« Social engineering » : différence entre les versions

Auteurs : Aurélien SENGER et Jérémy Manceaux

Le social engineering (ou Ingénierie sociale) est un pratique qui a pour but de soutirer des information à une personne, ou de la faire agir (par exemple en effectuant un achat en ligne, ou en cliquant sur un lien), en tirant partie de sa crédulité, de son inexpérience, ou de sa négligence.
L’avantage du social engineering est qu'il n'ai besoin d'aucune compétence technique pour arriver à ses fins. Par exemple, tout le monde peut imiter un mail pour se faire passer pour un autre. Cette science sociale tire parti du fait que les gens prennent des décisions sans connaitre toutes les informations et prennent des raccourcis dans leur chemin de réflexion.
De ces raccourcis découlent plusieurs types d'attaques.

La Réciprocité

Ce principe est simple : Il faut rendre ce que l'on nous donne. L'exemple le plus commun serait le pourboire que l'on donne à un serveur au restaurant si on a été content de son service.
Pour recevoir, il faut être le premier à donner. plus l'offre de départ est inattendue et personnalisée, plus les chances de succès sont grandes.
Par exemple si une société nous envoie un courrier personnalisé avec un "cadeau", il y a plus de chance que l'on commande que si on avait simplement reçu une publicité.

La Rareté

Ce principe se base sur le fait que les gens veulent ce qui est rare, difficile à obtenir, ce dont il y a le moins.
Pour que l'approche de la rareté fonctionne, il faut non seulement parler des bénéfices à accepter, mais aussi à quel point ce que l'on propose est unique et ce que l'on pourrait perdre à passer à côté.
Par exemple, un mail publicitaire indiquant une offre réservée aux 1000 premiers acheteurs pourraient inciter quelqu'un à faire un achat dont il n'a pas réellement besoin.

L'Argument d'autorité

Les gens sont prêts à suivre ou croire quelqu'un qui détient des connaissances, ce qui est normal. Il s'agit donc de se faire présenter sois-même ou un tiers comme une personnes experte, ou ayant un pouvoir de décision afin que la victime soit plus enclin a effectué l'action voulue par l'attaquant.
Par exemple, une personne va se faire passer pour un expert en sécurité et va inciter sa victime à installer un logiciel. Ce logiciel peut être un logiciel malveillant qui pourra servir à récupérer des informations sur la machine de la victime ou encore en prendre le contrôle total.
Un autre exemple de l'année 2017, où un mail avait été envoyé en se faisant passer pour le ministère des finances. Le mail indiquait que le contribuable pouvait bénéficier d'un remboursement si ce dernier renvoyait ses coordonnées bancaires. Ce mail était évidement une tentative de phishing par email. Souvent pour s'en rendre compte il suffi de prêter attention aux détails comme l'orthographe ou certaines formulations de phrase.

La Cohérence

Les gens veulent être cohérents. S'il disent ou font quelque chose, ils continueront a faire ou dire des choses dans le même sens. Pour atteindre son objectif, il faut donc les inciter a agir un tout petit peu dans son sens, et augmenter petit à petit l'impacte des demandes. Plus l'action initiale aura été faite volontairement, plus les chances de succès seront augmentées. Un autre facteur influence l'efficacité, c'est le caractère publique de l'action. Si cette dernière est publiquement remarquable, la cible sera plus prompt à agir dans le sens de l'action initiale.
Par exemple, demander à un webmaster de soutenir une bonne cause en réservant un petit encart sur son site afin d'afficher une certaine publicité gratuitement. Ensuite, si on lui demande petit à petit d'augmenter l'espace publicitaire concerné, jusqu'à un certain point il continuera d'accepter.

L'Affection

Naturellement, les gens disent plus facilement oui à quelqu'un qu'ils apprécient. Afin de se faire apprécier, il y a trois principales raisons :

• Les gens apprécient ceux qui leur sont similaires (mêmes goût artistiques, expériences similaires, connaissances communes)
• Les gens apprécient ceux qui les complimente
• Les gens apprécient ceux qui coopèrent

Avant de négocier ou de demander quelque chose, il faut donc chercher à se faire apprécier via l'un de ces trois moyen en échangeant, en trouvant des points communs avec notre interlocuteur, et en lui faisant des compliments.

Le Consensus

Les gens s’intéressent aux actions des autres pour eux-même agir. Il est par exemple plus facile de prendre un décision si c'est la décision que prennent la majorité des gens que l'on connait.
Pour amener quelqu'un a faire quelque chose, il faut donc lui dire que c'est ce que font la majorité des gens.
Il est préférable et plus efficace même de dire que c'est ce que font la majorité des gens dans exactement la même situation. La personne va plus facilement s'identifier et prendre la décision qui convient
Par exemple récolter des informations sur une personne et lui présenter comme argument que la majorité des gens présentant les mêmes conditions on réaliser une certaine action, alors pourquoi pas lui? Cela peut résulter sur une fuite d'information, un achat indésiré, etc...

Bilan

En informatique le social engineering est un enjeu de taille, car les informations valent très cher. par exemple récupérer un mot de passe professionnel afin d'accéder à des documents confidentiels de société pour les revendre est une bonne motivation pour nombre de personnes malveillantes.
De plus la plupart des approches ne coûtent rien (écrire et envoyer un faux mail ou se faire passer pour quelqu'un d'autre au téléphone, prendre quelqu'un par les sentiment ou lui montrer pourquoi il devrait accepter).
Il est donc primordial d'éduquer les utilisateurs afin qu'ils ne fassent pas confiance au premier email venu qui aurait l'air d'un mail du DSI (Directeur des Systèmes d’information) par exemple.
Il faut leur apprendre à se méfier de tout comme l'ont montrés les différentes propagations de virus via des mails ayant l'apparence de factures fournisseurs ou autres.