Au fil des années, les attaques d’ingénierie sociale sont devenues une réalité pour toutes les entreprises, quel que soit leur secteur d’activité ou leur taille.
En effet, au-delà des vulnérabilités techniques souvent exploitées pour obtenir un accès non autorisé aux données et aux systèmes, la porte d’entrée favorite des attaquants reste les collaborateurs d’une entreprise et ce, la plupart du temps via des attaques de phishing.
Selon une étude publiée sur l’impact des attaques de phishing : en 2021, 22 % des violations de données signalées seraient parties d’un email de phishing. De plus, le rapport 2021 « Cost of a Data Breach » du Ponemon Institute a révélé que le coût moyen d’une violation de données est d’environ 150 dollars par enregistrement compromis, pour un coût total de 3,86 millions de dollars par violation. Par ailleurs, une seule attaque de spear phishing coûterait environ 1,6 million de dollars .
Au regard des conséquences financières désastreuses pour les entreprises qui subissent ces attaques, cette composante critique de la sécurité des systèmes, le facteur humain donc, ne doit pas être négligée. Les DSI, RSSI et CTO doivent donc se saisir du sujet et sensibiliser tous les collaborateurs, en réalisant des audits d’ingénierie sociale, car la cybersécurité est l’affaire de tous.
En quoi consiste un audit d’ingénierie sociale ?
Pour une équipe en charge de la cybersécurité, il est souvent plus difficile de faire évoluer les comportements humains que d’implémenter des protections techniques, par ailleurs indispensables. Cependant, il est bien plus facile pour des attaquants novices ou expérimentés d’exploiter les failles humaines que de réaliser des attaques « techniques » sophistiquées sur les systèmes d’information.
Sensibiliser les collaborateurs aux risques d’emails frauduleux, en apparence légitime (via usurpation d’identité), pouvant contenir des liens ou des pièces jointes avec des malwares, etc. est donc indispensable pour contrer efficacement les attaques. Les formations, les réunions d’équipes, les campagnes d’information et les chartes cybersécurité, par ailleurs indispensables, servent cet objectif. Néanmoins, la solution la plus adaptée reste l’audit d’ingénierie sociale.
Un audit d’ingénierie sociale consiste à évaluer les comportements des collaborateurs d’une entreprise face aux cyberattaques. Dans la pratique, il s’agit de tester leurs réactions face à différents types d’attaques (phishing, vishing, clones d’interfaces, intrusions physiques, etc.), afin de mesurer leur niveau de vigilance et de vérifier le respect des bonnes pratiques de sécurité.
De plus, ce type d’audit permet de maximiser le partage de connaissances et le transfert de compétences sur les mesures à implémenter et les postures à adopter pour se défendre contre des attaques courantes et des menaces plus sophistiquées. En effet, connaitre et comprendre les conséquences potentielles d’une attaque réussie est marquant, surtout pour les personnes qui auraient mordu à l’hameçon. On observe effectivement chez ces derniers des comportements plus vigilants face à tout type de menace similaire.
Enfin, un audit d’ingénierie sociale peut être adapté à divers objectifs et organisations, en fonction des risques spécifiques préalablement identifiés. Mais avant de revenir sur cette question centrale, quelques précisons sur les principales attaques d’ingénierie sociale.
Quelles sont les principales attaques d’ingénierie sociale ?
Il serait possible d’écrire tout un article dédié aux attaques d’ingénierie sociale. Sur ce point, celui-ci ne vise pas l’exhaustivité. L’objectif ici est d’en donner un aperçu plutôt complet avant de présenter, sans rien omettre, toutes les étapes pour réaliser une campagne d’ingénierie sociale.
Attaques par phishing et spear phishing
Sûrement les plus connues, les plus redoutables et les plus utilisées : les attaques via emails de phishing et de spear phishing.
En effet, on peut distinguer le phishing « standard » (ou hameçonnage) du spear phishing (phishing ciblé ou harponnage). Une attaque par phishing cible généralement un nombre élevé de personnes à la différence du spear phishing qui vise seulement un échantillon, voire une personne en particulier, avec la plupart du temps des scénarios plus élaborés.
Dans les deux cas, les objectifs d’un attaquant sont clairs : tromper la vigilance d’au moins un collaborateur pour le pousser au clic sur un lien, au téléchargement d’une pièce jointe ou à la diffusion d’une information sensible. Il s’agit donc ici de tirer profit d’une méconnaissance des risques ou d’un manque d’application des procédures sécurité pour obtenir un accès aux données ou systèmes de l’entreprise.
