Ingénierie Sociale

I. Concepts d’Ingénierie Sociale

1.Définition

L’ingénierie sociale (ou social engineering, en anglais) est un type de piratage qui s’appuie essentiellement sur les relations humaines pour convaincre les gens à révéler leurs informations confidentielles. Les cibles courantes de l’ingénierie sociale comprennent le personnel des services d’assistance, les responsables des supports techniques, les administrateurs système, etc.

En profitant de l’inconscience des gens, l’attaquant cherche à abuser de la confiance, de l’ignorance et de la crédulité de sa cible pour obtenir ce qu’il souhaite.

2. Impacts

Elle peut avoir plusieurs impacts sur une organisation tels que :

• des pertes économiques,

• la perte de la confidentialité de ses données,

• des dangers de terrorisme,

• des dommages sur la réputation,

• la fermeture temporaire ou permanente.

3. Caractères facilitant l’ingénierie sociale

La confiance : l’homme accorde facilement sa confiance ce qui est à la base de toute attaque d’ingénierie sociale.

L’ignorance : le personnel peut ignorer l’existence de l’ingénierie sociale et de ses effets ce qui fait de l’organisation une cible facile.

La peur : souvent la cible a peur de perdre d’importantes données en cas de non-respect de la demande de l’attaquant.

L’avidité : Les attaquants incitent les cibles à divulguer des informations en promettant quelque chose pour finalement rien donner.

L’obligation morale : Les cibles sont respectées par obligation morale.

4. Phases d’une attaque d’ingénierie sociale

Les différentes étapes d’une attaque d’ingénierie sociale sont les suivantes :

Etape 1 : Faire une recherche sur l’entreprise cible, il s’agira de fouiller dans les poubelles, les sites Web, les agences de voyage, d’identifier les employés, etc.

Etape 2 : Sélectionner une victime parmi les employés frustrés de l’entreprise cible.

Etape 3 : Développer des relations avec la ou les victimes sélectionnées.

Etape 4 : Exploiter la relation en collectant des informations sensibles sur les comptes, les finances et les technologies actuelles de l’entreprise.

5. Types d’ingénierie sociale

Nous avons trois types d’ingénierie sociale :

  • Ingénierie sociale basée sur l’homme: l’attaquant recueille des informations sensibles par interaction. Parmi lesquelles nous avons l’usurpation d’identité (Impersonation), Hameçonnage par téléphone (Vishing), le surf à l’épaule (Shoulder surfing), l’EavesDropping, le Dumpster diving, le Tailgating, le PiggyBacking.
  • Ingénierie sociale informatisée : l’ingénierie sociale est réalisée à l’aide d’ordinateurs. Parmi lesquelles nous avons le Phishing, le Spam mail, le Pop-up window attacks, le spam mail Instant chat Messenger.
  • Ingénierie sociale à base d’application mobile : elle est réalisée à l’aide d’applications mobiles. Parmi lesquelles nous avons le MAlicious Apps, l’utilisation de fausses applications de sécurité, le Smishing (SMS phishing).

II. Ingénierie sociale basée sur l’homme

1. Usurpation d’identité (Impersonation)

Il s’agit de la technique d’ingénierie sociale basée sur l’homme la plus courante dans laquelle l’attaquant prétend être une personne légitime ou autorisée. Ainsi l’attaquant peut :

  • Se faire passer pour un utilisateur final légitime : il fournit des données concernant l’identité de sa cible et demande des informations sensibles.
  • Se faire passer pour un utilisateur important : il se fait passer pour un VIP d’une entreprise cible, un client précieux, etc.
  • Se faire passer pour un support technique : il appelle le personnel du support technique de  l’entreprise cible et demande des identifiants et des mots de passe pour récupérer les données.


2. Hameçonnage par téléphone (Vishing)

L’hameçonnage par téléphone (en anglais, vishing, une combinaison de voice et phishing)  est la forme verbale du phishing. Il se sert d’appels téléphoniques semblant provenir de source fiable pour amener la cible à partager des informations personnelles. Quelques techniques utilisées :

  •  Utilisation excessive du service d’assistance

Les services d’assistance sont principalement vulnérables à l’ingénierie sociale car ils sont explicitement mis en place pour vous aider. L’attaquant appelle le service d’assistance d’une entreprise, se fait passer pour une personne en position d’autorité ou de pertinence et tente d’extraire des informations sensibles du service d’assistance.

