Le social engineering : un nouveau défi pour les RSSI

La sécurité informatique demeure l’une des préoccupations majeures des entreprises. En effet, la cyber criminalité écrit chaque jour une nouvelle page en mettant en avant de nombreuses failles. Les exemples ne manquent pas. Parmi l’ensemble des actes de malveillances menées par les cybercriminels, nous assistons depuis peu à la montée en puissance d’une nouvelle forme de menace appelée « social engineering ». Mais qu’entend-on précisément sous cette définition ?

 

Le social engineering, aussi nommé « ingénierie sociale », a pour but d’obtenir de la part de sa victime une action ou une information demandée. Les  actions peuvent être de désactiver un antivirus sur un poste ou d’effectuer un virement bancaire comme ce fut le cas en Aout dernier contre le groupe Quick et Scor. Les informations sont souvent de nature confidentielle, comme les informations sur un projet en cours, les identifiants de connexion,  ou l’agenda du Président.

 

Le social engineering est une forme d'acquisition déloyale d'information et d'escroquerie. Cette pratique exploite les failles humaines et sociales de la structure cible, à laquelle est liée le système informatique visé. Utilisant ses connaissances, le hacker abuse de la confiance, de l'ignorance ou de la crédulité des personnes pour arriver à ses fins. Le social engineering est aussi appelée processus « d'élitisation ». Ce terme est souvent utilisé en informatique pour désigner un processus d'approche relationnel frauduleux.

 

Cette nouvelle menace est donc une forme très complexe à appréhender. Généralement, on distingue différentes formes de social engineering : lettre, téléphone… mais le plus souvent le mail est utilisé. Il est donc important que l’entreprise soit sensibilisée à ces pratiques et forme ses collaborateurs. De manière générale, de toutes les tentatives d’attaques, l’ingénierie sociale est la plus performante, car elle recouvre plusieurs formes et s’adresse à des utilisateurs variés et non sensibilisés à cette menace.

 

Un hacker pourra, par exemple, chercher à obtenir les logins des collaborateurs d'une entreprise en se présentant comme le responsable de l’administration du SI... Il pourra utiliser le nom des responsables hiérarchiques pour justifier de sa démarche… Tous ces éléments scénarisés permettent de mettre la personne sollicitée en confiance. Ainsi, un test réalisé auprès de 17 groupes américains a permis de démontrer que la majorité des employés contactés communiquent leurs mots de passe. Un point intéressant de cette étude montre également que les femmes semblent mieux résister aux différentes sollicitations.

 

L’affaire Hacker Croll est également un bon exemple et montre qu’il n’est plus nécessaire de disposer de compétences informatiques pointues pour se transformer en cyber criminel. Ainsi, ce jeune pirate a pu usurper l'identité de Barack Obama ou encore de Britney Spears sur leurs profils Twitter. Il a également pu mettre la main sur des documents confidentiels de Twitter…

 

Toutes les entreprises doivent donc prendre en compte ce nouveau danger et déployer des stratégies de formation pour lutter activement contre ce phénomène. Les collaborateurs doivent pouvoir anticiper et ne pas se laisser abuser par de tels stratagèmes. S’en protèger, nécéssite d’ajouter aux procédures classiques de sécurité informatique, la formation du personnel. C’est à cette condition que les entreprises pourront se prémunir de cette nouvelle menace.

 

 

Nicolas DUBOIS, auditeur technique et expert du cybercrime chez SDN International & Cyberprotect