Ingénierie sociale
L'ingénierie sociale (ou social engineering, en anglais) est une attaque qui s'appuie essentiellement sur les relations humaines pour inciter de façon détournée à enfreindre les procédures de sécurité.
Les techniques utilisées dans les attaques par ingénierie sociale font appel à la vanité, à l'autorité et à la cupidité. De nombreux méfaits commis reposent simplement sur la serviabilité des interlocuteurs des pirates. Par exemple, le fraudeur peut se faire passer pour un collaborateur avec un problème urgent qui exige l'accès à certaines ressources du réseau.
Voici quelques attaques par ingénierie sociale courantes :
Appâtage : dans l'appâtage, un pirate laisse en évidence un appareil infecté, par exemple une clé USB. Lorsqu'une personne le trouve et l'utilise, elle charge sans le savoir le programme malveillant sur son ordinateur.
Hameçonnage : dans le hameçonnage électronique, ou phishing, un individu malveillant envoie un message électronique frauduleux qui a toutes les apparences d'un message authentique et semble provenir d'une source fiable. Le message doit inciter le destinataire à partager des informations personnelles ou financières ou à cliquer sur un lien qui installe un logiciel malveillant.
Harponnage : le harponnage ou hameçonnage ciblé (spear phishing) ressemble au hameçonnage, mais vise un individu ou une entreprise spécifique.
Pretexting : ou faux-semblant. Dans le pretexting, le fraudeur ment dans le but de soutirer des informations confidentielles. Une escroquerie par faux-semblant peut consister, par exemple, à prétendre avoir besoin d'informations personnelles ou financières pour confirmer l'identité du destinataire.
Scareware : un scareware trompe la victime en lui faisant croire que son ordinateur est infecté par un logiciel malveillant ou qu'il a téléchargé par mégarde un contenu illicite. L'attaquant propose ensuite une solution pour corriger le problème, mais, en réalité, la victime est amenée à télécharger et à installer un logiciel malveillant.
Les experts en sécurité recommandent au service IT de procéder régulièrement à des tests d'intrusion qui utilisent des techniques d'ingénierie sociale. Les administrateurs savent ainsi quels types d'utilisateurs sont les plus vulnérables à certains types d'attaques et identifient les collaborateurs qui ont besoin d'une formation supplémentaire.
Les formations de sensibilisation à la sécurité contribuent largement à empêcher les attaques par ingénierie sociale. En effet, plus les différentes formes d'ingénierie sociale seront connues, plus les attaques rencontreront de résistance.