Pentest d’ingénierie sociale

web_platform

Un pentest d’ingénierie sociale permet de tester les réflexes des collaborateurs d’une entreprise face aux cyber-attaques (phishing, clones, malwares, usurpations d’identité, etc.).

picto_cible

Téléchargez notre livre blanc : Pentest d’ingénierie sociale - comment préparer une campagne ?

L’objectif d’un pentest d’ingénierie sociale

L’ingénierie sociale consiste à manipuler l’humain pour obtenir des informations sensibles ou pour faire effectuer des actions pouvant entraîner un incident de sécurité. C’est un vecteur d’attaque redoutable, qui permet de contourner des protections techniques même si elles sont solides.

L’objectif d’un audit d’ingénierie sociale est double : évaluer les réflexes des collaborateurs pour connaître le degré de vulnérabilité de l’entreprise, et les sensibiliser à ce type d’attaque via des mises en situation concrètes capables de marquer les esprits.

Les objectifs spécifiques de ce type d’audit sont à définir en amont :

  • Quels sont les principaux risques pour l’entreprise ? (threat modelling)
  • Souhaite-t-on privilégier une approche en boite noire (attaquant externe) ou en boite grise (attaquant interne ou s’appuyant sur un complice) ?
  • Dans le cas d’un audit en boite grise : Qui dans l’entreprise a accès à telle information ou tel privilège ? Quelles sont les catégories d’effectifs les plus à risque ?
  • Dans tous les cas : y a-t-il des restrictions spécifiques pour l’audit ? (vecteurs d’attaques ou catégories de scénarios à exclure)

Nous contacter

Déroulement d’un audit d’ingénierie sociale

La première étape consiste à définir les objectifs de l’audit : identification des risques, choix des cibles et des conditions. Toutes les conditions sont personnalisables selon les préférences du client : degré d’information transmis aux pentesters, droit de regard sur les scénarios, langues utilisées, envoi de messages pédagogiques à la suite des attaques, niveau de reporting, etc.

pentest ingenierie sociale

Dans le cas d’un audit en boite noire, aucune information n’est transmise, et les pentesters conduisent l’audit de façon autonome sans informer le client du détail des attaques. Dans le cas d’un audit en boite grise, il faut prévoir du temps pour échanger des informations sur l’entreprise, valider les scénarios d’attaques construits par les pentesters, voire remonter des informations sur le déroulement de l’audit au fur et à mesure des attaques.

L’audit en lui-même repose sur une série d’étapes bien définie : reconnaissance, création des scénarios d’attaques, exécution des scénarios d’attaques, reporting.

Le pentest d’ingénierie sociale peut inclure des messages pédagogiques permettant de sensibiliser les cibles sur les moyens de déjouer les attaques dont elles ont été victimes, ou être complété par une formation sur mesure.

Demander un devis

Les techniques d’ingénierie sociale

Le panel des techniques d’ingénierie sociale est vaste. Les attaques peuvent se faire par e-mail (phishing), téléphone ou intrusion physique. Elles reposent généralement sur un ensemble de différentes techniques mêlant des compétences IT et relationnelles : phishing et spear phishing, clones d’interfaces, malwares, devices piégés, usurpations d’identité, spoofing de numéros de téléphone, manipulation et persuasion, dumpster diving, etc.

Tests de phishing et de spear-phishing

Le phishing, ou hameçonnage, est le type d’attaque le plus courant. Il est à la fois simple à mettre en place et potentiellement très efficace.

Il s’agit d’une attaque par email, qui peut être envoyé à un grand nombre de personnes (phishing) ou à quelques personnes soigneusement sélectionnées (spear phishing). Les emails de phishing contiennent généralement des liens redirigeant le destinataire vers de fausses pages web (clones) ou des malwares envoyés sous forme de pièce jointe ou de lien de téléchargement.

Les emails de phishing les plus sophistiqués sont personnalisés pour être crédibles : situation réaliste pour les cibles de l’email, usurpation d’identité afin de se faire passer pour une personne de confiance, appel téléphonique accompagnant l’email afin de renforcer l’apparence légitime de la demande, etc.