  • Autorisation d’un tiers

L’attaquant essaye d’obtenir  le nom de l’employé, autorisé de l’organisation cible, qui a accès aux informations qu’il souhaite. Il appelle alors l’organisation cible où les informations sont stockées et prétend que l’employé en particulier a demandé que des informations soient fournies.

  • Support technique

L’attaquant se fait passer pour le personnel de support technique des fournisseurs ou sous-traitants de logiciels de l’organisation cible. Il peut ensuite réclamer un ID utilisateur et un mot de passe pour résoudre le problème dans l’organisation.

3. Autres attaques basées sur l’homme

Eavesdropping : l’attaquant espionne la cible en écoutant ses conversations ou en lisant ses messages, en interceptant ses communications audio, vidéo ou écrite. Cela peut être fait en utilisant des canaux de communication tels que les lignes téléphoniques, le courrier électronique, la messagerie instantanée, etc.

Shoulder Surfing (Surf à l’épaule) : Le surf à l’épaule utilise des techniques d’observation directe telles que regarder par-dessus l’épaule de quelqu’un pour obtenir des informations telles que des mots de passe, des codes PIN, des numéros de compte, etc. Le surf à l’épaule peut également être fait à une distance plus longue à l’aide de dispositifs améliorant la vision tels que des jumelles pour obtenir des informations sensibles.

Dumpster Diving : l’attaquant est à la recherche de toute information pouvant lui être utile dans les ordures de sa cible.

Ingénierie sociale inverse : Il s’agit d’une situation dans laquelle un attaquant se présente comme une personne habilité dans un domaine et la cible sollicite son avis en lui fournissant les informations dont il a besoin.

Piggybacking : C’est lorsqu’une personne autorisée permet (intentionnellement ou non) à une personne non autorisée  de franchir une porte sécurisée.

Tailgating : C’est lorsqu’une personne non autorisée, portant un faux badge d’identité, pénètre dans une zone sécurisée en suivant de près une personne autorisée à travers une porte nécessitant un accès par clé.

III. Ingénierie sociale informatisée

1. Attaques basées sur le phishing

Hameçonnage (phishing): Un e-mail illégitime prétendant à tort provenir d’un site légitime tente d’acquérir les informations personnelles ou de compte de l’utilisateur. Les e-mails de phishing ou les fenêtres contextuelles redirigent les utilisateurs vers de fausses pages Web de sites imitant des sites de confiance qui leur demandent de soumettre leurs informations personnelles.

Le harponnage (spear phishing) : Contrairement à l’attaque de phishing normale où les attaquants envoient des centaines de messages génériques à des adresses e-mail aléatoires, les attaquants utilisent le spear phishing pour envoyer un message avec un contenu d’ingénierie sociale spécialisé destiné à une personne spécifique ou à un petit groupe de personnes

La chasse à la baleine (Whaling) : Alors que les tentatives de phishing ciblent des individus au hasard et que le phishing ciblé s’en prend à des individus bien précis, la chasse à la baleine va plus loin en ciblant des personnes importantes, de manière à ce que les communications frauduleuses qu’elles reçoivent semblent provenir d’une personne haut placée ou qui possède une grande influence dans l’entreprise.

Le Pharming : Le phishing attire les victimes par le biais d’e-mails fictifs pour les amener à visiter de faux sites et à révéler leurs informations sensibles. Le pharming est en fait un type de phishing mais avec l’absence de «leurre». Il s’agit d’un pirate infiltrant un système informatique et installant un code malveillant qui entraîne la redirection du trafic du site Web du système vers de faux sites développés par le pirate informatique. Cela se fait exploitant des vulnérabilités des services DNS.

Le Spimming : l’attaquant envoie un courrier indésirable de messagerie, parfois appelé SPIM, qui  est un type de spam destiné aux utilisateurs de services de messagerie instantanée afin d’obtenir des informations sensibles.

