Les attaques les plus difficiles à défendre, sans nécessiter de technique

En juillet 2020, le système de gestion interne de Twitter a été piraté. Les attaquants ont pris le contrôle de plus de 130 comptes à haute visibilité, y compris ceux de Barack Obama, Joe Biden et Elon Musk, utilisant ces comptes pour publier des tweets frauduleux sur les cryptomonnaies, en volant plus de 100 000 dollars en bitcoin en quelques heures. Le cœur technique de cette attaque n'est pas basé sur une quelconque exploitation complexe de vulnérabilités. Les attaquants ont appelé les employés de Twitter, se faisant passer pour des membres du service informatique, prétendant avoir besoin d'aide pour vérifier les comptes dans le système interne, dirigeant les employés vers une page de phishing pour qu'ils saisissent leurs identifiants de travail. Plusieurs employés ont cru à cette supercherie et les attaquants ont ainsi obtenu l'accès aux outils internes de Twitter. L'ensemble du processus de piratage, du début à la fin, n'a pas duré plus de quelques heures.

La logique centrale des attaques par ingénierie sociale

Les attaques par ingénierie sociale exploitent plusieurs réactions psychologiques prévisibles des gens dans des situations spécifiques : ##Obéissance à l'autorité## Lorsqu'une personne croit que l'instruction provient d'une source autoritaire, telle qu'un service informatique, un supérieur, ou un service client bancaire, elle réduit considérablement son examen de la légitimité de cette instruction avant de l'exécuter. Les attaquants, en se faisant passer pour des figures d'autorité, poussent la cible à agir sans réflexion suffisante. ##Création d'un sentiment d'urgence## Un compte sera verrouillé dans les trente minutes, le système subit une attaque nécessitant immédiatement un traitement, votre colis doit être confirmé aujourd'hui sinon il sera retourné. Ces conceptions qui créent un sentiment d'urgence visent uniquement à obliger l'autre partie à agir sans prendre le temps de réfléchir. Établissement et exploitation de la confiance Certaines attaques par ingénierie sociale ne se contentent pas d'un contact unique, mais prennent le temps d'établir une crédibilité avant de faire une demande réelle. L'autre partie a peut-être déjà interagi plusieurs fois normalement, vous

Quelques cas réels d'intrusions d'entreprise

##Fuite de données d'Uber en 2022## En septembre 2022, un attaquant âgé de dix-huit ans a réussi à infiltrer le système interne d'Uber, obtenant l'accès à plusieurs systèmes critiques, y compris AWS, Google Cloud et la base de données des rapports de vulnérabilités de HackerOne. Le début de l'intrusion était l'achat dans le dark web des identifiants d'un sous-traitant d'Uber, puis l'envoi continu de notifications push de vérification à deux facteurs à cet employé. Lorsque cet employé, fatigué, a accepté l'une des notifications, l'attaquant a obtenu un accès initial, puis a trouvé des fichiers de configuration contenant des identifiants de compte hautement privilégiés via le système interne. Attaque de MGM Resorts en 2023 En septembre 2023, MGM Resorts a subi une attaque par ransomware, provoquant l'arrêt de plusieurs systèmes dans des casinos de Las Vegas pendant plus de dix jours, avec des pertes estimées à plus d'un milliard de dollars. Les attaquants ont trouvé les informations d'un employé informatique de MGM sur LinkedIn, ont appelé le service client de MGM, se faisant passer pour cet employé pour demander la réinitialisation de l'accès au compte. Le service client

Pourquoi les défenses techniques ne peuvent-elles pas résoudre complètement ce problème?

Les pare-feux, la vérification en deux étapes, les logiciels de sécurité des points de terminaison, ces outils techniques sont efficaces contre les attaques techniques traditionnelles. Mais lorsque les attaquants visent à persuader une personne réelle d'exécuter une demande apparemment raisonnable, ces outils se trouvent, dans la plupart des cas, à côté du chemin de l'attaque, et non au milieu. Cela ne signifie pas que les défenses techniques sont sans valeur, mais que les attaques par ingénierie sociale révèlent un aspect de la défense en cybersécurité qui ne peut pas être résolu uniquement par des techniques, à savoir le jugement humain. Pour les entreprises, la clé de la réduction du risque d'attaques par ingénierie sociale n'est pas d'acheter plus d'outils, mais de permettre aux employés de comprendre réellement comment fonctionnent ces attaques, et d'avoir un processus de vérification pour toute demande de fourniture de données d'identification ou d'exécution d'opérations sensibles, qui ne soit pas soumis à la pression contextuelle. Pour les utilisateurs individuels, comprendre la logique derrière ces attaques est la base de la défense la plus efficace. La prochaine

Questions fréquemment posées par les professionnels de la cybersécurité et les utilisateurs concernant les attaques par ingénierie sociale

Les entreprises ont déjà une formation à la sensibilisation à la cybersécurité, pourquoi continuent-elles à se faire attaquer avec succès par ingénierie sociale?

La formation à la sensibilisation à la cybersécurité offre une préparation au niveau des connaissances, mais les attaques par ingénierie sociale exploitent le jugement immédiat des personnes dans des situations de pression réelle, plutôt que le manque de connaissances. Des recherches montrent que même les employés ayant suivi une formation complète en cybersécurité répondent favorablement aux exigences des attaquants lorsqu'ils sont confrontés à des situations suffisamment réalistes d'ingénierie sociale. La différence réside dans le fait que les employés formés prennent plus rapidement conscience de ce qui s'est passé après coup, signalent plus rapidement, et limitent ainsi la portée des pertes. La véritable valeur de la formation réside non seulement dans la prévention des attaques, mais aussi dans l'établissement d'une culture où les situations anormales peuvent être rapidement identifiées et signalées.

Comment confirmer qu'un appel ou une lettre provient réellement d'une source officielle?

Le moyen le plus fiable est de raccrocher ou de fermer le message et de confirmer par le biais des coordonnées que vous avez trouvées vous-même. La clé est que ce geste de vérification doit être initié par vous, et non par les informations de contact fournies par l'autre partie. Les organismes, banques ou plateformes officielles ne seront pas dérangés par votre demande de vérification d'identité, et toute impatience ou pression de leur part constitue un signal clair. Cette habitude peut sembler fastidieuse, mais elle casse fondamentalement la dépendance de l'attaque par ingénierie sociale, qui repose sur la capacité de l'autre partie à contrôler le rythme et l'urgence de l'interaction.

La technologie Deepfake rend-elle les attaques par ingénierie sociale plus difficiles à défendre?

Oui, et cette tendance est passée de la théorie à des cas pratiques au cours des dernières années. En 2024, Hong Kong a connu un cas où un attaquant a utilisé une réunion vidéo Deepfake pour escroquer un responsable financier d'une entreprise, simulant une réunion avec plusieurs dirigeants pour demander au responsable d'effectuer un virement important, entraînant des pertes de 200 millions de dollars hongkongais. La technologie Deepfake rend la fiabilité de la vue et du son peu fiables pour juger de la réalité, abaissant considérablement le seuil de difficulté des attaques par ingénierie sociale, tout en rendant sans effet certains conseils traditionnels de vérification d'identité par vidéo dans certaines situations. Face à cette tendance, les entreprises doivent établir des processus d'autorisation qui ne dépendent pas du jugement d'une seule personne, tandis que les individus doivent maintenir des standards de vérification plus élevés pour toute demande impliquant de l'argent ou des informations sensibles, quelle que soit la crédibilité apparente de l'interlocuteur.

Une idée clé : La raison pour laquelle le taux de succès des attaques par ingénierie sociale reste élevé est qu'il ne s'attaque pas aux systèmes, mais plutôt aux biais de jugement des individus face à la pression et à l'autorité. Comprendre cette logique est en soi le point de départ le plus efficace pour se défendre.