Pour ce faire, les attaques par phishing et spear phishing les plus efficaces :
- S’appuient sur une ou plusieurs usurpation(s) d’identité (personnes et marque).
- Glaner des informations sur le site web, les réseaux sociaux et autres publications de l’entreprise avant de lancer une attaque (on parle de « reconnaissance » dans le jargon cyber), s’avère très utile pour un attaquant. En effet, avoir des informations de tout type sur les personnes aux postes clés (pour usurper leur identité), connaitre les process internes et les chaînes de validation, ou, encore mieux, disposer de documents d’architecture (pour construire un scénario crédible), etc. permet d’optimiser les chances de réussite d’une attaque.
- Réserver un nom de domaine le plus proche possible de celui de l’entreprise cible, comme ingenierie-social.com au lieu de ingenierie-sociale.com. En effet, cette pratique très répandue, permet de renforcer la crédibilité d’une demande ou d’une exigence par email et ainsi d’abuser plus facilement de la crédulité des personnes ciblées.
- Intègrent des liens ou des pièces jointes.
- Rediriger vers un clone d’interface (généralement une page d’authentification) pour demander la réinitialisation d’un mot de passe ou un clone d’application (pour demander tout type d’information comme des coordonnées bancaires par exemple) via un lien, en apparence crédible, permet encore plus d’augmenter les chances de succès d’une attaque.
- Concevoir un malware ou un ransomware s’exécutant sur un poste de travail suite au téléchargement d’une pièce jointe permet à un attaquant de parvenir facilement à ses fins : paralyser le système d’information d’une entreprise (pour une demande de rançon), ou tout simplement obtenir un accès.
- Reposent sur les ressorts psychologiques humains. En effet, avec de grandes compétences sociales, et seulement un zeste de compétences techniques, on peut réaliser les plus importantes cyberattaques.
Nous avons dit les plus efficaces, mais très souvent les scénarios les plus basiques ont également des résultats probants. En effet, pourquoi faire des scénarios élaborés, alors qu’il suffit de parler d’une nouvelle politique de congés, d’une campagne d’augmentations de salaires ou de tout simplement proposer un jeu concours avec un iPhone garanti à la clé ». Ces scénarios fonctionnent encore trop souvent. C’est pourquoi la sensibilisation des collaborateurs aux risques d’ingénierie sociale est essentielle.
Attaques par vishing (voice phishing ou attaques téléphoniques)
Les attaques de vishing sont réalisées via des appels téléphoniques. Ici les compétences sociales, notamment relationnelles, sont de mise. En effet, il s’agit pour un attaquant de contacter de vive voix une personne cible pour obtenir des informations ou pour solliciter la réalisation d’une action spécifique (paiement d’une facture, recueil d’informations dans le cadre d’une reconnaissance – mots de passe et autres, etc.).
De fait, les attaques par vishing ne ciblent généralement pas un nombre élevé de personnes. Cependant, avec des moyens humains importants côté assaillants, il est possible de lancer des campagnes d’appels frauduleux visant une seule entreprise.
Autre particularité des attaques par vishing, notamment les plus élaborées et les plus redoutables : elles reposent sur le spoofing de numéro de téléphone. La plupart du temps, les appels semblent provenir d’un contact clé dans la hiérarchie verticale (un responsable) ou horizontale (un collègue donc) ou encore d’un fournisseur référencé. Cela permet de renforcer la crédibilité d’une requête spécifique donc des chances de réussite d’une attaque.
Attaques par SMShing (phishing via SMS)
Les attaques par SMShing sont similaires aux attaques de phishing, à la seule différence qu’elles sont réalisées via SMS.
Intrusions physiques
Les intrusions physiques sont plus rares. En effet, elles sont moins répandues vu les efforts qu’elles demandent à un attaquant. Elles restent néanmoins particulièrement efficaces.
Dans ce cas de figure, il s’agit pour un attaquant d’accéder « physiquement » aux locaux d’une entreprise. Pour se faire, il peut se faire passer pour un visiteur légitime (client, candidat, prestataire, fournisseur, artisan, etc.) dans l’objectif d’accéder au réseau interne via un Wi-Fi Guest, un poste de travail non verrouillé ou une prise Ethernet par exemple.
