Pentest social engineering

web_platform

Un pentest d’ingénierie sociale permet de tester les réflexes des collaborateurs d’une entreprise face aux cyber-attaques (phishing, clones, malwares, usurpations d’identité…).

picto_cible

L’objectif d’un pentest d’ingénierie sociale

L’ingénierie sociale consiste à manipuler l’humain pour obtenir des informations sensibles ou pour faire effectuer des actions pouvant entraîner un incident de sécurité. C’est un vecteur d’attaque redoutable, qui permet de contourner des protections techniques pourtant solides.

L’objectif d’un audit d’ingénierie sociale est double : évaluer les réflexes des collaborateurs, pour connaître le degré de vulnérabilité de l’entreprise, et sensibiliser les collaborateurs à ce type d’attaque, via des mises en situation concrètes capables de marquer les esprits.

Les objectifs spécifiques de ce type d’audit sont à définir en amont de l’audit :

  • Quels sont les principaux risques pour l’entreprise ? (threat modelling)
  • Souhaite-t-on privilégier une approche en boite noire (attaquant externe) ou en boite grise (attaquant interne ou s’appuyant un complice)
  • Dans le cas d’un audit en boite grise : Qui dans l’entreprise a accès à telle information ou tel privilège ? Quelles sont les catégories d’effectifs les plus à risque ?
  • Dans tous les cas : y a-t-il des restrictions spécifiques pour l’audit ? (vecteurs d’attaques ou catégories de scénarios à exclure)

Nous contacter

Déroulement d’un audit d’ingénierie sociale

La première étape consiste à définir les objectifs de l’audit : identification des risques, choix des cibles et des conditions. Toutes les conditions sont paramétrables selon les préférences du client : degré d’information transmis aux pentesters, droit de regard sur les scénarios, langues utilisées, envoi de messages pédagogiques à la suite des attaques, niveau de reporting …

Dans le cas d’un audit en boite noire, aucune information n’est transmise, et les pentesters conduisent l’audit de façon autonome sans informer le client du détail des attaques. Dans le cas d’un audit en boite grise, il faut prévoir du temps pour échanger des informations sur l’entreprise, valider les scénarios d’attaques construits par les pentesters, voire remonter des informations sur le déroulement de l’audit au fur et à mesure des attaques.

L’audit en lui-même repose sur une série d’étapes bien définie : reconnaissance, création des scénarios d’attaques, exécution des scénarios d’attaques, reporting.

Le pentest d’ingénierie sociale peut inclure des messages pédagogiques permettant de sensibiliser les cibles aux moyens de déjouer les attaques dont elles ont été victimes, ou être complété par une formation sur mesure.

Demander un devis

Les techniques d’ingénierie sociale

Le panel des techniques d’ingénierie sociale est vaste. Les attaques peuvent se faire par e-mail (phishing), téléphone ou intrusion physique. Elles reposent généralement sur un ensemble de différentes techniques mêlant des compétences IT et relationnelles : phishing et spear phishing, clones d’interfaces, malwares, devices piégés, usurpations d’identité, spoofing de numéros de téléphone, manipulation et persuasion, dumpster diving…

Tests de phishing et de spear-phishing

Le phishing, ou hameçonnage, est le type d’attaque le plus courant. Il est à la fois simple à mettre en place et potentiellement très efficace.

Il s’agit d’une attaque par email, qui peut être envoyé à un grand nombre de personnes (phishing) ou à un nombre de cibles beaucoup plus restreint (spear phishing). Les emails de phishing contiennent généralement des liens redirigeant le destinataire vers de fausses pages web (clones) ou des malwares pouvant être transmis sous forme de pièce-jointe ou de lien vers une plateforme de téléchargement.

Les emails de phishing les plus sophistiqués sont personnalisés pour être crédibles : situation réaliste pour les cibles de l’email, usurpation d’identité afin de se faire passer pour une personne de confiance, appel téléphonique accompagnant l’email afin de renforcer l’apparence légitime de la demande …

Un audit d’ingénierie sociale peut inclure différents scénarios de phishing, de difficultés progressives, afin d’entraîner les collaborateurs à détecter des menaces de plus en plus sophistiquées.

