Ingénierie sociale : l’art de la persuasion

Quelles sont les attaques d’ingénierie sociale les plus courantes contre les entreprises et les particuliers, et comment les prévenir ?

sur

L’ingénierie sociale fait la une des journaux parce que le comportement humain est souvent le maillon le plus faible de toutes les cibles.

Un ordinateur ou un téléphone est bien plus difficile à percer à jour qu’un être humain. Pourtant, l’étude de la façon de pirater les interactions humaines est souvent mal connue.

Examinons comment utiliser des techniques de persuasion subtiles et difficiles à détecter pour compromettre une cible humaine.


L’ingénierie sociale aujourd’hui

Où sont passés tous les grands escrocs aujourd’hui ? Les malins qui poussaient les gens à partager un faux billet de loterie et les laissaient se rendre au guichet pour se mettre de l’argent dans la poche ?

Ils ne se sont pas volatilisés ! Ils sont simplement venus grossir les rangs des pirates informatiques et des technocriminels.

Leur connaissance de l’exploitation du comportement humain leur permet d’atteindre des objectifs qui ne sont pas toujours possibles par de simples hackers.

→ Définition de l’ingénierie sociale

L’ingénierie sociale désigne un large éventail d’activités malveillantes accomplies par des interactions humaines.

Elle utilise la manipulation psychologique pour amener les utilisateurs à commettre des erreurs de sécurité ou à donner des informations sensibles.

Les attaques d’ingénierie sociale se produisent en une ou plusieurs étapes.

→ L’agresseur commence par enquêter sur la victime afin de recueillir les renseignements de base nécessaires, comme les points d’entrée potentiels et les protocoles de sécurité faibles, nécessaires pour poursuivre l’attaque.

→ Ensuite l’agresseur cherche à gagner la confiance de la victime et à fournir des stimuli pour des actions ultérieures qui brisent les pratiques de sécurité, telles que la divulgation d’informations sensibles ou l’accès à des ressources critiques.

Ce qui rend l’ingénierie sociale particulièrement dangereuse, c’est qu’elle repose sur l’erreur humaine plutôt que sur les vulnérabilités des logiciels et des systèmes d’exploitation.

Les erreurs commises par des utilisateurs légitimes sont beaucoup moins prévisibles, ce qui les rend plus difficiles à identifier et à contrecarrer qu’une intrusion de malware.


Voir ce communiqué de presse en date du 02 avril 2019 sur le coût pour les entreprises des logiciels malveillants et des cyberattaques


→ Les humains sont moins chers à pirater

Des ingénieurs sociaux qualifiés ont souvent plus de résultats qu’une machine automatisée, grâce à leur connaissance du fonctionnement des organisations humaines dans une perspective psychologique.

Alors qu’une pile de logiciels malveillants peut vous coûter beaucoup d’argent, une personne attrayante et persuasive avec une clé USB peut obtenir le même résultat pour un coût dix fois moindre.

Le piratage informatique humain est un art en évolution, mais le but reste le même : persuader quelqu’un d’agir d’une manière prévisible.

Ces prédictibilités varient dans une certaine mesure selon la culture et la région, mais elles s’appliquent presque toujours. Pour faire de l’ingénierie sociale avancée, on utilise :

  • la persuasion
  • le pouvoir
  • l’identité
  • le stress

…pour augmenter la probabilité de réussite d’une attaque d’ingénierie sociale.

Origine de l’ingéniérie sociale : la CIA ?

Beaucoup de ces techniques ont été mises au point par le gouvernement américain pour remplacer la torture après que la CIA eut interdit cette pratique.

La communauté du renseignement a demandé à d’éminents scientifiques de l’aider à élaborer un cadre pour obtenir des informations d’une cible susceptible de ne pas vous faire confiance, ou même de vous détester.

Ces techniques sont si puissantes que des personnes persuasives peuvent changer:

  • l’avis qu’une personne a d’elle-même
  • sa propre position dans la vie
  • son jugement de valeur sur une données ou un accès qu’elle possède

La persuasion habile vise à donner à la cible l’impression qu’elle est parvenue toute seule à ces conclusions.

De quoi dépend le succès de l’ingénierie sociale ?

