Ingénierie sociale : nos conseils pour réussir votre sensibilisation

Théorisée par Kevin Mitnick, pirate informatique originaire des Etats-Unis, devenu consultant en sécurité informatique et popularisée au début des années 2000, l’ingénierie sociale vise à exploiter les failles humaines afin de contourner les processus définis pour obtenir un bénéfice personnel. Dans la plupart des cas, il s’agit d’argent. Elle peut se décliner sous différentes formes, plus ou moins intrusives.

Les méthodes d’ingénierie sociale sont diverses et de plus en plus sophistiquées. Elles peuvent exploiter des vecteurs très différents, mais leur point commun est que l’action « malveillante » est réalisée par un tiers innocent. Parmi les plus connues, nous pouvons distinguer :

Le spear-phishing : un mail spécifique est envoyé à une cible, en incluant des éléments attractifs et ciblés maximisant les chances que le tiers exécute une action souhaitée. A la différence des campagnes de phishing de masse, un groupe de personnes préalablement identifié est ciblé et analysé avant l’attaque.

La fraude au président : au travers d’appels téléphoniques et/ou de mails, un cybercriminel usurpe l’identité d’une personne hiérarchiquement haut-placée afin d’obtenir de l’argent, souvent par virement sur un compte bancaire. A noter que les techniques de fraude au président évoluent, notamment grâce au deepfake, une technique qui permet d’imiter un individu de manière réaliste grâce à l’intelligence artificielle. En septembre 2019, Le Monde relatait notamment l’histoire d’une entreprise britannique du secteur de l’énergie s’étant « fait dérober 220 000 euros à cause d’une voix synthétique, générée par un système d’intelligence artificielle ». Avec la facilité d’accès de ces technologies et leurs progrès rapides, nous pouvons nous attendre à ce que ce mode opératoire devienne de plus en plus fréquent.

Le phoning est une des multiples techniques utilisées dans le cadre du social engineering. C’est l’utilisation du téléphone comme vecteur d’attaque.

Toutes les entreprises et tous les individus peuvent être victimes de cette fraude : la majorité des entreprises que nous accompagnons a déjà été confrontée à des attaques visant directement ses collaborateurs (via du phishing notamment). Les pirates tentent ainsi d’exploiter les mécanismes inhérents à la psychologie humaine. L’objectif est donc de mettre en place des moyens techniques et organisationnels afin d’éviter que de telles exploitations soient possibles et de limiter leurs conséquences. Comme tout système, les procédures et outils mis en place, les séances de sensibilisation et les semaines de formation, doivent être testés afin d’évaluer la pertinence des actions entreprises et la protection effective apportée par ces investissements.

Nous réalisons des missions d’ingénierie sociale pour le compte de nos clients. L’objectif de ces missions est ainsi de tester, via des exercices de phoning simulés, la robustesse des structures face à ce type d’attaques et sensibiliser les collaborateurs en leur démontrant qu’ils peuvent en être victimes.

Mettre en place le cadre

La préparation d’une mission d’ingénierie sociale est une phase importante qui ne doit pas être négligée. En effet, à la différence d’une activité de test d’intrusion ou d’un audit physique qui ne se concentreront que sur des aspects techniques, l’objectif ultime de cette mission est de tromper la confiance d’un tiers en utilisant des concepts psychologiques pour lui faire exécuter des actions néfastes pour son entreprise. Cette mission doit donc être abordée avec finesse afin de ne créer aucune réaction négative et aucune perte de confiance des employés envers leur management. Nous détaillerons ici plusieurs points à traiter avant de se lancer dans l’activité de phoning.

Définir les règles du jeu

Impliquer les ressources humaines, voire les représentants du personnel 

Mal amené, un exercice de ce type peut être considéré comme une volonté de pousser les employés à la faute. Impliquer l’ensemble des acteurs en mesure de désamorcer d’éventuelles tensions, leur laisser le temps de préparer des moyens de communication adaptés, de fournir des éléments de contexte permettant de définir un périmètre sain est indispensable.