Un audit d’ingénierie sociale peut inclure différents scénarios de phishing de difficultés progressives, afin d’entraîner les collaborateurs à détecter des menaces de plus en plus sophistiquées.

Tests de vishing

Le vishing (voice phishing) est l’équivalent téléphonique du phishing. Ce type d’attaque ne permet généralement pas de cibler un grand nombre de personnes, mais il peut permettre d’obtenir des informations sensibles que les victimes n’auraient pas accepté de communiquer par email (exemple : mots de passe).

Le principe de base est d’instaurer une relation de confiance à travers la conversation. Cela nécessite pour l’attaquant des qualités d’écoute, d’argumentation et de persuasion. Les attaques les plus sophistiquées reposent sur de l’usurpation d’identité ainsi que le spoofing du numéro de la personne que l’attaquant prétend être.

Un audit d’ingénierie sociale peut inclure du vishing pour compléter les attaques par phishing. Cela permet de sensibiliser les collaborateurs à d’autres types de menaces, plus sournoises et plus difficiles à détecter. Les attaques par phishing et vishing représentent des menaces majeures car elles sont réalisables par un grand nombre d’attaquants dans la mesure où elles ne nécessitent pas de se rendre physiquement dans les locaux de l’entreprise ciblée.

Tests d’intrusion physique

L’intrusion physique est une forme d’attaque encore plus sophistiquée, utilisée par un attaquant prêt à passer plus de temps et à prendre plus de risques pour cibler une entreprise.

Dans ce type d’attaque, le principe est de s’introduire dans l’entreprise en se faisant passer pour un visiteur légitime : technicien, prestataire, salarié, etc. L’attaquant peut ensuite chercher à obtenir des informations confidentielles par différents moyens : vol de machines, connexion au réseau interne, distribution de clés USB infectées par un malware, manipulation de collaborateurs, accès à une salle serveurs, etc.

Dans un audit de sécurité, les tests d’intrusion physiques peuvent permettre d’évaluer les systèmes d’accès physiques, les procédures de contrôle, le cloisonnement des informations, et les réflexes des collaborateurs face à un inconnu.

tests phishing vishing

Notre livre blanc “Pentest d’ingénierie sociale : comment préparer une campagne ?” expose tous les éléments à prendre en considération avant de lancer un audit d’ingénierie sociale.

Sensibilisation des équipes

La valeur d’un audit d’ingénierie sociale réside dans le fait de marquer les esprits afin de mieux sensibiliser aux risques. Présenter des résultats d’attaques réelles, avec des statistiques sur le comportement des collaborateurs, et l’impact concret des attaques « réussies », est le meilleur moyen de lever les doutes des personnes les plus réticentes aux procédures de sécurité.

Lors d’un audit d’ingénierie sociale, l’objectif de sensibilisation peut être atteint par plusieurs leviers :

L’expérience de Vaadata permet de constater que la sensibilisation est plus efficace lorsque les collaborateurs sont informés qu’un audit aura lieu (sans autre précision) dans un objectif d’entraînement, car les tests sont ensuite mieux acceptés par ceux qui en sont victimes.

Il est cependant possible de conduire des audits dans un strict objectif d’évaluation, en informant le moins de personnes possible dans l’entreprise, afin de ne pas biaiser les résultats.

Statistiques

83%

83% des professionnels de la sécurité de l’information ont eu des attaques de phishing, et 64% de spear phishing en 2018.
2019. State of the Phish. Proofpoint. (p. 10).

33%

33% des fuites de données incluent des attaques sociales.
2019 Data Breach Investigations Report. Verizon. (p. 5).

48%

48% des attaques avancées par email impliquaient de l’usurpation de marque ce trimestre.
Q3 2019. Email Fraud and Identity Deception Trends. Agari. (p. 17).

Notre offre de pentests

Nous couvrons un large scope technique, avec des tests spécifiques pour chaque type de cible. Le périmètre exact du pentest est à définir directement selon vos priorités de sécurité, ou après une phase d’audit de reconnaissance permettant d’identifier les pans les plus à risque du point de vue d’un attaquant.

Nous contacter