Nous conduisons régulièrement des pentests d’ingénierie sociale pour nos clients. Nos pentesters (experts en cybersécurité) ont testé différentes techniques, différents scénarios et prétextes.
Nous avons tiré des leçons de notre expérience, et nos clients nous ont fait part ce qu’ils ont appris également ; ce que nous vous partageons ci-dessous.
L’ingénierie sociale en bref
Avant de commencer, prenons un instant pour rappeler ce qu’est l’ingénierie sociale :
L’ingénierie sociale (ou social engineering) consiste à manipuler les personnes afin d’obtenir des informations sensibles ou à leur faire faire des actions pouvant mener à des incidents de sécurité.
La plupart du temps, les personnes ne remarquent pas qu’elles ont été manipulées, ou lorsqu’elles s’en rendent compte, il est trop tard : les informations ont été données, l’accès a été obtenu, etc.
Les attaques d’ingénierie sociale exploitent les ressorts du comportement humain pour atteindre les objectifs des attaquants, qui peuvent varier :
- voler des informations confidentielles,
- accéder au système informatique,
- prendre le contrôle de serveurs,
- déclencher des flux financiers à leurs bénéfices,
- etc.
Les attaques menées durant l’audit de sécurité d’ingénierie sociale
Pour être efficace, des scénarios sont créés selon chaque contexte. Les attaques d’ingénierie sociale mettent au défi la sensibilisation des équipes aux risques sécurité par des scénarios réalistes qui utilisent différentes techniques.
a/ Phishing (ou hameçonnage) – Spear phishing (hameçonnage ciblé)
Plus difficile à repérer qu’un supposé héritage ou qu’un prétendu gain au loto, les phishing actuels semblent venir d’un collègue travaillant au sein de l’entreprise, d’un fournisseur de confiance, etc.
Une tendance actuelle est de créer un faux historique d’échange de mails entre des membres de l’entreprise ciblée, historique qui est ensuite envoyé à un troisième salarié. Cet email peut soit demander directement une action (par exemple « Merci de régler cette facture dès que possible ») ou bien éveiller la curiosité avec un document (« Information sur les primes annuelles »), qui contiendra un malware.
➔ Du point de vue de nos clients : le phishing peut prendre de multiples formes et est de nos jours plus difficile à identifier qu’auparavant. Les équipes doivent rester méfiantes vis-à-vis de tout ce qui dévie des procédures.
La dangerosité des attaques de phishing est souvent sous-estimée : elles peuvent être très (trop) efficaces pour gagner l’accès au système informatique ou pour collecter des informations confidentielles
➔ De notre point de vue de hacker éthique : La plupart des salariés ne tombent pas dans le piège du phishing, mais il suffit d’une personne pour que l’attaque soit réussie. Cet article vous donne les clés pour détecter les emails suspects.
b/ Vishing (voice phishing) – Attaques téléphoniques
Comme pour le phishing, les scénarios d’attaques téléphoniques sont adaptés à chaque situation. La créativité des attaquants est la limite des attaques.
Une attaque classique est d’appeler les salariés en se faisant passer pour quelqu’un du service informatique. L’attaquant explique que, suite à la mise en place d’un service de connexion plus sécurisé, les cibles doivent leur donner leurs mots de passe pour que le service informatique puisse leur créer un nouveau compte, sinon ils ne pourront plus accéder à ce service [un service important pour la cible].
➔ Du point de vue de nos clients : Afin d’empêcher les attaques téléphoniques, il faut rappeler qu’il ne faut jamais donner d’informations sensibles par téléphone. Dans le cas d’un appel suspect, il est recommandé de demander à rappeler l’interlocuteur dans 2 minutes ou bien de poser des questions pour être sûr de la personne que l’on a au bout du fil.
➔ De notre point de vue de hacker éthique : Le vishing permet (probablement) de préparer la cible à recevoir un email suspect qu’elle n’aurait pas ouvert en temps normal. Un appel établit un lien de confiance, sur lequel s’appuie l’attaquant.
c/ Combiner le vishing, le phishing, l’usurpation d’identité et d’email
Les techniques d’ingénierie sociale sont plus efficaces lorsqu’elles sont combinées. Pour sensibiliser le personnel, il est intéressant de conduire des campagnes avec des scénarios réalistes qui combinent différentes techniques d’ingénierie sociale, afin de durcir l’attaque et d’en compliquer sa détection
Après avoir collecté des informations sur une entreprise, un scénario pertinent pourrait être :
- L’attaquant appelle la réception en prétendant être un client potentiel.
- La réception transfère l’appel à un commercial. L’attaquant demande l’adresse email du commercial pour lui envoyer un faux cahier des charges.
- L’attaquant envoie un email avec le cahier des charges contenant un malware qui infecte l’ordinateur du commercial lorsqu’il télécharge le document.
- L’attaquant gagne l’accès du réseau de l’entreprise. Le commercial réalise avoir été piraté, mais préfère de ne pas déclarer l’incident pour éviter une honte publique.
- L’attaquant usurpe l’email du commercial pour envoyer un mail au service financier, leur demandant de régler rapidement une facture pour réserver le vol et les tickets d’entrée pour un salon.
- La pièce jointe contient un malware qui infecte l’ordinateur du responsable financier. L’attaquant obtient l’accès à des informations extrêmement confidentielles.
- Éventuellement, la facture sera même payée à l’attaquant.
➔ Du point de vue de nos clients : Empêcher les attaques élaborées d’ingénierie sociale demande une forte collaboration entre toutes les personnes de l’entreprise (la direction, les managers/cadres et les équipes). Il est également important de créer une culture d’entreprise où l’on ne craint pas de dire que l’on a été piégé. C’est la condition première pour permettre à l’entreprise de répondre rapidement à un incident de sécurité.
➔ De notre point de vue de hacker éthique : Au fur et à mesure que les systèmes d’informations des entreprises se sécurisent, l’ingénierie sociale devient plus pertinente pour les attaquants. Certaines attaques sont presque impossibles à détecter à moins que les employés aient régulièrement des campagnes de sensibilisation afin qu’ils gardent leurs réflexes et pour connaître les tendances d’attaques actuelles.
Le pentest d’ingénierie sociale peut être adapté à différents objectifs, différents types d’entreprises et différentes spécificités d’organisation interne.
En plus de l’aspect mesure du risque, ce type d’audit permet de maximiser le transfert de connaissances auprès des salariés de l’entreprise. En effet, voir les ‘conséquences’ des attaques qui ont fonctionné est marquant. La plupart des personnes ne retomberont pas dans les mêmes pièges lorsqu’elles seront de nouveau confrontées aux menaces, car l’impact psychologique est plus fort qu’avec une formation classique sur les risques.
