Voici en tout cas les différents aspects du social engineering. Ce type d’attaque n’est autre que le fait de « faire réaliser à une personne une action dont elle n’aurait pas pris l’initiative seule ». Aucun terme français ne correspond exactement au social engineering. On parle d’ingénierie sociale, de subversion psychologique, de psychologie sociale,… Cependant ce phénomène ne date pas d’hier et encore moins de l’informatique. Cette technique existe, en effet, depuis bien longtemps déjà.
Pour l’attaquant, cette méthode ne coûte pas cher, toutefois l’investissement en temps de recherche d’informations, de psychologie, est important. De plus, c’est une science humaine donc les résultats ne sont aucunement garantis, cependant elle ne sera que rarement détectée. Les objectifs d’une attaque de social engineering ne diffèrent pas des autres attaques : il s’agit de gagner de l’argent, de saboter,… et pour cela l’attaquant peut soit aller très vite, soit prendre son temps.
« faire réaliser à une personne une action dont elle n’aurait pas pris l’initiative seule »
Le social engineering nécessite un investissement en apprentissage :
- aspects de psychologie, surtout sociale dont fait partie la manipulation (comment les gens réagissent à un stimulus donné ?)
- connaissances techniques : en général, l’attaquant provient du domaine du hacking, donc le côté technique ne lui pose pas de problème. La plupart du temps, il a de bonnes connaissances sur le piratage classique, puisque bien souvent le social engineering n’est que l’une des étapes d’une attaque technique
- documentation sur la cible et le contexte de l’attaque qu’il va mener. Il doit, en effet, trouver des informations sur la vie privée, sociale et professionnelle de la personne attaquée.
- Le support informatique car on l’appelle pour lui demander de l’aide, souvent en cas de perte de mot de passe. Cette cible est souvent utilisée par les employés, les prestataires de l’entreprise
- Les utilisateurs de services en ligne car ils sont peu sensibilisés. Ils ont, en général, une mauvaise connaissance des habitudes des sociétés
- Les utilisateurs réguliers du SI car ils connaissent l’organisation d’une société, les procédures. Cette cible permet à l’attaquant d’assembler un annuaire bien renseigné
- Les nouveaux utilisateurs ou utilisateurs occasionnels (nouveaux employés, stagiaires) car ils ne connaissent pas le fonctionnement de la société. Leur sensibilisation s’avère inexistante ou naissante
- Les administrateurs car ils connaissent parfaitement le SI. Ils ont de très bonnes connaissances et sont fortement sensibilisés. Ce type de cible est difficile et exigeant mais des attaques spécifiques existent. Les bénéfices sont très élevés.
Le social engineering est une technique qui fonctionne car elle fait appel à des caractéristiques humaines telles l’entraide ou la confiance. Pour arriver à ses fins, l’attaquant soulève différents leviers d’attaque :
- Amitié et coopération : l’empathie, la sympathie, la détresse, la culpabilité. Il faut pour cela connaître le contexte de la cible, ainsi que certains aspects personnels du sujet. Cette méthode est relativement discrète mais nécessite souvent plusieurs tentatives
- Usurpation d’identité et intimidation : pouvoir et soumission, diffusion de responsabilités. Cette méthode est un peu plus risquée que la précédente. Il faut disposer d’un annuaire bien renseigné sur la société, de son organigramme. Cette méthode est plus rapide puisque dans la mesure où cette méthode est agressive, un seul essai est possible
- Sabotage : vise les administrateurs. Il s’agit de se faire connaître comme l’interlocuteur adéquat en cas de problème du SI. L’attaquant profite alors de la confiance instaurée. Cette méthode est peu discrète mais efficace
- Techniques associées : le « trash recovering » qui n’est autre que de la récupération de poubelles, le « shoulder surfing », qui pourrait se traduire par de la navigation au-dessus de l’épaule de la cible.
Quels sont les moyens de lutte ? La sensibilisation est très importante. Elle est coûteuse en temps et en ressources mais elle peut se réaliser. Cependant, la sensibilisation n’est rien sans des directives de sécurité qui doivent prendre en compte la menace de social engineering. Stéphane Jourdois conseille également le confinement et la classification. Il faut retirer l’information à l’utilisateur, la classifier, à travers un système d’authentification physique (token, biométrie).
Les entreprises en parlent très peu et ne rentrent pas dans les détails
Une attaque est plus ou moins discrète, donc détectable. A partir du moment où c’est une attaque qui cible l’humain, elle a beaucoup d’avenir. Le social engineering est d’ailleurs actuellement en forte progression. Cependant, pour le moment très peu d’informations concrètes, de cas d’attaques, sont disponibles, car les entreprises en parlent très peu et ne rentrent pas dans les détails.
Pour le Commissaire Yves Crespin, directeur de la BEFTI (Brigade d’Enquêtes sur les Fraudes aux Technologies de l’Information), le social engineering est l’art de sous tirer les informations à quelqu’un par l’intermédiaire de ruses. L’escroquerie permet de tromper une personne et de la pousser à remettre quelque chose à quelqu’un. Elle est punissable en droit français de 5 ans d’emprisonnement et de 375 000 d’amendes.
