d’information déployées
Enfin, la troisième famille de dispositifs pouvant limiter le social engineering fait référence à toutes les procédures de sécurité/vérification et démarches informatives qui peuvent être déployées au sein d’une organisation. Tout d’abord, dans un esprit d’information, une entreprise peut mettre en place un système de newsletter (p.ex. mensuelle) qui relate les derniers incidents concrets de sécurité et explique comment ils ont été résolus. Concernant les attaques physiques, une organisation/entreprise doit absolument respecter trois règles. Premièrement, elle doit vérifier sans aucune exception toutes les identités des personnes entrant dans son immeuble. Deuxièmement, elle doit protéger tous les documents, disques durs et autres appareils où les informations sensibles sont stockées. Troisièmement, elle doit protéger toutes les machines connectées au réseau local par un mécanisme d’authentification. Enfin, des procédures de rapport d’incidents peuvent être déployées pour limiter ou réduire le social engineering. Un employé doit alors être responsable du traitement de ces rapports et de la mise en place de solutions rapides à ces incidents. Dans tous les cas, les organisations doivent investir dans l’audit de sécurité avec des tests de pénétration basés sur le social engineering.
Que faut-il retenir ?
Le social engineering est bien une menace réelle à toujours prendre en considération dans le contexte de la sécurité de l’information des organisations et entreprises. A l’heure actuelle, aucun « vaccin » informatique ne peut protéger un système contre ce type d’attaques. La meilleure défense est de former les employés à détecter les actes de social engineering.
A noter : Une research note sur l’état de l’art des APT sera publiée dans les prochaines semaines. Celle-ci illustrera avec des exemples concrets comment le social engineering intervient dans les APT.
Pingback: I’m dreaming of a digital Xmas | Smals Research
Pingback: Ce qu’un réseau social peut nous apprendre | Smals Research