Passer au contenu

Dossier : l’ingénierie sociale, comment les hackers vous manipulent pour mieux vous voler

0

Depuis deux ans, les cyberattaques semblent se multiplier à un rythme effréné. Aussi bien des attaques ourdies par des réseaux de hackers obscurs à la solde…

Depuis deux ans, les cyberattaques semblent se multiplier à un rythme effréné. Aussi bien des attaques ourdies par des réseaux de hackers obscurs à la solde d’organisations mafieuses, que des pirates d’État agissant pour le compte d’un gouvernement en place.

capture d’écran

La diffusion des messages piratés du Parti Démocrate par Wikileaks aura été un boulet pour l’ancienne secrétaire d’État tout au long de sa campagne, alimentant polémiques, rumeurs et fausses informations.

Une campagne électorale polluée par un simple phishing

Des attaques informatiques parfois menées avec une facilité déconcertante. Julian Assange a ainsi prétendu sur Fox News que la messagerie Gmail de John Podesta, le directeur de campagne de Clinton, était protégée par un mot de passe ridiculement faible : « p@ssw0rd », assurant même qu’ « un ado aurait pu [la] pirater ».

Une faute de frappe à l’origine du hack

Problème, Gmail interdit depuis longtemps ce type de mot de passe aussi simple, même sous une forme plus « complexe ». En réalité, Podesta s’est fait pirater sa messagerie grâce à une bonne vieille technique d’hameçonnage (« spear phishing »). Un mail prétendument envoyé par Gmail lui demandant de modifier de toute urgence son mot de passe. Une faute de frappe plus tard et le sort de sa messagerie était scellé (l’affaire plus en détail ici).

La suite appartient désormais à l’histoire.

Cet exemple illustre une technique d’ingénierie sociale, ou l’art du piratage humain, c’est-à-dire le fait de soutirer, par tout moyen en sa possession (email, messagerie instantanée, téléphone, réseaux sociaux), des informations à une personne en abusant de sa confiance, son ignorance ou sa crédulité et sans que celle-ci ne s’en rende compte.

L’ingénierie sociale n’est donc pas spécifique à Internet, cette notion est d’ailleurs apparue en dehors de ce cadre aux États-Unis, dans les années 40, et s’observe depuis aussi bien en entreprise, dans le management par exemple ou la vente, qu’au sein d’organisation religieuse ou du corps social.

Frank Abagnale, dont la vie est mise en scène dans le film Arrête-moi si tu peux (Leonardo DiCaprio lui prête ses traits), est à ce titre un redoutable ingénieur social, qui use et abuse de son don pour parvenir à ses fins.

Frank Abagnale et Leonardo DiCaprio, Place Royale au Quebec, sur le tournage d’Arrête-moi si tu peux

Internet, source inépuisable d’informations

À l’ère des réseaux sociaux, messageries et autres formes de communication électronique, la sécurité de l’information est mise à mal et laisse un boulevard aux criminels désireux de soustraire certaines informations ou de pousser leur victime à réaliser des actions susceptibles de leur nuire. L’humain reste le principal maillon faible, celui dont le système d’exploitation est le moins sécurisé .

« L’ingénierie sociale joue un rôle très important dans le monde des cyberattaques. Souvent, c’est le principal moyen d’infecter un ordinateur par le biais d’un malware », nous a confié Mike Murray, VP de Recherche et Riposte chez Lookout, société de cybersécurité spécialisée dans la sécurité mobile.

Comme on peut le voir dans notre top 10 des cyberattaques 2016, l’ingénierie sociale est à la base de la plupart des attaques informatiques perpétrées dans le monde cette année-là : du malware Locky, à la cyberattaque contre LinkedIn ou le réseau Swift en passant par le spyware Pegasus, dont l’existence a été révélée en août dernier par le laboratoire de recherche canadien Citizen Lab et Lookout.