  • La volonté
  • La capacité de la cible d’envisager d’autres perspectives que la sienne
  • Sa capacité intellectuelle
  • Sa curiosité
  • Les croyances auxquelles elle a été exposée dans son enfance.

Il faut aussi tenir compte de facteurs externes qui peuvent persuader et influencer la cible, tels que:

  • la famille
  • les amis
  • ses partenaires commerciaux qui peuvent influencer sa perception


Comment persuader quelqu’un de faire ce que vous voulez ?

L’action persuasive est une tactique d’ingénierie sociale subtile, puissante et difficile à détecter lorsqu’elle est utilisée correctement.

Son but est de persuader une cible de se comporter de manière relativement automatique, sans grande réflexion de sa part.

1/ Devenir plausible aux yeux de votre cible

Combien de fois avez-vous fait une petite faveur à quelqu’un que vous aimez ? Qu’il s’agisse d’ouvrir la porte ou de donner son mot de passe Wi-Fi, les gens aiment dire « oui » aux personnes qu’ils aiment.

Nous répondons automatiquement aux personnes que nous aimons ; la question est de savoir de quel amour parlons-nous, et comment le générer ?

Les moyens utilisés par l’ingénieur social

L’attirance physique

C’est un facteur puissant auquel les gens sont très sensibles. Beaucoup de gens sont particulièrement sensibles à cette approche dite « du pot de miel« .

En général, les gens aiment ceux qui leur ressemblent ou qui ont des poins communs (croyance, physique, etc.). La détermination d’identités transversales peut s’avérer essentielle pour vous positionner comme quelqu’un de semblable à la cible.

L’approche sociale C’est la façon dont une cible parle et se conduit en public. Cette approche peut vous permettre de paraître agréable aux yeux d’une personne.
Faire des éloges et des compliments authentiques et convaincants

Cela fera pencher la balance en faveur de l’ingénieur social.

L’attaquant peut obtenir des informations grâce à une série de mensonges savamment élaborés.

L’agresseur prétend avoir besoin d’informations sensibles de la part d’une victime afin d’accomplir une tâche critique. Il commence habituellement par établir un lien de confiance avec sa victime en se faisant passer pour un collègue, un policier, un agent de banque, un agent du fisc ou toute autre personne ayant le droit de savoir.

Toutes sortes de renseignements sont recueillis à l’aide de cette escroquerie

  • des numéros de sécurité sociale
  • des adresses
  • des numéros de téléphone personnels
  • des relevés téléphoniques
  • des dossiers bancaires
Le coût du cybercrime sur 5 ans

Agrandir l’image

2/ L’autorité commandante

N’importe qui écoute une autorité

  • un policier
  • un médecin
  • un avocat
  • un représentant du gouvernement
  • un agent de recouvrement

Les demandes de ces personnes sont prises au sérieux. Dans le contexte de l’ingénierie sociale, c’est très valable d’être une autorité.

Le respect de l’autorité peut être exploité en assumant des rôles tels que « médecin », « spécialiste » ou « PDG ».

Faire semblant d’être dans une position de pouvoir peut amener la cible à contourner les règles pour vous faire plaisir ou pour éviter de vous contrarier.

L’apparence et la façon dont les autres vous traitent jouent un grand rôle

Un costume d’affaires et un insigne de travail peuvent suffire pour que les employés cessent soudain d’envoyer des textos en votre présence, inquiets que vous soyez quelqu’un d’important.

En assumant le rôle de figure d’autorité, il est important de tenir compte de caractéristiques telles que la parole, l’écriture et d’autres aspects physiques comme le toilettage et l’habillement.

Le but est de correspondre à ce que vous dîtes. Un agent de sécurité et un cadre de passage peuvent tous deux diriger un nouvel employé, mais ils s’habillent et agissent différemment. Adaptez votre rôle !

La peur peut aussi être utilisée

Les victimes peuvent être bombardées de fausses alarmes et de menaces fictives.

Les utilisateurs sont trompés en pensant que leur système est infecté par des logiciels malveillants, ce qui les incite à installer des logiciels qui ne présentent aucun avantage réel (sauf pour l’auteur) ou qui sont eux-mêmes des logiciels malveillants. On appelle ces logiciels des « Scareware« .

