 |
|
|
| |
|
|
|
| Quand les technologies se mettent au service de la tromperie |
| Si le social engineering peut s'affranchir des technologies pour conduire ses attaques, il sait également pleinement les exploiter pour toujours mieux leurrer ses victimes.
(12/07/2006) |
|
Le social-engineering est une pratique consistant à user de ressorts psychologiques pour obtenir d'un tiers une information ou des données, en vue de commettre une fraude, une intrusion réseau, de l'espionnage industriel ou bien encore un vol d'identité.
L'expert et auteur spécialisé dans la sécurité, Bruce Schneier, l'a baptisé "attaque sociotechnique". "Le social engineering existe depuis déjà longtemps. Ce sont les arnaques, l'abus de confiance, le mensonge. Ce sont les fraudes. Rien de cela n'est nouveau", déclare le fondateur de Counterpane Internet Security, l'entreprise qu'il a fondée.
"Les méthodes de social engineering, autrefois réservées à un cercle réduit de spécialistes, deviennent de plus en plus grand public. Les modes opératoires sont désormais facilement accessibles sur Internet. Des vidéos comme TheBroken - disponibles notamment sur Google Video - en sont une parfaite illustration", indique Laurent Dupuy, consultant chez FreeSecurity. Le spécialiste en sécurité fait ici référence à ces modes d'emploi filmés qui peuvent tomber en des mains malveillantes.
Le postulat de base du social engineering est que l'individu est le maillon faible de la sécurité de tout système d'information. Tout l'art d'un pirate consistera donc à exploiter au mieux ces faiblesses humaines pour soutirer des informations confidentielles. "Les attaques sont ciblées, menées par des officines dont le métier est d'attaquer pour de l'espionnage industriel ou pour un enrichissement personnel.", précise Mauro Israël, RSSI chez Cyber Networks.
Les pirates combinent parfaitement technologies et exploitation des ressorts psychologiques inhérents à l'être humain pour accroître l'efficacité de leurs attaques. Ainsi, en incitant un utilisateur à installer un cheval de Troie, par l'intermédiaire d'un lien joint à un e-mail, le pirate pourra dès lors facilement se procurer ses identifiants, court-circuitant par la même occasion les solutions de sécurité déployées.
| Quatre grandes méthodes de social engineering |
Qu'il s'agisse du téléphone, d'un courrier, d'Internet voire même d'un contact direct, tous quatre peuvent être employés, indépendamment ou non, pour mener des attaques de type social engineering contre les entreprises. Nous en présenterons les deux plus courantes que sont Internet et le téléphone.
1) Le téléphone
Cette forme d'attaque repose essentiellement sur la force de persuasion du pirate et elle permet d'obtenir rapidement des informations en jouant sur la peur du conflit ou en abusant de la confiance d'un individu. En inspirant à l'utilisateur un sentiment d'urgence, celui-ci sera plus disposé à communiquer des données qu'il sait pourtant ne pas devoir divulguer.
En outre, le développement rapide de la ToIP peut laisser craindre une augmentation des attaques de social engineering utilisant le téléphone. Pour Bruce Schneier, "La VoIP va accroitre l'efficacité du phishing, notamment parce que les appels sont peu onéreux".
L'usurpation d'identité, l'écoute téléphonique ou l'exploitation de vulnérabilités sont des risques auxquels expose la voix sur IP, même si les solutions de sécurité se renforcent.
En mai dernier, la société californienne Cloudmark, spécialisée dans le filtrage d'e-mails, révélait l'existence du premier cas de phishing utilisant la VoIP. Au lieu d'inviter l'utilisateur à se connecter à un site Internet maquillé pour régler un problème lié à son compte, le message mentionnait un numéro de téléphone conduisant à un serveur vocal. La victime devait alors s'identifier en entrant ses coordonnées bancaires. Un second cas vient d'être révélé par l'éditeur Sophos (lire l'article du 11/07/2006)
2) Internet
"Le pharming et les bots sont deux des grandes tendances"
(Mauro Israël - Cyber Networks) |
Les formes d'attaques utilisant Internet sont nombreuses. La plupart des nouvelles attaques, telles que le phishing ou le pharming, dont le but est essentiellement de dérober des données aux particuliers ou aux entreprises, ne sont rien d'autres que des applications du social engineering.
Un pirate va encourager l'utilisateur, par le biais d'un message incitatif, à cliquer sur un lien contenu dans un e-mail. Ce lien pourra provoquer le téléchargement d'un cheval de Troie, d'un keylogger ou d'un virus qui permettra ensuite de mettre la main sur des données sensibles.
Dans le cas du phishing, la victime sera en général orientée vers un site imitant celui d'une enseigne réputée, puis invitée à s'authentifier. Le pharming est pour sa part une technique d'escroquerie consistant à rediriger le trafic Internet d'un site Web vers un autre site de manière transparente pour l'internaute. Pour cela, les pirates utilisent une technique appelée "DNS Cache Poisoning" ou "empoisonnement DNS".
"Le pharming et les bots sont deux des grandes tendances, et sont certainement appelés à encore plus se développer à l'avenir", conjecture Mauro Israël.
|
Social engineering : se protéger contre les attaques
|
|
Solutions
|
Citations
|
|
Former et sensibiliser les employés
Formaliser une politique de sécurité
|
"La sensibilisation est un point clé de la politique de sécurité. On ne peut pas demander à un salarié d'éviter de se faire abuser s'il n'a pas même connaissance de ce qu'est le social engineering et de ses méthodes." (Laurent Dupuy)
"L'assistante de direction est la plus vulnérable aux attaques de social engineering. Elle a en général accès à l'ordinateur du directeur et potentiellement à tout ce qu'il contient. " (Mauro Israël)
"Ne soyez pas crédule !" (Kevin Mitnick - The Art of Deception)
"Soyez intelligent" (Bruce Schneier)
|
|
Authentification forte (PKI, tokens, biométrie)
Filtres antiphishing
Tests d'intrusion
Antivirus et antispam
|
"Des procédés d'authentification forte ne garantiront néanmoins jamais un risque zéro. Le social engineering permettra toujours de contourner ces barrières. Si l'utilisateur a confiance dans son interlocuteur, il lui ouvrira les accès, malgré le renforcement des sécurités." (Laurent Dupuy)
"Un des maillons faibles de la sécurité est le login-password ou login-passoire. Leur multiplication, la complexité à les mémoriser crée des failles."
(Mauro Israël)
"Les virus également utilisent aujourd'hui des procédés de social engineering pour se propager sur les réseaux" (Laurent Dupuy)
|
|
|
|
|
|
|
|
Dossiers