« L’ingénierie sociale s’emploie majoritairement dans les phases préalables aux attaques, c’est-à-dire via le phishing », confirme Loic Guézo, Stratégiste Cybersécurité Europe du Sud chez Trend Micro, société spécialisée en sécurité informatique.

Loic Guézo, Stratégiste Cybersécurité Europe du Sud chez Trend Micro

L’ingénierie sociale prélude aux cyberattaques

« Les pirates utilisent le maximum de techniques possibles pour crédibiliser les messages, principalement les mails qui sont le support de leurs débuts d’attaque, poursuit-il. À cette fin, ils font tout pour que ces mails aient l’air officiels et légitimes, et ils y incluent, si possible, des informations qu’ils ont obtenues précédemment par attaque classique, une extraction de données par exemple, et qu’ils réutilisent pour faire de l’ingénierie sociale ».

Plusieurs techniques peuvent être utilisées, de la plus banale à la plus fine (phishing, ransomware, arnaque au président, etc.), c’est-à-dire qu’elles nécessitent moins d’envois massifs de mail, mais utilisent des informations beaucoup plus précises, qui peuvent avoir été obtenues par ingénierie sociale.

Comme ce fut le cas en France, l’année dernière, avec la société BRM, placée en liquidation judiciaire après avoir été victime d’une arnaque au président, ou faux ordres aux virements internationaux (Fovi). L’objectif est d’utiliser un support informatique et de la vraie ingénierie sociale pour obtenir de la victime qu’elle réalise un virement, si possible d’un gros montant, au profit d’une personne bénéficiaire. Cela se passe principalement par téléphone, mais aussi par mail.

Un éventail de techniques

Pour la petite histoire, l’inventeur de l’arnaque au président est le Franco-Israélien Gilbert Chikli, soupçonné d’avoir escroqué plusieurs millions d’euros à diverses institutions et entreprises (La Poste, Adidas, les Galeries Lafayette, Disneyland Paris ou encore la Caisse d’épargne et les Pages jaunes).

exemple d’arnaque au faux président
Faux ordres aux virements internationaux – Police nationale

Ici, l’objectif est de prendre contact avec une personne qui a la capacité de réaliser des virements financiers, munis d’un ensemble d’informations collectées en amont, tout en lui expliquant, via des techniques de pression et de manipulation, qu’il faut procéder ainsi parce que le président est dans l’incapacité de le faire ou en usurpant son identité (comme ce fut le cas pour BRM). Généralement, l’appelant joue sur le caractère urgent de la demande. Dans cette arnaque, le social engineering prime parce qu’il faut être capable de parler correctement, avec les codes de l’environnement de travail ciblé pour être crédible. Il n’y a pas nécessairement de technique informatique spécifique derrière.

Le social engineering peut se pratiquer par téléphone, par lettre, par internet et par contact direct. Sur la toile, diverses techniques sont employées :

Internet et les réseaux sociaux (Facebook, Twitter, Foursquare, LinkedIn, Viadeo, Google, les blogs, etc.) sont une source d’information inépuisable. Il suffit parfois de googler un nom pour tomber sur tous les sites auquel un internaute est inscrit et de collecter les données nécessaires ou intéressantes pour la suite, voire même des photos lorsque celles-ci sont accessibles. Et généralement elles le sont (merci Facebook, Instagram et les profils publics).

L’internaute lambda pris pour cible

ingenierie-sociale-vie-privée
Black Mirror – Saison 3 – Nosedive

Certaines vidéos diffusées sur la toile avec des titres racoleurs comme, “Cette vidéo a mis fin à la carrière de Justin Bieber”, renvoient vers des sites malveillants où l’on doit laisser son adresse mail ou télécharger une image contenant bien souvent un malware.