Un exemple courant de logiciels effrayants est l’apparition de bannières contextuelles d’apparence légitime dans votre navigateur lorsque vous naviguez sur internet, affichant un texte tel que:

« Votre ordinateur peut être infecté par des logiciels espions nuisibles. »

  • Ces pop-ups vous proposent soit d’installer l’outil (souvent infecté par des logiciels malveillants)
  • Soit de vous diriger vers un site malveillant où votre ordinateur sera là encore infecté

Les Scareware peuvent aussi être distribués par des courriels non sollicités qui diffusent de fausses alertes ou qui proposent aux utilisateurs d’acheter des services nuisibles ou sans valeur.

3/ L’utilisation de la réciprocité

Quand on on nous rend service, on a tous besoin de rendre cette faveur, c’est un sentiment universel.

Ça peut être utilisé comme une tactique pour attirer les gens à faire quelque chose qu’ils n’auraient pas considéré autrement. Nous aimons tous avoir des choses gratuites, mais la pression de la réciprocité nous pousse naturellement à vouloir faire quelque chose en retour.

Les gens sont attachés à vouloir équilibrer les relations sociales et répondront à ce sentiment d’endettement, même si la personne qui fait le don n’est pas très sympathique.

Le recours à la réciprocité peut être très efficace, car c’est un sentiment de déséquilibre qui poussera la cible à la réciprocité, plutôt qu’un processus conscient de pensée.

Même lorsque l’offrande initiale est petite ou insignifiante, les études montrent que les gens sont poussés à rendre la pareille, même si la demande est beaucoup plus importante que ce qui a été donné.

Les attaques à l’appât

Genelle Seldon

Dans la pratique, ces attaques à l’appât utilisent une fausse promesse pour piquer l’avidité ou la curiosité de la victime.

Elles attirent les utilisateurs dans un piège qui vole leurs informations personnelles ou inflige des logiciels malveillants à leurs systèmes.

Par exemple, l’attaquant laisse une clé USB infectée par des logiciels malveillants dans un endroit bien en vue, avec une étiquette paraissant authentique la présentant comme la liste des fiches de paie de l’entreprise.

Les victimes ramassent l’appât par curiosité et l’insèrent dans un ordinateur au travail ou à la maison, ce qui entraîne l’installation automatique de logiciels malveillants sur le système.

Dans le monde virtuel, les formes d’appât consistent en de la publicité qui mène à des sites malveillants ou qui encouragent les utilisateurs à télécharger une application infectée par un logiciel malveillant.

4/ Tirer profit de l’engagement d’une personne

Plus une personne est engagée dans une idée, un parti ou une opinion, plus il est important pour elle d’être cohérente dans ce qu’elle fait.

Le fait de ne pas le faire peut donner l’impression qu’on est incohérent ou qu’on n’est pas digne de confiance.

Cela peut être exploité en amenant une cible à prendre une position initiale cohérente avec le résultat souhaité. Les escrocs font souvent cela pour pousser les gens à prendre une décision qu’ils ne prendraient pas autrement.

Gilet Jaune photo source

Étudiez attentivement une cible pour comprendre les questions sur lesquelles elle est personnellement impliquée :

  • une croyance religieuse
  • sa profession
  • une cause sociale

Le désir de paraître cohérent est puissant et peut amener la cible à agir contre son propre intérêt.

Les gens ont beaucoup de mal à reculer d’une position une fois qu’elle est énoncée à haute voix. Guider une cible pour qu’elle énonce une position ou une croyance exercerera sur elle une pression interne intense qui fera en sorte qu’elle respectera sa parole ultérieurement.

Certains ingénieurs sociaux sont naturellement doués pour amener les gens à dire ou à s’engager dans des choses stupides ou hâtives.

Par la suite, ils mettent la cible au défi de respecter ses propres déclarations, pour la forcer à faire quelque chose qu’elle refuserait de faire autrement.

Le phising ou « hameçonnage »

Cette technique amène également au phising ou hameçonnage.

Il s’agit de campagnes par courriel et texto visant à créer un sentiment d’urgence, de curiosité ou de peur chez la victime.