Par ailleurs, le vol d’une machine, d’un équipement, d’un poste de travail, de documents confidentiels ou l’accès à une salle serveurs peuvent servir de motivation à une intrusion physique.
L’intrusion physique peut également reposer sur le dépôt de devices piégés dans l’entreprise, comme et surtout des clés USB contenant des malwares. La plupart du temps, ce type d’attaque ne requiert pas un accès aux locaux de l’entreprise cible, les appâts pouvant être déposés à des endroits stratégiques (parking, portes, etc.).
Comment réaliser un audit d’ingénierie sociale ?
Réaliser un audit d’ingénierie sociale implique une préparation en plusieurs étapes essentielles. De l’analyse des risques, à la définition des cibles et choix de l’approche, nous vous expliciterons tous les éléments à prendre en considération pour construire et exécuter des scénarios d’attaque adaptés à vos enjeux.
Analyser les risques d’ingénierie sociale inhérents à votre activité et votre organisation
La première étape pour réaliser une campagne d’ingénierie sociale consiste à identifier les principaux risques et les menaces inhérentes à l’activité ou à l’organisation de l’entreprise.
Cette analyse doit surtout tenir compte du secteur d’activité, des process et ressources critiques, indispensables à la bonne tenue de l’activité de l’entreprise. Ensuite, considérant tous ces aspects, il s’agira d’identifier tous les risques pouvant nuire aux objectifs de confidentialité, d’intégrité, de disponibilité et de traçabilité, mantra de tout responsable cybersécurité.
Ainsi, selon le secteur et le type d’organisation, une entreprise peut faire face à différentes menaces d’ingénierie sociale :
- Détournement de fonds
- Accès non autorisé au système d’information
- Prise de contrôle de machines ou d’applications
- Accès à des données et documents sensibles
- Paralysie du système d’information et de l’activité
Cette analyse des risques facilitera la définition des cibles des tests d’ingénierie sociale (tous les collaborateurs ou seulement un échantillon), le choix de l’approche (boite noire ou boite grise) et des techniques et scénarios d’attaques (vishing, tentatives de déclencher un virement frauduleux, phishing, envoi de malwares, clones d’interfaces, etc.).
Définir les cibles des tests d’ingénierie sociale
Généralement, un audit d’ingénierie sociale englobe tous les effectifs d’une entreprise. Cependant certaines personnes ou groupes de collaborateurs, au regard de leurs fonctions et rôles dans le système d’information, peuvent faire l’objet d’une attention particulière. En effet, certains risques impliquent tous les collaborateurs :
- Accès au système d’information : l’objectif du point de vue d’un attaquant sera de trouver une porte d’entrée, via au moins une personne. Pour ce faire, la stratégie la plus courante consiste à cibler tous les effectifs avec des attaques de phishing via l’envoi de malwares ou l’utilisation de clones d’interfaces.
- Paralysie du système d’information : dans ce cas de figure, généralement via des attaques de phishing, il suffit pour un attaquant qu’une personne exécute un malware pour parvenir à ses fins.
Cependant, d’autres risques concernent des groupes d’effectifs plus spécifiques :
- Détournement de fonds : ici, la stratégie d’un attaquant sera de cibler des personnes habilitées, dans la majorité des cas la fonction comptabilité-finance, pour obtenir le règlement d’une facture frauduleuse par exemple. Dans ce cas de figure, la technique vishing couplée à des attaques de phishing fait souvent l’affaire.
- Accès à des données et documents sensibles : pour un attaquant, obtenir certaines informations sensibles (documents d’architecture, données financières, etc.) implique de cibler des personnes aux postes clés (direction générale, DAF, DSI). Pour ce faire, les attaques les plus courantes sont également le phishing, le vishing et, pour les attaquants les plus « irréductibles » l’intrusion physique.
Définir la ou les cible(s) d’un audit d’ingénierie sociale est une étape déterminante : faut-il évaluer le comportement face à certaines attaques de tous les collaborateurs, un groupe d’effectifs ou seulement une personne ?
Pour tester différentes techniques d’attaques, ainsi que des scénarios plus élaborés, il est recommandé de cibler certains groupes spécifiques, même s’il est également possible de procéder par échantillonnage en tenant comptes de l’échelle des enjeux. Ainsi, l’approche retenue pour l’audit d’ingénierie sociale (simuler une attaque externe – boite noire – ou la menace interne – boite grise) facilitera la définition des cibles, le choix des techniques et la construction des scénarios d’attaque.