2. Autres types d’attaques

Fenêtres pop-up : ils apparaissent soudainement en surfant sur Internet et demande des informations des utilisateurs pour se connecter.

Lettres de canular : Ce sont de faux e-mails qui émettent des avertissements à l’utilisateur sur les nouveaux virus, chevaux de Troie ou vers susceptibles d’endommager le système de l’utilisateur.

Lettres en chaîne : Ce sont des courriels qui offrent des cadeaux gratuits tels que de l’argent et des logiciels à la condition que l’utilisateur transmette le courrier audit nombre de personnes.

Instant Chat Messenger : Il s’agit de collecter des informations personnelles, telles que les dates de naissance et les noms de jeune fille, en discutant avec un utilisateur en ligne sélectionné

Courrier indésirable: Il s’agit de courrier électronique non pertinent, indésirable et non sollicité qui tentent de collecter des informations sur les utilisateurs.

VI. Ingénierie sociale à base d’application mobile

1. Publication d’applications malveillantes

Les attaquants créent des applications malveillantes avec des fonctionnalités attrayantes et des noms similaires à ceux des applications populaires, et les publient sur les principaux magasins d’applications. Les utilisateurs non avertis téléchargent ces applications et sont infectés par des logiciels malveillants qui envoient des informations d’identification aux attaquants.

2. Reconditionnement d’applications légitimes

Le reconditionnement d’une application signifie qu’un attaquant obtient une copie de l’application à partir de la plateforme de distribution (Google Play Store ou Apple App Store). L’attaquant y ajoute ensuite une fonctionnalité malveillante et la redistribue aux utilisateurs qui pensent utiliser une application légitime ou l’application d’origine. 

3. Fausses applications de sécurité

L’attaquant utilise le procédé suivant :

Etape 1 : D’abord il infecte le PC de la victime,

Etape 2 : Il télécharge une application malveillante sur un magasin d’applications et le reconditionne,

Etape 3 : Lorsque la victime se connecte à sa banque, le logiciel malveillant inclut par le pirate sur son PC lui affiche un message indiquant de télécharger une application sur son téléphone afin de recevoir des messages de sécurité.

Etape 4 : La victime télécharge l’application malveillante sur son téléphone.

Etape 5 : L’attaquant peut désormais accéder au deuxième facteur d’authentification envoyé à la victime par la banque via SMS.

4. Le smishing ou phishing par sms

L’attaquant envoie des sms prétendus être urgent à la victime, en personnalisant le nom d’émetteur, lui proposant  d’effectuer une manipulation à partir de son smartphone ayant pour objectif de demander des informations sensibles à la victime (coordonnées bancaires, informations personnelles, etc). Le SMS comprend souvent un lien hypertexte vers un faux site piège où les informations sensibles seront demandés.

V. Attaques Internes

1. Définition

Une attaque interne est une attaque malveillante perpétrée sur un réseau ou un système informatique par une personne disposant d’un accès autorisé au système.

L’attaquant interne a un avantage sur les attaquants externes car il a un accès système autorisé et peut également être familiarisés avec l’architecture réseau et les politiques / procédures système. De plus, la sécurité contre les attaques internes peut être moindre, car de nombreuses entreprises se concentrent sur la protection contre les attaques externes.

2. Différents attaquants internes

Il existe plusieurs types d’attaquants internes, parmi lesquels on peut citer :

  • L’attaquant interne malveillant : il abuse de manière malveillante et intentionnelle d’informations d’identification légitimes, généralement pour voler des informations à des fins financières ou personnelles.
  • L’attaquant interne négligent : ils n’ont pas de mauvaises intentions mais commettent des erreurs qui mettent leur organisation en danger.  
  • L’attaquant interne professionnel : ils font carrière en exploitant les vulnérabilités du réseau de l’entreprise et en vendant ces informations à des concurrents ou sur le dark web.
  • L’attaquant interne compromise : C’est lorsque la machine d’un employé a été compromise de l’extérieur et que celle-ci est utilisée comme une «base d’accueil» pour les cybercriminels, à partir de laquelle ils peuvent analyser les partages de fichiers, augmenter les privilèges, infecter d’autres systèmes, etc.