La pratique de l’hameçonnage, appelé également phishing ou filouterie, fait également partie des techniques d’ingénierie sociale. Trend Micro décrit l’hameçonnage comme « une sorte de fraude informatique qui utilise les principes de l’ingénierie sociale dans le but d’obtenir des informations privées sur la victime. Le cybercriminel utilise souvent des e-mails, des messageries instantanées ou des SMS pour diffuser le message malveillant qui persuadera la victime de révéler ses informations directement ou de réaliser une action (entrer dans un faux site Web, cliquer sur un lien de téléchargement malveillant, etc.), ce qui permettra au criminel de poursuivre son plan malintentionné ».

Il arrive que des malware ou spyware (logiciel malveillant) soient téléchargés sur un ordinateur en pensant le protéger d’un virus nouvellement détecté ou pour une mise à jour de sécurité. Par exemple avec une mise à jour de Flash Player (les fichiers exécutables intégrés dans des documents Word notamment). Enfin, autre méthode, le kidnapping virtuel. Il utilise des techniques d’ingénierie sociale en prétendant qu’un membre de la famille a été kidnappé. Le kidnappeur demande alors une somme d’argent sous forme de rançon pour assurer la sécurité et/ou la libération de l’otage.

[nextpage title=”Du bonimenteur à l’organisation mafieuse”]

Face à une menace protéiforme, aucun internaute n’est véritablement à l’abri d’une tentative de piratage de son système d’exploitation humain. Quelle sont les cibles privilégiées et quels type de données sont favorisées ?

Loic Guézo nous explique que les plus gros volumes de données ciblées sont des emails de contact et des informations relatives à l’environnement technique de la personne visée. Des données collectées qui génèrent l’envoi d’un email frauduleux afin d’obliger la victime à cliquer sur une pièce jointe ou un lien fourni pour démarrer tout un processus d’installation de logiciel malveillant et réussir à prendre le contrôle de la machine. Cela se vérifie dans des attaques type ramsomware ou trojan bancaire (Cheval de Troie), comme Ramnit.

Pegasus, un spyware redoutable introduit avec un simple lien

Dans le cas du redoutable logiciel espion Pegasus, le nombre de données potentiellement atteintes est sidérant. Là encore, l’ingénierie sociale joue un grand rôle puisque le spyware est introduit dans le mobile de la victime grâce à un lien prétendument légitime, mais en réalité vérolé. « Le groupe derrière l’attaque est connu pour détenir plusieurs noms de domaine (URLs) qui paraissent réel au simple observateur », indique Mike Murray de Lookout. D’après l’enquête, les pirates ont usurpé le site du Comité international de la Croix rouge, celui traitant des demandes de visa du gouvernement britannique, mais aussi les sites internet de nombreux organismes de presse et autres grandes entreprises technologiques.

Mike Murray – VP Research and Response chez Lookout

Une attaque d’autant plus redoutable dans le cas de Pegasus que « le logiciel est hautement paramétrable » en fonction du pays où il est déployé et de la cible à atteindre. Une fois infiltré dans le téléphone, le logiciel accède aux « messages, appels, courriels, logs, et aux applications telles que Gmail, Facebook, Skype, WhatsApp, Viber, Facetime, Calendar, Line, Mail.ru, WeChat, SS, Tango et autres », précise Murray. « Une fois le mobile compromit, toutes les données sont susceptibles d’être interceptées, conversations audio et vidéo en temps réels inclus ». Cerise sur le gâteau, le spyware est capable de supprimer toute trace de son passage après l’attaque, le rendant ainsi indétectable.

spyware-pegasus-social-engineering

Des cibles de plus en plus précises

Pegasus ciblait donc prioritairement des utilisateurs mobiles de grande valeur. En août dernier, Ahmed Mansoor, défenseur des droits de l’homme internationalement reconnu basé aux Émirats Arabes Unis, en fut la cible. Pegasus était la troisième attaque visant Mansoor, après FinFisher en 2011 et un spyware conçu par la sulfureuse hacking Team en 2012.