Elle l’incite à révéler des informations sensibles en cliquant sur des liens vers des sites internet malveillants ou en ouvrant des pièces jointes qui contiennent des logiciels malveillants.

De la même manière, au lieu d’installer lui-même un logiciel espion dans le téléphone de sa victime, le pirate pourra demander à sa victime d’installer elle-même cette application dans son propre téléphone.

Un bon exemple d’application détournée pour utiliser cette technique est Mspy.

Présentée comme une application de contrôle parental, cette appli peut en réalité masquer son icône pour envoyer secrètement les localisations et les messages textes du portable à celui qui l’a installée.

Exemple de campagne d’hameçonnage

  • Un courriel envoyé aux utilisateurs d’un service en ligne les avertit d’une violation de politique exigeant une action immédiate de leur part (par exemple un changement de mot de passe).
  • Il comprend un lien vers un site internet illégitime – presque identique en apparence à sa version légitime – incitant l’utilisateur non averti à entrer ses informations d’identification et son mot de passe.
  • Une fois le formulaire soumis, l’information est envoyée à l’attaquant.

Étant donné que des messages identiques sont envoyés à de nombreux utilisateurs lors de ces campagnes de phishing, leur détection et leur blocage est assez facile à faire pour les serveurs de messagerie.

Le coût du cybercrime dans 7 Etats différents

Agrandir l’image

5/ Utiliser la validation sociale

Quand les gens ne savent pas quoi faire, ils se tournent vers leurs pairs pour se sentir à l’aise.

Qu’il s’agisse d’une personne qui vérifie les commentaires d’Amazon avant d’effectuer un achat ou d’une personne qui parcourt des commentaires avant de visiter un restaurant, le besoin essentiel de validation sociale est ancré en nous.

Dans une situation nouvelle, les gens se tournent en général vers les comportements des autres pour savoir comment réagir. En particulier, ils copient le comportement des personnes qui leur ressemblent.

De nombreuses petites entreprises font des achats simplement parce que leurs concurrents utilisent le même produit. Elles supposent que le produit a gagné la confiance de ses pairs.

La validation par les pairs devient une tactique à part entière.

Même les personnes prudentes ou sceptiques peuvent être convaincues de faire des choses comme:

  • donner leur numéro de carte de crédit
  • leur mot de passe
  • ou d’autres informations sensibles

…si elles voient leurs pairs adopter le même comportement.

La preuve sociale fonctionne mieux lorsque la cible est placée dans un environnement incertain et qu’on lui présente le comportement de personnes qui lui ressemblent.

12 applications de hacker pour pirater depuis un Android (APK gratuits)

6/ L’échéance de temps

Nous détestons tous le sentiment qu’un accord nous échappe.

  • Les offres limitées dans le temps
  • la disponibilité limitée
  • les articles rares

…attirent l’attention parce que les humains sont conçus pour trouver des articles rares ou difficiles à trouver.

Cet effet est amplifié lorsque quelqu’un a quelque chose de rare ou précieux à obtenir et qu’il ne veut pas rater l’occasion.

La rareté d’un article désirable provoque un sentiment d’appétit, renforcé par l’utilisation de tactiques comme les délais pour créer une pression artificielle.

Cette tactique fonctionne mieux lorsque quelque chose se fait rare, surtout lorsqu’il s’agit de quelque chose que la cible a l’habitude de recevoir.

Affirmer qu’il y a une quantité limitée, seulement suffisante pour quelques personnes, ou seulement disponible pour une certaine période de temps, est une méthode éprouvée poussant les gens à s’engager.

Les secteurs touchés par l’ingénierie sociale (en millions de dollars)

Agrandir l’image


Conclusion

Les humains sont aussi piratables que n’importe quel système informatique, et les cadres de persuasion que nous venons de voir exploitent le comportement humain pour surmonter les obstacles techniques.

Obtenir la coopération d’une cible grâce à l’ingénierie sociale peut réduire le temps et les ressources nécessaires pour atteindre un objectif. Les hackers savent pertinemment que les humains sont souvent la partie la plus faible d’un système.

Attaques d'ingénierie sociale : Techniques courantes
Pour nous encourager merci de noter l'article !
4.29 (7 votes)