Tests de vishing

Le vishing (voice phishing) est l’équivalent téléphonique du phishing. Ce type d’attaque ne permet généralement pas de cibler un grand nombre de personnes, mais il peut permettre d’obtenir des informations sensibles que les victimes n’auraient pas accepté de communiquer par email (exemple : mots de passe).

Le principe de base est d’instaurer une relation de confiance, à travers la conversation. Cela nécessite pour l’attaquant des qualités d’écoute, d’argumentation et de persuasion. Les attaques les plus sophistiquées reposent sur de l’usurpation d’identité ainsi que le spoofing du numéro de la personne que l’attaquant prétend être.

Un audit d’ingénierie sociale peut inclure du vishing pour compléter les attaques par phishing. Cela permet de sensibiliser les collaborateurs à d’autres types de menaces, plus sournoises et plus difficiles à détecter. Les attaques par phishing et vishing représentent des menaces majeures car elles sont réalisables par un grand nombre d’attaquants dans la mesure où elles ne nécessitent pas de se rendre physiquement dans les locaux de l’entreprise ciblée.

hp_consulting_security

Tests d’intrusion physique

L’intrusion physique est une forme d’attaque encore plus sophistiquée, utilisée par un attaquant prêt à passer plus de temps et à prendre plus de risques pour cibler une entreprise.

Dans ce type d’attaque, le principe est de s’introduire dans l’entreprise en se faisant passer pour un visiteur légitime : technicien, prestataire, salarié … L’attaquant peut ensuite chercher à obtenir des informations confidentielles par différents moyens : vol de machines, connexion au réseau interne, distribution de clés USB infectées par un malware, manipulation de collaborateurs, accès à une salle serveurs …

Dans un audit de sécurité, les tests d’intrusion physiques peuvent permettre d’évaluer les systèmes d’accès physiques, les procédures de contrôle, le cloisonnement des informations, et les réflexes des collaborateurs face à un inconnu.

Sensibilisation des équipes

La valeur d’un audit d’ingénierie réside dans le fait de marquer les esprits afin de mieux sensibiliser aux risques. Présenter des résultats d’attaques réelles, avec des statistiques sur le comportement des collaborateurs, et l’impact concret des attaques « réussies », est le meilleur moyen de lever les doutes des personnes les plus réticentes aux procédures de sécurité.

Lors d’un audit d’ingénierie sociale, l’objectif de sensibilisation peut être atteint par plusieurs leviers :

  • La présentation des résultats de l’audit aux personnes concernées
  • L’envoi de messages explicatifs au fur et à mesure de l’audit, afin de renforcer le transfert de connaissance sur les risques
  • La formation post-audit permettant de sensibiliser aux problématiques spécifiques identifiées pendant l’audit de sécurité

L’expérience de Vaadata permet de constater que la sensibilisation est plus efficace lorsque les collaborateurs sont informés qu’un audit aura lieu (sans autre précision) dans un objectif d’entraînement, car les tests sont ensuite mieux acceptés par ceux qui en sont victimes.

Il est cependant possible de conduire des audits dans un strict objectif d’évaluation, en informant le moins de personnes possible dans l’entreprise, afin de ne pas biaiser les résultats.

Statistiques

83%

83% des professionnels de la sécurité de l’information ont eu des attaques de phishing, et 64% de spear phishing en 2018.
2019. State of the Phish. Proofpoint. (p. 10).

33%

33% des fuites de données incluent des attaques sociales.
2019 Data Breach Investigations Report. Verizon. (p. 5).

48%

48% des attaques avancées par email impliquaient de l’usurpation de marque ce trimestre.
Q3 2019. Email Fraud and Identity Deception Trends. Agari. (p. 17).

Notre offre de pentests

Nous couvrons un large scope technique, avec des tests spécifiques pour chaque type de cible. Le périmètre exact du pentest est à définir directement selon vos priorités de sécurité, ou après une phase d’audit de reconnaissance permettant d’identifier les pans les plus à risque du point de vue d’un attaquant.

Nous contacter