Le premier semestre 2010 a été marqué par plusieurs attaques informatiques dirigées vers les entreprises, via des techniques dites "d'ingénierie sociale". Sans être nouveau, ce procédé cybercriminel semble prendre de plus en plus d'ampleur, comme le confirment différentes études récentes, et comme l'illustre "l'affaire Hacker Croll" qui a ébranlé la plateforme de microblogging Twitter. A la différence des autres techniques cybercriminelles, l'ingénierie sociale exploite avant tout le facteur "humain", et non la faille informatique (même si les deux peuvent être combinés) : déduction de mots de passe sur la base d'informations recueillies sur les réseaux sociaux, mise en confiance de la victime à des fins de manipulation, l'ingénierie sociale a plusieurs facettes. Voici un état des lieux sur cette nouvelle composante de la cybercriminalité, dont la croissance et corrélée à celle outils du web 2.0.
L'ingénierie sociale : une menace croissante qui exploite le facteur humain
Dans le cadre de la 15e édition de son rapport annuel sur l'analyse de l'activité cybercriminelle, Symantec a tiré la sonnette d'alarme, en début d'année, sur la sophistication croissante des techniques cybercriminelles héritées de "l'ingénierie sociale". Avec pour conséquences, la multiplication de cas d'usurpation d'identité, entraînant notamment des pertes de données sensibles dans les entreprise. Peu coûteuses à mettre en oeuvre -car ne nécessitant pas d'investissement particulier-, les méthodes d'ingénierie sociale s'épanouissent dans une période de crise économique où les cybercriminels cherchent avant tout à assurer le ROI de leurs activités... Ce procédé ingénieux est assez éloigné des prouesses auxquelles se livrent habituellement les hackers : contrairement aux méthodes d'infiltration plus complexes qui s'appuient sur la manipulation du code informatique, l'ingénierie sociale repose avant tout sur le "facteur humain"... Et notamment sur l'intuition (ex : deviner des mots de passe) et/ou sur des scénarios destinés à gagner la confiance d'un utilisateur : soit pour l'inciter à exécuter un programme malveillant, à divulguer des informations sensibles, ou simplement pour usurper son identité.
Les attaques utilisant l'ingénierie sociale ciblent de plus en plus les entreprises
Le rapport annuel de Symantec souligne surtout que les cybercriminels se tournent de plus en plus vers les entreprises. Notamment compromettre la propriété intellectuelle (PI) attachée aux projets qu'elles mettent en oeuvrent. Les mails sont bien sûr toujours des portes d'entrée privilégiées : en début d'année, le cheval de Troie baptisé "Hydraq" et qui est toujours actif, utilise des e-mails d'ingénierie sociale ciblés à un individu ou un petit groupe de collaborateurs pour infecter les machines. Si le pirate réussit à duper l'utilisateur via son mail d'apparence légitime -c'est à dire s'il parvient à lui faire ouvrir un lien ou une pièce jointe- Hydraq peut alors infecter la machine et permettre au pirate d'en prendre le contrôle à distance.
Un phénomène corrélé à la croissance des réseaux sociaux
Plus intéressant, le rapport de Symantec révèle que les pirates exploitent l'abondance d'informations personnelles disponibles sur les sites de réseaux sociaux pour cibler leurs attaques sur les individus clés au sein des entreprises visées. La corrélation entre ingénierie sociale et croissance des réseaux sociaux est donc notable, un fait confirmé récemment par un nouveau rapport publié par Symantec.
"L'affaire" Hacker Croll et l'usurpation d'identité sur les réseaux sociaux
L'affaire "Hacker Croll" illustre la manière dont les techniques d'ingénierie sociale peuvent permettre d'infiltrer des réseaux sociaux, en l'occurrence Twitter. En début d'année, un français de 25 ans, a réussi -sans aucune connaissances informatiques particulières -plusieurs "exploits" : entre autres, usurper les comptes Twitter de célébrités comme Barack Obama et Britney Spears, et surtout, s'introduire dans les boîtes mails des employés de la plateforme de microblogging pour subtiliser des documents confidentiels concernant l'avenir de la société. Il s'est notamment appuyé sur les fonctionnalités de "récupération" des accès et mots de passe des comptes mails Yahoo ! et Google des employés de Twitter pour en prendre le contrôle. Une attaque via les webmails personnels des employés qui posent nécessairement la question de leur utilisation mixte (travail/usage personnel) dans l'entreprise.