Réaliser un audit d’ingénierie sociale en boite noire ou en boite grise
Un audit d’ingénierie sociale peut être réalisé via deux approches : boite noire ou boite grise. En boite noire, l’équipe en charge de l’audit s’appuiera uniquement sur les informations open source concernant l’entreprise cible pour construire les scénarios d’attaque car il s’agit de simuler une menace externe.
Cette approche repose sur une phase de reconnaissance approfondie, permettant de collecter tout type d’information sur l’entreprise : taille des effectifs, organigramme (personnes aux postes clés), coordonnées (emails, numéros de téléphone), localisation, etc. Une bonne reconnaissance s’attarde également sur la recherche d’informations relatives aux logiciels et applications utilisées, adresses IP, technologies et composants de l’infrastructure du système d’information.
En boite grise, l’équipe chargée de réaliser l’audit aura accès à un niveau d’information plus élevé pour concevoir les scénarios d’attaque. En effet, il s’agit ici de simuler tout type de menace, incluant celles provenant d’un collaborateur ou d’un ex salarié de l’entreprise.
Dans ce cas de figure, les scénarios sont généralement plus élaborés. Et même si cette approche s’éloigne de la réalité des attaques d’ingénierie sociale, elle permet néanmoins une meilleure sensibilisation de tous les groupes d’effectifs.
De fait, un audit en boite grise implique de recueillir des informations auprès du commanditaire de l’audit, du moins si les tests sont confiés à un tiers : liste complète des noms, prénoms, fonctions et coordonnées, détails internes du fonctionnement de certaines équipes, informations précises concernant les outils internes et les technologies utilisées, etc.
Ainsi, le choix entre une approche en boite noire ou en boite grise dépend encore et toujours des objectifs et des risques inhérents à l’activité de l’entreprise :
- Pour être au plus proche d’une attaque réelle ou sensibiliser aux menaces les plus courantes, un audit en boite noire sera plus adapté.
- Pour s’assurer d’exposer tous les effectifs aux tests d’ingénierie sociale avec des scénarios divers, un audit en boite grise sera plus approprié.
- Pour les entreprises avec un turn-over élevé, il est également plus judicieux de choisir une approche en boite grise.
Construire et exécuter les scénarios d’attaque
La phase de construction des scénarios d’attaque est une phase clé de l’audit d’ingénierie sociale. Elle résultera des risques identifiés, des cibles définies et de l’approche retenue pour les tests. Revenons sur toutes ces étapes avec quelques informations complémentaires ainsi que des pistes pour réaliser des scénarios adaptés aux enjeux et risques identifiés.
Simulation d’attaque externe en boite noire
Dans le cadre d’un audit en boite noire, l’objectif sera d’identifier les failles les plus critiques pour sensibiliser une personne ou un groupe de collaborateurs aux risques d’ingénierie sociale les plus courants.
Pour ce faire, la conception d’un scénario d’attaque crédible est nécessaire. Ici, l’équipe en charge de l’audit d’ingénierie sociale, dans la peau d’un attaquant externe, construit généralement des scénarios qui s’appuient sur des interactions avec une personne externe à l’entreprise (un avatar créé de toute pièce : candidat en recherche d’emploi, prestataire, prospect, etc.). En effet, dans ce cas de figure, usurper l’identité de collaborateurs de l’entreprise est plus difficile (mais pas impossible) étant donné le faible niveau de connaissance « supposé » de l’organisation lors d’une attaque externe.
Évaluation de la menace interne en boite grise
Dans le cadre d’un audit en boite grise, l’objectif sera de sensibiliser tout ou partie des collaborateurs à différents types de menaces.
Pour ce faire, la réalisation de scénarios d’attaque plus sophistiqués est indispensable. Des scénarios standards peuvent également être conçus pour évaluer les risques. Ici, l’équipe chargée de l’audit, dans la peau d’un attaquant interne ou d’un complice – avec donc un niveau élevé d’information -, construit généralement des scénarios très élaborés, en lien avec l’actualité interne, ou reposant sur des usurpations d’identité fiables.
Choix des techniques d’attaque
Le choix des techniques d’attaque dépend généralement des scénarios retenus ou de l’objectif de l’audit d’ingénierie sociale, s’il est notamment question d’exposer les cibles à diverses attaques.