3. Raisons

Les pirates font ce genre d’attaques parce que :

  • Une attaque interne est facile à lancer.
  • La prévention est difficile.
  • L’attaquant peut ne pas être détecté pendant plusieurs années.

VI. Ingénierie Sociale avec les  réseaux sociaux

1. Usurpation d’identité sur les réseaux sociaux

-> Création de comptes et de profil au nom d’autrui avec les détails de l’organisation cible afin de créer un grand réseau d’amis et extraire des informations à l’aide de techniques d’ingénierie sociale.

-> Les attaquants tentent de rejoindre les groupes d’employés de l’organisation cible pour extraire des informations personnelles et professionnelles.

-> Les attaquants peuvent également utiliser les informations collectées pour mener d’autres formes d’attaques d’ingénierie sociale.

2. Usurpation d’identité sur Facebook

->Les attaquants créent un faux groupe d’utilisateurs sur Facebook identifié comme «Employés» de l’entreprise cible.

->Puis avec une fausse identité, l’attaquant procède ensuite à des demandes d’amis où il invite des employés au faux groupe «Employés».

->Les utilisateurs rejoignent le groupe et fournissent leurs informations d’identification telles que la date de naissance, les antécédents scolaires et professionnels, les noms des conjoints, etc.

->Ainsi en utilisant les coordonnées de l’un des employés, un attaquant peut compromettre une installation sécurisée pour accéder au bâtiment de l’entreprise cible.

3. Menaces encourues

Vol de données : un site de réseautage social est un référentiel d’informations auquel accèdent de nombreux utilisateurs, augmentant le risque d’exploitation de l’information.

Vulnérabilité du réseau : Tous les sites de réseautage social sont sujets à des failles et des bogues qui à leur tour pourraient entraîner des vulnérabilités dans le réseau de l’organisation.

Le spam et le phishing : les attaquants utilisent les informations disponibles sur les sites de réseaux sociaux pour effectuer ces types d’attaques.

La réputation de l’entreprise: les réseaux sociaux peuvent aussi être utilisés pour faillir à la réputation de l’entreprise par la divulgation d’informations peu fiables.

Propagation de logiciel malveillant : les réseaux sociaux peuvent être un vecteur d’attaque pour la propagation de programmes malveillants jusqu’à l’atteinte de leur cible.

Fuite involontaire de données : en l’absence d’une politique stricte, les employés peuvent, sans le savoir, publier des données sensibles sur leur entreprise sur des sites de réseaux sociaux.

4. Vol d’identité

Le vol d’identité se produit lorsque quelqu’un obtient des informations d’identification personnelles telles que nom, permis de conduire, numéro de carte de crédit, données médicales, etc. à des fins frauduleuses.

Comment voler une identité ?

Le vol d’identité peut se faire à travers l’ingénierie sociale, l’hameçonnage, le pharming, le pretexting (l’attaquant créé un climat de confiance entre lui et sa cible), des recherches sur Internet, le vol de portefeuilles, d’ordinateurs portables, de téléphones, etc.

VII. Contre-mesures d’ingénierie sociale

1. Général

->Les bonnes politiques et procédures sont inefficaces si elles ne sont pas enseignées aux employés.

-> Après avoir reçu la formation, les employés doivent signer une déclaration reconnaissant qu’ils comprennent les politiques.

-> Ensuite il faudra créer une prise de conscience des utilisateurs et faire des contrôles réseau internes robustes.

-> Avoir une Politique de sécurité physique à travers l’identification des employés par leurs cartes d’identité, des restrictions de zone d’accès, l’emploi de personnel de sécurité, etc.

-> Avoir une Politique de mot de passe à travers un changement de mot de passe périodique, un blocage de compte après des tentatives infructueuses, l’exigence que les mots de passe restent secret, etc.

-> Etablir une Stratégie de défense en analysant les failles, puis établir une stratégie de remédiation en cas de problème, effectuer des campagnes de sensibilisation, etc.