"Apprendre à déjouer les techniques d'ingénierie sociale"
Une étude de cas publiée en début d'année par le BMV Engineering College, une université indienne, résume les nouveaux défis posés par les techniques d'ingénierie sociale à la sécurité informatique : selon les auteurs, "c'est l'une des menaces les plus sérieuses pour les réseaux informatiques sécurisés. Les techniques et la philosophie sous-jacentes sont très anciennes, comme l'illustre l'histoire du Cheval de Troie dans la mythologie grecque. C'est un type d'attaque très performant dans la mesure où aucun logiciel ni matériel ne permet de s'en défendre efficacement. L'ingénierie sociale a à voir avec la psychologie, et c'est donc les utilisateurs qui doivent apprendre à démasquer et déjouer ses techniques".
BitDefender alerte contre la confiance trop facilement gagnée sur les réseaux sociaux
L'aspect "psychologique" est donc au coeur des attaques employant l'ingénierie sociale. L'éditeur de logiciels de sécurité a en effet récemment apporté la preuve de la confiance "trop facilement gagnée auprès des utilisateurs" sur les réseaux sociaux, et les risques de fuite de données qui en sont la conséquence directe, à l'occasion d'une étude réalisée auprès de 2000 usagers réguliers de plateformes communautaires. Le test réalisé par BitDefender a consisté à soumettre une "friend request" aux "testeurs", puis de déterminer ensuite le type de détails qu'ils révélaient. Le résultat est très surprenant puisqu'il montre que 86% des usagers ayant accepté la demande de l'amie "test" (une femme) travaillent dans l'industrie informatique, dont 31% plus particulièrement dans la sécurité informatique. La raison invoquée pour accepter la demande : "le joli visage" de l'amie test, pour 53% des personnes interrogées. Selon le test, après une demi-heure d'utilisation des réseaux sociaux, 10% des utilisateurs ayant accepté la demande d'amie commencent à communiquer des informations personnelles comme leur adresse et numéro de téléphone. Deux heures plus tard, 73% d'entre eux "fuitent" un certain nombre d'information de nature confidentielle : sur leur lieu de travail, la stratégie d'entreprise, ou encore sur des logiciels ou produits technologiques encore non commercialisés.
96% des employés victimes de l'ingénierie sociale, dans un test réalisé par Defcon
Un autre test réalisé à l'occasion de la conférence Defcon en juillet dernier a permis d'évaluer le risque de divulgation d'informations par les collaborateurs de l'entreprise soumis à des procédés d'ingénierie sociale : 135 employés, issus de 17 grandes entreprises, dont Coca-Cola, Ford, Pepsi, Cisco, Wal-Mart, ont été testés dans le cadre de ce "concours de piratage". Les résultats sont édifiants, puisque 96% d'entre eux, démarchés par téléphone ou par mail, ont divulgué des informations considérées comme "sensibles" : version du système d'exploitation, logiciels antivirus et navigateurs utilisés dans l'entreprise, etc. L'une des techniques pour mettre en oeuve cette supercherie consistait pour les pirates à se faire passer pour des auditeurs ou des consultants. Anecdote ou fait notable : les 5 employés ayant refusé de partager des informations étaient toutes des femmes.
En savoir plus
Cybercriminalité : les attaques utilisant l'ingénierie sociale augmentent, selon Symantec
"Case Study on Social Engineering Techniques for Persuasion", BVM Engineering College"
Emails et réseaux sociaux : champions de la fuite de données
Publié par
CommentCaMarche -
Dernière mise à jour le 23 septembre 2010 à 13:16 par chat_teigne
Applications malveillantes, trojans, failles, vulnérabilités, négligence des utilisateurs : les incidents et problèmes de sécurité affectant les plateformes mobiles se sont multipliés ces derniers mois. Si tous les smartphones ne sont pas touchés de la même façon, ils constituent