Le but de toutes les tentatives d’ingénierie sociale est de gagner la confiance des victimes. C’est pourquoi les escrocs sont souvent extrêmement convaincants, sympathiques, serviables et toujours prêts à aider.
Pour comprendre le fonctionnement des attaques d’ingénierie sociale, imaginez le scénario suivant :
à l’entrée de votre entreprise, vous croisez un homme portant des paquets qui semblent lourds. Vous en déduisez immédiatement qu’il s’agit d’un livreur. Il vous demande de lui ouvrir la porte puisqu’il ne parvient pas à saisir le badge qui se trouve dans sa poche. Vous n’hésitez pas une seconde et le faites entrer dans l’entreprise.
Puisque rien ne vous a semblé suspect, vous ne regarderez sans doute pas où il va, ne le suivrez pas et ne penserez plus à lui dès qu’il aura quitté votre champ de vision.
Une fois dans l’entreprise, l’intrus peut se diriger vers une salle de conférence, sortir son ordinateur portable soigneusement caché dans l’un de ses paquets, se connecter au réseau derrière le pare-feu de l’entreprise et extraire des données. En quelques minutes, il a quitté le bâtiment avec des données sensibles.
Et lorsque la personne malintentionnée fait partie de l’entreprise, on peut imaginer cet autre scénario :
une personne (appelons-la Jean), prétendant travailler pour le service facturation, appelle un « collègue » (la victime) du service client. Il affirme qu’il est en ligne avec une cliente très importante (Marie, par exemple).
La cliente, Marie, demande des informations sur son dossier qu’il ne peut lui indiquer en raison d’un problème avec son ordinateur. Il n’est donc pas en mesure de la renseigner. Jean demande alors à son collègue (la victime) s’il peut, par hasard, l’aider.
La victime se sent désolée pour « ce collègue qui a besoin d’aide » et fournira sans doute des données confidentielles à l’imposteur.
Conseils à l’intention des employeurs prévoyants : que faire pour éviter que le personnel ne soit victime d’ingénierie sociale
-
L’employeur doit veiller à ce que tous les employés soient formés, régulièrement par un consultant spécialisé en sécurité, dans le domaine des brèches de sécurité de données et des nouvelles techniques d’ingénierie sociale.
-
L’accès aux données sensibles doit être organisé en fonction des besoins réels de chaque salarié.
-
L’accès à l’entreprise devrait être restreint et contrôlé par du personnel de sécurité qualifié.
-
Les employés ne doivent pas divulguer d’informations confidentielles par téléphone. De nombreuses personnes malintentionnées prétendent travailler pour une certaine entreprise. Elles sont de plus susceptibles d’employer un jargon familier à leur interlocuteur car elles connaissent la structure de l’entreprise et ses points faibles.
-
Dans les grandes entreprises, où il est impossible de connaître tous les employés, un appel provenant d’une personne affirmant travailler pour un certain service peut suffire à tromper son interlocuteur. Mieux vaut vérifier le numéro de l’appel entrant avant de divulguer des informations, l’idéal étant de proposer à la personne de la rappeler. Les règles s’appliquent souvent différemment entre collègues, et c’est pourquoi vouloir aider un collègue ayant besoin de renseignements peut finalement se conclure par une fuite de données.
-
Souvent, les attaques d’ingénierie sociale exploitent des histoires « émouvantes » pour susciter l’empathie des victimes et leur tendance à considérer leurs collègues comme étant de bonne foi. Leurs auteurs peuvent passer beaucoup de temps à apprendre à connaître leurs victimes, et étudier leurs habitudes afin de leur proposer exactement ce qu’elles recherchent : amitié, amour, intérêts communs, style de vie, loisirs. Cela crée une relation de confiance, favorable à la divulgation de données sensibles.
Conseils destinés aux employés : comment déjouer les pièges de l’ingénierie sociale
-
Les employés doivent éviter d’évoquer des sujets liés à leur travail (campagnes, produits, services, plaintes, clients) avec des personnes qu’ils ne connaissent pas ou en lesquelles ils n’ont pas confiance. Pour révéler ces informations, ils est conseillé de toujours utiliser les canaux officiels de communication (numéros de téléphone, de fax, et adresses e-mail professionnels) ou en parler via vidéoconférence.
-
• Les employés ne doivent pas autoriser l’accès dans les locaux de l’entreprise aux personnes n’y travaillant pas. Si des personnes ont besoin de s’y rendre (pour un entretien ou d’autres raisons professionnelles), elles doivent être accompagnées en permanence.
-
Lorsque qu’un employé reçoit un appel d’une personne qu’il ne connaît pas, qui prétend travailler dans un autre service/bureau et demande des données potentiellement sensibles, la meilleure chose à faire est de lui dire qu’il rappellera. L’employé doit ensuite appeler le/la réceptionniste et demander à parler avec cette personne. Il s’assure ainsi que cette dernière travaille réellement dans l’entreprise et qu’elle se trouve dans le bâtiment.
-
Les employés doit être extrêmement prudents quant aux personnes à qui ils remettent des périphériques amovibles, des ordinateurs portables ou des fichiers contenant des données confidentielles.
-
Il est recommandé de vérifier deux ou trois fois, si possible, les e-mails provenant de personnes demandant des données confidentielles. Une vérification téléphonique peut être une bonne idée, les pirates pouvant créer un site ressemblant à un site légitime afin de lancer une attaque de phishing destinée à obtenir des données sensibles de personnes qui ne les divulgueraient pas dans d’autres circonstances.
-
Les employés ne doivent jamais effectuer de tâches de maintenance comme installer des correctifs, du matériel (des modems par exemple), désactiver des solutions antivirus ou ouvrir des ports suite à une demande par téléphone. Ils doivent toujours vérifier ce type de demandes auprès du service informatique par téléphone, ou, mieux encore, en personne.
Ainsi, la confiance n’est pas seulement un facteur de réussite commerciale et d’environnement productif de travail : elle devient une arme entre les mains d’un manipulateur souhaitant accéder à des données critiques et détruire une entreprise. Il est donc recommandé de traiter les données sensibles avec prudence en toutes circonstances.
Enfin, n’oubliez pas que la confiance se mérite.