La BEFTI a eu la main mise sur la première affaire de phishing recensée en France, celle du Crédit Lyonnais. Le phishing repose sur l’envoi d’emails incitant les victimes à cliquer sur un lien les entraînant sur un site infecté. Deux techniques font le succès de ce type d’attaque. En effet, elle s’appuie sur deux moyens psychologiques : la peur et l’appât du gain. La manipulation d’individus a désormais un surnom : M.I.C.E.
- M comme Money (corruption, petits cadeaux)
- I comme Idéologie (idéologie, idéaux)
- C comme Constraint (chantage, contrainte)
- E comme Ego (flatterie, rétribution)
Le scam, par exemple, provient généralement de Côte d’Ivoire. On vous fait espérer un gain en aidant quelqu’un. Le scam repose sur un envoi de mails visant à faire croire à la victime qu’elle peut venir en aide à quelqu’un ou obtenir un bénéfice. C’est pourquoi cette technique marche énormément ; elle fait appel à l’empathie. Cependant ces mails sont reconnaissables. Ils se ressemblent tous.
Pour Yves Crespin, il ne faut pas oublier que le voyou est une crapule ; il n’a pas de sentiments. Son objectif est de faire de l’argent. « Nous nous faisons tout le temps arnaquer, mais c’est parce qu’on le veut bien. Il faut être plus paranoïaque quand on surfe sur Internet » conclut-il.
Danielle Kaminsky dresse, quant à elle, un panorama des principales recherches en psychologie sociale, qui ont été faites ces 40 dernières années pour tenter de comprendre les mécanismes de l’influence, de la soumission ou encore de la manipulation.
La soumission à l’autorité
Les travaux de Stanley Milgram dans les années 1960 à l’université de Yale. Cette étude visant à estimer à quel point un individu peut se plier aux ordres d’une autorité qu’il accepte, mais qui entre en contradiction avec sa conscience, fut publiée en 1963 et a donné suite à de nombreuses variantes. Un petit rappel de l’expérience : une quarantaine de personnes entre 20 et 40 ans provenant de différents milieux socioculturels ont été contactées pour effectuer un test « de mémorisation ». Les sujets ont le rôle de « professeur » devant infliger en cas de mauvaise réponse des « élèves » une décharge électrique, dont l’intensité ne cesse de croître au fur et à mesure. Les résultats sont effrayants : 100% des sujets sont allés jusqu’à infliger 285 volts et 65% d’entre eux jusqu’à la décharge maximale, soit 450 volts. Par contre, dans le cas où on laisse le choix de l’intensité au sujet, 80% s’arrêtent à 120 volts.
Nous avons été socialisés pour être soumis à l’autorité
D’autres expériences, comme celle réalisée par Hofling, Brotzman, Dalrymple, Graves& Pierce en 1966, ou encore celle accomplie en 2000 par Howery et Dobbs, montrent à quel point la soumission à l’autorité est perçue comme légitime, surtout quand elle provient de « figures d’autorité », telles le médecin, le professeur, la police, le père,… Depuis que nous sommes tout petits nous avons appris à obéir à des règles ; nous avons intégré de plus ces « figures d’autorité ». Certains attributs font autorité (uniformes, blouses, voitures, badges,…). Néanmoins, ces attributs sont très faciles à contrefaire, d’où le problème du social engineering.
La soumission librement consentie : expression de Joule et Beauvois
La soumission librement consentie se définit comme le fait d’amener quelqu’un à un comportement tout en lui laissant le sentiment qu’il a eu ce comportement en toute liberté.
Le technique du pied dans la porte, par exemple, s’effectue par requêtes successives. Dans un premier temps, il faut demander quelque chose de très bref, simple, puis aller vers quelque chose de plus important. Cette évolution est nécessaire car si on demande directement quelque chose d’important à quelqu’un, on observera beaucoup plus de refus. Il faut que la première requête soit toujours faisable. Les requêtes ont toujours un caractère pro social.
Pied dans la porte ou porte au nez ?
La technique de la porte au nez est l’inverse du pied dans la porte. En effet, avec cette technique, c’est la première requête qui est exorbitante, tandis que la deuxième est accessible. Selon une étude de Cialdini, Vincent, Lewis,..., réalisée en 1975, 98% des sujets testés refusent la première requête, mais 50% acceptent la deuxième. Dans le cas où la première requête a été mise de côté, seulement 25% répondent de manière affirmative à la deuxième requête.
La simple évocation de la liberté prédispose à la soumission. Le sentiment de liberté rend plus acceptable de répondre à la demande. Cette technique ne fonctionne cependant pas à 100%, il existe toujours une minorité de personnes qui n’obéissent pas. De plus, l’individu est imprévisible. Quelqu’un qui accepte une fois peut très bien être amené à refuser un autre jour car le contexte n’est pas le même.
Paul Grassart : comment amener les gens à adopter librement de bons comportements de sécurité ? Ne pourrait-on pas utiliser ces techniques mais dans le bon sens ? Comment marche la théorie de l’engagement ?
On remarque des faiblesses comportementales classiques. Il existe une grande différence entre ce que l’on montre, ce que l’on dit, ce que l’on fait. