Quel est le degré de vulnérabilité à l’ingénierie sociale de vos procédures internes ? Dans 90% des cas, les hackers vous piratent en se servant de vos collaborateurs. 92% des logiciels malveillants sont livrés par e-mail.
Retex de Thomas LE COZ, cofondateur d’ARSEN, une startup de cybersécurité française, qui entraîne collaborateurs et entreprises à lutter contre le phishing grâce à des simulations d’attaques réalistes et des contenus de sensibilisation.
L’ingénierie sociale ou piratage psychologique regroupe des techniques utilisées par les cybercriminels pour inciter des utilisateurs peu méfiants à leur envoyer des données confidentielles, infectant ainsi leurs ordinateurs et les systèmes d’information de l’entreprise, avec des programmes malveillants ou ouvrant des liens vers des sites infectés.
Inventaire des principales menaces d’ingénierie sociale rencontrées par les entreprises.
Comme toutes les arnaques, indique Thomas LE COZ, on joue sur la confiance, sur l’autorité, sur le sentiment d’urgence, sur la peur. Et tous ces principes-là sont appliqués aujourd’hui pour mener à bien des attaques. On connaît certains de ces leviers psychologiques que l’on utilise aussi en marketing et en vente mais là, c’est pour réussir à mener à bien une attaque ou des actions malfaisantes.
Si dans l’entreprise, on a un minimum d’acculturation et des outils de filtrage qui évoluent avec des systèmes de reconnaissance de plus en plus sophistiqués, en revanche, c’est un jeu perpétuel du chat et de la souris.
Par exemple, une des nouvelles attaques est le Browser In The Browser (BITB).
Que sont les attaques BITB ? Les attaques de “navigateur dans le navigateur” consistent à simuler une fenêtre de navigateur dans le navigateur pour usurper un domaine légitime – un clonage de site authentique qui simule des fenêtres contextuelles SSO (popup) telles que “Se connecter avec Google” (ou Facebook, Apple, or Microsoft), pour hameçonner les informations d’identification.
Il faut donc toujours bien vérifier que l’adresse url est légitime pour éviter le vol d’identifiants…
Autre cas récent, quelque chose qui marche bien, c’est l’usurpation l’identité d’une application. On vous demande l’autorisation de droits sur la messagerie ou sur le système par l’application et, du coup, en quelques clics, on vous vole les accès...
Dans les années à venir, on va avoir de plus en plus d’acteurs malveillants, bien mieux financés quand il y aura un potentiel de rentabilité et qui vont innover sur ces techniques de failles non comblées. Et on va vite retrouver des “phishing kit”, des produits commerciaux, disponibles sur l’étagère.
Le Browser In The Browser, qui est encore assez unique, va vite devenir un phishing kit pour simuler d’autres types de navigateur. C’est un milieu qui est très agile.
Dès que l’humain est jeu, on peut faire de l’ingénierie sociale. Ainsi, quelque chose de très proche du phishing est le smishing ou le sms phishing. Du type :”vous avez reçu un colis à la poste, il faut payer 12 euros” .
On voit beaucoup moins de smishing dans un contexte business mais, en revanche, on peut le voir sur du multicanal : c’est-à-dire pour outrepasser des protections à multi-facteurs où on va avoir besoin de rentrer un code, soit à usage unique généré par sms reçus sur un téléphone – dans le meilleur des cas, avec des clés sécurisées. Avec un email, on peut très bien se faire passer pour un technicien sécurité en disant à une personne qu’elle va recevoir un code pour vérifier que c’est bien elle. La personne, en ayant réussi à voler les identifiants, va générer un code et demander à ce qu’on lui retransmette par sms.
Le voice cloning
Autre cas récent, le vocal. On connait “L’arnaque au président” ou l’escroquerie au « faux Le Drian », mais ça se complexifie. Il y a maintenant les deepfakes ou le voice cloning (clonage vocal) développés par l’industrie du cinéma… Le deepfake est une technique de synthèse multimédia reposant sur l’intelligence artificielle. Elle peut servir à superposer des fichiers vidéo ou audio existants sur d’autres fichiers vidéo ou audio. Sachant que toutes les personnes d’autorité de grands groupes ont tous fait des interviews, on peut par exemple récupérer des échantillons vocaux de bonne qualité et reproduire les voix pour une attaque…
Aujourd’hui, la surface d’attaque est énorme. Il y a les réseaux sociaux, les services clients, les services RH avec les CV en pièce jointe…
Si on regarde l’Internet Crime Report du FBI – c’est un recueil des plaintes et de consolidation des chiffres – on a un niveau beaucoup plus discret qui fait des dégâts chiffrés. C’est ce que l’on appelle le BEC (business email compromise) ou business account compromise : c’est le volet d’accès à une adresse email pour ensuite l’exploiter. Cela peut être soit pour de la fraude au président. Soit, autre technique un peu plus sournoise, contacter ses clients et demander des paiements sur un autre SEPA ou d’autres coordonnées de paiement. Et là, du coup, on met un peu de temps entre les relances ou pour comprendre que la facture a été payée mais pas sur le bon compte…
En résumé, Thomas LE COZ donne quelques conseils :
à destination du Comex et DSI :
Etre transparent sur les attaques… Cela permet aussi une sensibilisation et une prévention…
Peut-être remonter le RSSI au même niveau que la DSI, voire ne plus nécessairement le faire dépendre de la DSI.
Mettre à jour les programmes.
A destination des RH : Faire plus de pratique que de théorie. Il est nécessaire de ne pas se contenter de quiz mais d’entraîner les collaborateurs par des simulations réalistes.
Pour sensibiliser les salariés aux problèmes de phishing, les entreprises réalisent parfois des entraînements avec un e-learning de 45 minutes et un QCM où tout le monde aura 5 sur 5 et un petit diplôme. Mais on le remarque, cela ne se traduit pas en pratique, au quotidien, parce que, dans le cas d’attaque, nous sommes soumis à de la manipulation, mais aussi à de l’urgence, à un manque de réflexe ou de culture…
A destination des collaborateurs : A tous ceux qui pensent le directeur sécurité et le RSSI s’occupent de tout et qu’il n’y a pas de risque, eh bien ! c’est une erreur. Aujourd’hui, je pense que l’on a tous une responsabilité dans le monde actuel pour lutter contre ces attaques. Nous sommes tous un maillon de la chaine…
Propos recueillis par Virginie Cadieu, Directrice du pôle Sécurité-Sûreté d’Agora Managers Groupe