« L’utilisation de ces outils onéreux contre Mansoor démontre l’étendue des efforts que les gouvernements sont prêts à déployer pour cibler des activistes », estime Murray. Avec un tel degré de sophistication, Pegasus ne peut viser « que » des cibles de grande valeur, au sein d’organisation, comme les PDG, les directeurs financiers, les ressources humaines ou encore les administrateurs.

Le phishing quant à lui est utilisé en grande partie pour générer des attaques par ransomware : « un logiciel malveillant va chiffrer l’appareil et demander un paiement en échange des clés ou de la méthode de déchiffrement. C’est le schéma le plus classique », indique Loic Gézo.

exemple de ransomware

La figure du hacker solitaire ne tient plus

La figure du hacker solitaire tient-elle dans de pareils cas ? « Les pirates sont des cybercriminels qui veulent faire de l’argent, explique monsieur Guézo. Aujourd’hui, en termes de portrait-robot, ce ne sont pas des individus solitaires, brillants techniquement, mais plutôt des organisations que l’on hésite plus à qualifier de mafieuses, au sens d’organisation criminelle bien organisée avec une séparation des rôles ».

Mr. Robot

Ces groupes de hackers opèrent par spécialité : des équipes techniques réalisent le produit (les supports) et des petites mains font différents petits métiers autour de ces attaques, allant jusqu’au recrutement de complices qui assurent le blanchiment et la récupération de l’argent. Ce qui nécessite d’accéder, physiquement, à un compte bancaire par exemple.

Pour ce qui est des victimes, leur profil a évolué en même temps que les attaques se sont « raffinées ». Les premières attaques recensées se faisaient surtout par l’envoi massif et indistinct de spams, qui n’attendaient plus qu’à être cliqué par le simple particulier derrière son écran.

Les grandes entreprises, nouvel eldorado des hackers

En 2016, un changement s’est opéré explique l’expert de Trend Micro : les attaques sont devenues de plus en plus précises et ciblent désormais certains groupes, mais aussi les utilisateurs d’un logiciel ou d’un navigateur en particulier, ou encore les victimes abonnées à un site dont la base de données a été piratée et à partir de laquelle on commet du phishing.

campagne de phishing Gmail
autre exemple de phishing

Au cours de cette année, un raffinement des cibles a également été constaté, avec un basculement vers les entreprises. Avant 2016, lorsqu’une société était victime d’un ransomware, il y avait de grandes chances qu’un employé ait été indistinctement visé, non pour sa qualité de salarié de cette entreprise, mais juste comme particulier lambda.

Mr. Robot

Depuis, des ransomware sont diffusés uniquement auprès de certaines structures rigoureusement sélectionnées, comme des hôpitaux, des administrations ou des universités par exemple. Dernière évolution en date, ces attaques ciblent les grandes entreprises, à des postes importants, avec des montants de rançon plus élevés. Le ratio infection/paiement est donc plus élevé grâce à des rançons plus importantes.

Les derniers ransomware accentuent la pression sociale et psychologique sur la victime. De simples cryptolocker bloquant l’écran d’un ordinateur après la visite de sites prétendument illégaux, on est passé à des cryptolocker (crypto-verrouilleur) qui touchent à « l’intimité informatique » de la victime, avance Loic Guézo. La pression est mise sur la suppression de tout ou partie des données de la victime ou la diffusion de certains fichiers qui porteraient atteinte à sa vie privée (nudité ou photo pornographique). Face à l’inaction de certaines cibles, quelques ransomware sont diffusés avec des tutoriels à la clé pour faciliter le paiement de la rançon (création d’un compte bitcoin par exemple) ou avec un compte à rebours pour effectuer le paiement avant que la menace ne soit mise à exécution.