-> Spécifier les utilisateurs autorisés : il doit y avoir des comptes d’administrateur, d’utilisateur et d’invité avec l’autorisation appropriée

-> Mise en place d’une équipe de réponse aux incidents qui élaborera des directives appropriées pour réagir en cas de tentative d’ingénierie sociale.

-> Authentification à deux facteurs, au lieu de mots de passe fixes, utilisez l’authentification à deux facteurs pour les services réseau à haut risque tels que les VPN, etc.

-> Vérification des antécédents et processus de licenciement approprié : Les employés ayant des antécédents criminels et les employés licenciés sont des cibles faciles pour obtenir des informations.

2. Contre-mesures contre le vol d’identité

-> Sécurisez ou déchiquetez tous les documents contenant des informations privées.

-> N’affichez pas les numéros de compte / contact sauf si c’est obligatoire.

-> Surveiller les activités bancaires en ligne

-> Ne répertoriez jamais d’identifiants personnels dans les médias sociaux.

3. Comment détecter les e-mails de phishing ?

Pour détecter un e-mail de phishing, il faut vérifier s’il possède les caractéristiques suivantes:

->  Les e-mails de phishing semblent provenir d’une banque, d’une entreprise ou des réseaux sociaux et ont un message d’accueil générique

-> Ils semblent provenir d’une personne répertoriée dans votre carnet d’adresses e-mail

-> Il donne un sentiment d’urgence ou de menaces voilées.

-> Il peut contenir des erreurs grammaticales

-> Il peut inclure des liens vers Sites Web falsifiés

-> Il peut contenir des offres qui semblent trop belles à croire.

-> Il comprend des logos d’apparence officielle et d’autres informations tirées de sites Web légitimes.

-> Il peut contenir une pièce jointe malveillante.

Outils d’anti-phishing : NETCRAFT et PHISH TANK

VIII. Test de pénétration avec l’ingénierie sociale

Etape 1: Débuter

Etape 2: Obtenir l’autorisation

Etape 3: Définir la portée du test de pénétration

Etape 4: Obtenir une liste des emails et des contacts des cibles prédéfinies

Etape 5: l’information est-elle disponible ?

                —— (oui) —-> aller 9ème étape

                —— (non) —-> aller à la 6ème étape

Etape 6: Collecter les emails et les détails de contact des employés de l’organisation cible

Etape 7: Collecter les informations à l’aide de la technique d’impression

Etape 8: l’information est-elle disponible ?

                ———— (non) ————> retourner 6ème étape

                ———— (oui) ————> aller étape suivante

Etape 9: créer un script avec des prétextes spécifiques

Etape 10: Envoyer un e-mail aux employés pour leur demander des informations personnelles

Etape 11: Envoyer et surveiller les e-mails contenant des pièces jointes malveillantes aux victimes cibles.

Etape 12: Envoyer des e-mails de phishing aux victimes cibles.

Etape 13: Appeler une cible se faisant passer pour un collègue et demander les informations sensibles

Etape 14: Appeler un utilisateur cible en se présentant comme un utilisateur important

Etape 15: Appeler une cible se faisant passer pour un support technique et demander des informations sensibles

Etape 16: Référez-vous à une personne importante de l’organisation et essayez de collecter des données

Etape 17: Appelez une cible et offrez-lui des récompenses

Etape 18: menacer la cible pour obtenir des informations (le compte sera bloqué)

Etape 19: utiliser l’ingénierie sociale inverse

Etape 20: Soyez ami avec les employés de la cafétéria ou n’importe où

Etape 21: Essayez d’entrer dans l’établissement en vous faisant passer pour un auditeur externe

Etape 22: Essayez d’entrer dans l’établissement en vous faisant passer pour un technicien

Etape 23: Essayez le tailgating avec un faux badge d’identification ou le piggybacking

Etape 24: Essayez d’écouter et de surfer sur les épaules des utilisateurs

Etape 25: Documenter toutes les résultats dans un rapport formel.

NB : Pour réussir ce test de pénétration, il faut avoir des compétences interpersonnelles, de bonnes aptitudes en communication, et être de nature créative, bavarde et amicale.

Outils : SETOOLKIT, SOCIALPHISH, BLACKEYE.