Pourquoi les attaques par ingénierie sociale sont-elles redoutables ?

25 mai 2017 - Publié par Vincent

Les menaces liées à l’ingénierie sociale sont plus difficiles à détecter car elles visent directement l’utilisateur et non pas son système. La manière la plus efficace de se protéger face à ce genre d’attaques est, comme pour les logiciels, de se mettre à jour, de s’informer sur les menaces afin de savoir identifier les attaques et s’en prémunir.

Peu couteuses, faciles à mettre en œuvre et facilement dissimulables, les attaques par ingénierie sociale nécessitent peu de moyens et sont simples à réaliser.

Démonstration d’attaque par ingénierie sociale à la DEF CON 2015 de Las Vegas :


Exemple d’attaque avec un coup de téléphone et un bébé qui pleure en fond sonore

Une prévention insuffisante sur le phishing

Il y a un manque de conscience sur la prévention du phishing de la part de certaines entreprises dans leur façon de communiquer avec leur clientèle.

Les envois d’emails légitimes depuis un domaine inconnu

Exemple avec Électricité de France (EDF).
Lorsque vous êtes client chez eux, EDF vous contacte par email avec l’expéditeur votre-conseiller@relation-client-edf.com.

Difficile avec le domaine relation-client-edf.com de savoir s’il s’agit bien d’un email légitime provenant d’EDF alors que le site officiel d’EDF est https://www.edf.fr.

Après avoir m’être renseigné sur le sujet, je me suis aperçu qu’ils utilisaient d’autres domaines de ce genre pour leurs campagnes email : @relation-client-edf.com, @suivi-client-edf.com, @bleu-ciel-edf.com, @newsletter-edf.com, @info-edf.com, @communication-edf.com mais également et bien sûr @edf.fr et @edf.com.

Avec une stratégie de communication comme celle là, quoi de plus simple pour un attaquant que de lancer des attaques par phishing chez des clients EDF ? Avec edf-relations.com par exemple, un nom de domaine disponible à l’achat lors de la publication de cet article.

L’externalisation mal maitrisée de la communication client

Ces questions touchent aussi les entreprises qui externalisent leur communication client.

Les emails sont bien souvent envoyés depuis l’adresse du prestataire et non celle du client. Les liens présents dans le mail contiennent très souvent un tracker (paramètre unique mis dans l’URL et associé au client) et pointent directement vers un outil d’analyse du comportement des clients puis sont redirigés vers la page voulue.

C’est sans compter les risques de fuite de fichiers clients qui passent entre les mains de prestataires dont le niveau de sécurité du SI est parfois anecdotique ou marketing.

La merveilleuse histoire du HTTPS et du petit cadenas vert

Des messages inexacts autour du HTTPS continuent encore à être diffusés, du type :

Un site en HTTPS est un site sécurisé.

Non. Le HTTPS garantit juste que :

  1. les données échangées entre le navigateur et le site sont chiffrées,
  2. les données échangées entre le navigateur et le site sont intègres,
  3. le site visité est bien celui associé à l’URL dans le navigateur.

Mais c’est tout. Seule la transmission des informations entre le navigateur et le serveur est sécurisée, le HTTPS ne garantit pas que le comportement du site web est sécurisé. Un site en HTTPS peut très bien être malveillant ou être légitime mais avoir de très mauvaises pratiques de protection des données.

On lit et on entend aussi parfois des variantes de type :

Le site est sécurisé si un petit cadenas vert apparaît en haut à gauche.

Non plus. Là encore c’est un raccourci dangereux, mettre une image de cadenas vert dans le body HTML de son site n’est pas très compliqué et n’a jamais rendu un site sécurisé.

Les attaquants profitent de l’idée que se fait monsieur et madame tout le monde sur les sites en HTTPS pour arriver à leurs fins.

Exemple: Devant son ordinateur, Monsieur P décide d’acheter un nom de domaine et un certificat TLS, il choisit d’acheter paypai.com, le nom de domaine est libre (ça ressemble à paypal.com, coïncidence n’est-ce pas ?).
Chose faite, Mr. P a maintenant son site en HTTPS: https://www.paypai.com. Monsieur P envoie de faux emails en se faisant passer pour PayPal avec un message invitant à se connecter sur le lien https://www.paypai.com. La présentation des emails est très soignée, on croirait un vrai.
De l’autre côté, Monsieur et madame MICHU ont reçu ce mail et ont cliqué sur le lien. Dans leur navigateur, une page s’ouvre avec les couleurs et le logo Paypal les invitant à se connecter. Le couple sait qu’il faut faire attention sur Internet, ils sont vigilants, ils vérifient que le site est bien en HTTPS et que le navigateur affiche bien un petit cadenas vert. C’est le cas, monsieur et madame MICHU renseignent alors leurs identifiants, le faux site en profite pour changer les informations sur le site légitime et prendre le contrôle des comptes PayPal du couple.

L’ingénierie sociale a toujours existé. La différence entre aujourd’hui et hier, c’est que l’informatique permet aux attaquants de commencer avec peu de moyens, d’avoir accès à plus d’informations sur leurs cibles et de mieux de dissimuler. En cela, les attaques par ingénierie sociale sont redoutables et touchent tout le monde, pour contrer les menaces, cela passe par la prévention, la connaissance et la vigilance de chacun. Ce constat doit nous pousser, à sensibiliser en permanence les professionnels, particuliers et institutions étatiques sur l’importance d’être vigilant, de se tenir à jour des menaces, de se former sur le sujet.

Article intéressant sur le sujet :