L’humain, cet éternel maillon faible

Parfois, les victimes sont même obligées de contribuer à la diffusion du ransomware auprès de leurs propres contacts pour s’acquitter de la rançon, devenant ainsi complices des hackers, nous explique Loic Guézo. Concrètement, la victime doit fournir un certain nombre d’adresses mail, et si le ransomware fonctionne sur ces personnes, alors sa dette est effacée. On joue sur le social, pour faire perdre pied, menacer, inciter et perturber le raisonnement de la potentielle victime. Dans le cadre de l’arnaque au président, les pirates s’adressent à une entreprise et dans celui du scam, on essaie de toucher la corde sensible d’un individu pour le faire payer, mais on ne jouera pas sur les mêmes dispositifs.

Ces méthodes, redoutables lorsqu’elles sont bien exécutées, n’en sont pas moins connues. Alors pourquoi fonctionnent-elles encore aussi bien ?

Pour Loic Guézo et Mike Murray, le principal aspect à considérer, le plus important, c’est l’humain, qui par nature est faillible et à tendance à faire confiance, surtout quand rien ne lui indique qu’il doit se méfier. Sauf à s’être déjà fait lourdement arnaquer une fois, l’internaute lambda n’a pas l’expérience suffisante pour se défendre.

ingénierie-social-hack-humain
Her

Les smartphones, même professionnel, conservent un caractère personnel, on y lit ses courriels, surfe sur les réseaux sociaux où les attaques phishing sont légion. Des attaques qui peuvent se faire sur plusieurs canaux : email, SMS, Facebook, Twitter, et n’importe quelle fausse application conçue pour ressembler à des marques connues, mais qui trompent les internautes pour qu’ils livrent leurs informations.

Ensuite, une mutation des techniques s’est opérée. Autrefois, les bonimenteurs courraient les rues à la recherche d’une personne à arnaquer en lui vendant une bague en or prétendument trouvée par terre, donc vendue à moitié prix. Depuis, ces méthodes-là ont été transposées dans l’environnement informatique, et elles s’exécutent principalement par mail et par téléphone.

Pour le mail, plusieurs facteurs permettent de ne pas éveiller la méfiance de la personne ciblée : c’est un message écrit, qui à toute l’apparence d’un message légitime, la cible a la maîtrise des choses puisqu’elle traite le message à son rythme, elle a le choix d’y répondre ou non et de le faire quand elle le souhaite. Il n’y a aucune forme de contrainte, c’est elle qui semble maîtriser la situation. Il y a une baisse de la vigilance qui se trouve amplifiée par des éléments informatiques plus ou moins compliqués et/ou difficilement appréhendables par le grand public. Peu de personnes pensent à vérifier une adresse mail et la typographie et l’orthographe de l’objet ou du corps du mail, à s’assurer que les liens intégrés soient les bons, etc. Si la demande formulée est simple — comme cliquer sur un lien, envoyer ses identifiants, etc. — et l’expéditeur supposé familier, l’arnaque a de grandes chances de réussir.

« Ces méthodes simples, bien que connues, fonctionnent encore parce que les attaquants s’attaquent à notre nature humaine, notre curiosité, nos émotions et sentiments », avance Mike Murray de Lookout. Si les campagnes d’ingénierie sociale ne marchent pas sur toutes les cibles, elles ont de plus en plus de chance de fonctionner depuis que les attaquants peuvent personnaliser leurs attaques avec les données récoltées en amont.

Mais les méthodes les plus simples sont parfois les plus efficaces puisque la fraude 419 (ou arnaque nigériane) continue de faire des victimes et de remplir les poches de ses commanditaires.

Loin de s’essouffler, ces pratiques sont amenées à se multiplier : les hackers perfectionnent leur technique tout en choisissant des cibles de plus en plus spécifiques (entreprises, banques, postes à hautes responsabilités, etc.) et jouissent d’un taux de réussite insolent. Pouvoir publics et entreprises auraient tout intérêt à s’emparer de cette problématique actuelle (formation et sensibilisation aux règles “d’hygiène informatique” notamment), promise à devenir l’un des enjeux numériques de demain.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

Mode