Les attaques par phishing étant les plus courantes, elles doivent être le choix premier. Pour en renforcer la crédibilité et augmenter les chances de succès, le phishing ciblé (spear phishing), intégrant des liens vers des clones d’interfaces ou des malwares en pièces jointes, doit être fortement envisagé.
Cependant, pour évaluer tous les risques et sensibiliser en conséquence sur les menaces externes, des attaques de vishing peuvent être réalisées. De plus, compte tenu de l’organisation de l’entreprise et de la criticité de certains process ou ressources, des techniques d’intrusion physique devront être considérées.
Internalisation ou externalisation de l’audit
Il existe des applications SaaS permettant de configurer et lancer des campagnes de phishing. Ces outils s’appuient sur différentes fonctionnalités pour gérer les envois d’emails, suivre les ouvertures et les clics sur des liens ou des téléchargements de pièces jointes. L’implémentation de ce type d’outil de gestion de campagnes d’ingénierie sociale est donc une option, le recours à une société spécialisée en sécurité offensive en est une autre.
Comment exploiter les résultats d’un audit d’ingénierie sociale ?
Tout audit d’ingénierie sociale, au-delà de la réussite ou non des attaques, doit fournir des indicateurs sur les comportements des collaborateurs cible à un instant T, permettre d’en mesurer l’évolution dans le temps et d’implémenter des mesures adaptées.
Quels sont les indicateurs clés suite à une campagne de phishing ?
- Ouverture d’emails : Cet indicateur est peu fiable car lire un email ne présente aucun risque si aucune autre action n’est réalisée par la suite.
- Clic sur un lien ou une pièce jointe : Cet indicateur est fiable et remonte une information très importante à prendre en compte. Même si l’utilisateur ne renseigne pas ses identifiants ou n’exécute pas un fichier, un clic reste un comportement à risque qui doit être adresser via une mesure de prévention appropriée.
- Action à risque (entrer ses identifiants ou exécuter une payload) : Cet indicateur est la donnée clé. Il constitue la preuve d’une faille critique ou importante et donc d’un manque de sensibilisation aux risques des personnes ayant mordu à l’hameçon. Il s’agit de fait de l’indicateur capital dans le cadre d’un audit d’ingénierie sociale.
- Reporting de l’attaque : Cet indicateur est également des plus importants car il donne des enseignements sur la capacité des utilisateurs à partager des informations sur leur succès d’identification d’une attaque sans être tombés dans le piège ou pas, ce qui dans tous les cas permet de protéger l’entreprise. En effet, plus les personnes ciblées signalent les attaques, plus elles participent à la diffusion d’une culture cybersécurité au sein de leur entreprise.
Par ailleurs, il est particulièrement recommandé d’associer l’indicateur de reporting à celui des actions à risque, car une personne victime d’une attaque qui donne l’alerte permet à l’entreprise de réagir rapidement et efficacement.
Réaliser un audit d’ingénierie sociale avec Vaadata, entreprise spécialisée en sécurité offensive
Comme indiqué auparavant, il existe des outils permettant de réaliser des campagnes de phishing, à partir de scénarios préconstruits adaptables aux besoins et spécificités d’une entreprise.
Toutefois, une autre approche plus réaliste consiste à faire appel à une société spécialisée en sécurité offensive pour réaliser un audit d’ingénierie sociale. D’un côté, cela permet non seulement une évaluation plus fine de la menace externe (boite noire), mais également une meilleure sensibilisation de différents groupes de collaborateurs (boite grise) via des scénarios ciblés.
De l’autre, l’expérience des pentesters permet de réaliser des scénarios adaptés à tout type de secteur d’activité et d’organisation d’entreprise. De plus, sur le plan technique, les pentesters s’appuient sur leurs compétences d’attaquants « éthiques » pour construire, en toute autonomie, des scénarios crédibles intégrant des clones d’interface soignés ou des malwares sophistiqués.
Enfin, un rapport complet est réalisé suite à un audit d’ingénierie sociale. Ce livrable précieux permet de présenter les résultats anonymisés et de souligner les faiblesses organisationnelles ou des besoins de prévention et de sensibilisation.
Contactez-nous pour toute question relative à un projet d’audit d’ingénierie sociale. Nous échangerons sur vos besoins et vous proposerons une intervention adaptée à vos enjeux.