Favoriser l’anonymat 

Sauf cas particuliers et encadrés, il est préférable de créer des analyses de résultats non-nominatives.

Préparer une communication

A la fin de la campagne de sensibilisation, les collaborateurs ne manqueront pas de poser des questions. Il est donc important de préparer une communication afin de les rassurer.

Préparer le cadre d’intervention

Définir les populations cibles

Il va sans dire qu’une mission de phoning ne pourra pas être réalisée sans obtenir un certain volume de numéros à contacter. Cependant, la pertinence de cet ensemble pourra être pensée de manière à coller au mieux aux objectifs fixés. L’échantillon devra être constitué selon :

• L’objectif de la campagne : Cherche-t-on à tester la robustesse d’une filiale que l’on vient d’acquérir ? Consolider des indicateurs de pilotage ?

• Ce que l’on souhaite protéger : Souhaitons-nous nous prémunir d’une attaque impactant notre patrimoine intellectuel (R&D) ? Eviter qu’un attaquant ne récupère trop d’informations ?
• L’environnement social : Sur quels sites physiques sera mené l’exercice ? Auprès de quelles équipes ?

Définir les facteurs de succès 

Dans le cadre d’une mission de social engineering, définir et récupérer la preuve que l’attaque a fonctionné n’est pas chose aisée. Il faudra donc bien identifier les preuves de réussite attendues, mais aussi quelles limites ne doivent pas être franchies : ne pas usurper d’identité réelle, ne pas demander de modifications sur des logiciels en production, etc.

Définir le processus de désamorçage

Si une chose doit être préparée avec la plus grande attention, c’est le désamorçage. Il s’agira de définir le processus permettant de limiter (en urgence et dans les cas classiques) les impacts sur les collaborateurs et la production. Ce processus sera utilisé :

• si un collaborateur soupçonne que l’appel est une tentative de corruption et risque de donner l’alerte ;

• si le scénario déclenche une procédure d’urgence ou de crise ;

• si la cible risque de relater l’appel alors que d’autres collègues proches d’elle doivent aussi être testés ;

• si l’appel peut engendrer, involontairement, un impact sur la production ou l’activité ;

• si un collaborateur a personnellement mal vécu l’appel ;

• si l’auditeur identifie un risque pour la mission, le client ou l’individu.

Cette procédure doit inclure a minima :

• un contact à appeler directement, et si possible un second numéro ;

• un moyen de tracer l’action ;

• un moyen de communiquer les informations nécessaires au désamorçage (identité de la cible, impact potentiel, etc.).

La réalisation de ces différents types de missions peut permettre d’identifier les failles à corriger ainsi que d’orienter les conseils à donner aux collaborateurs susceptibles d’être des cibles de ce genre d’attaques. Nous distinguons deux grands types de protections à mettre en œuvre. Premièrement, le renforcement des procédures en vigueur.  La mise en place de procédures permet de guider les réponses des opérateurs et ainsi bloquer les biais cognitifs auxquels ils seraient normalement soumis. Un plan d’action doit ensuite être mis en œuvre pour corriger les vulnérabilités ou points de faiblesse identifiés. Ensuite, sensibiliser les populations à risque et leur donner des éléments de protection permet de déjouer ce type d’attaques. Notamment en :

• se méfiant des demandes urgentes et en n’accordant pas de passe-droit (suivre la procédure habituelle) ;
• vérifiant les identités des interlocuteurs ;
• utilisant uniquement les canaux de communication habituels (numéros de téléphone, adresses e-mail) ;
• vérifiant les éléments techniques (les noms de domaine notamment).

Tout le monde peut être victime, que ce soit dans la sphère publique ou privée. Etre dupé par un phoning n’est pas une preuve de faiblesse, mais comme pour tout système, même évolué, un attaquant consciencieux et déterminé arrivera à ses fins. Il est donc essentiel pour les entreprises de prendre en compte cette menace comme un élément à part entière, et organiser régulièrement des sessions de sensibilisation voire des missions comme celles décrites ci-dessus pour continuellement améliorer le niveau de sécurité.