le social engineering via des attaques en phishing

En deux mots : le grand méchant loup peut tout à fait se cacher derrière un masque de mère-grand et si vous n’y prenez pas garde, votre pot de beurre pourrait bien y passer. Morale de l’histoire : on ne donne pas des informations vitales ou confidentielles à qui que ce soit sans s’assurer de son identité.

l’ingénierie sociale en deux mots

« Dans le cas d’une attaque via l’ingénierie sociale, l’attaquant utilise les interactions humaines pour obtenir ou compromettre des informations au sujet d’une entreprise ou de son SI. Il ou elle semblera détaché(e) et respectable, certainement en affichant la tête du nouvel employé, balayeur ou enquêteur (voire même en donnant des preuves de son identité). Ainsi, en posant des questions et en récoltant des informations, le puzzle du SI sera bientôt complet et ce dernier infiltré. » (source)

Je ne peux aborder le thème de l'ingénierie sociale sans vous renvoyer vers l'article de Cedric qui vous parlera d'outils, de stratégies mais aussi du futur de cette discipline...

mise en pratique avec le phishing

Le phishing est une forme d’ingénierie sociale : l’attaquant se fait passer pour une source crédible et demande des informations confidentielles. Les exemples sur ce blog pullulent (via des factures, des réseaux sociaux, pop-up, etc.) où l’attaquant demande des informations qu’il utilise ensuite pour avoir accès à tel ou tel système.

Un truc assez redondant est l’utilisation de l’actualité pour mieux se faire passer pour autrui : quoi de mieux qu’un ouragan pour se faire passer pour une association humanitaire par exemple ? ou alors une période économique tendue pour demander un identifiant bancaire ?

comment se protéger ?

Le concept général est d’arriver à démasquer l’attaquant suffisamment tôt et d’avoir la puce à l’oreille : dès qu’on demande des informations sensibles, on doit être sur ses gardes (si on vous demande votre téléphone dans la rue, vous le tendez immédiatement ? ici c’est pareil).

Quelques astuces simples et utilisables un peu partout :

  1. vérifier l’identité de celui-ci : son adresse email par exemple (ou solliciter l’annuaire interne de l’entreprise : celui-ci ne peut pas être usurpé aussi facilement qu'une adresse email)
  2. vérifier que les éventuels hyperliens sont légitimes (pour les URLs raccourcies, il existe tout un tas d’outils gratuits pour ça sur le Web)
  3. vérifier le degré de sécurité d’un site Internet (y a-t-il un https par exemple ?)

conclusion

Bien entendu, un attaquant ne va pas (uniquement) s’attaquer au grand manitou qui a tous les accès en mode administrateur. Les « n-1 » et les autres auront eux-aussi des morceaux du puzzle… donc, une seule solution : la prévention !

On pourrait aussi parler des outils (au hasard les plug-ins de navigateurs) mais rien ne vaut une bonne part de sensibilisation non ? ;-)

Rémi

crédit photo : © Štěpán Kápl - Fotolia.com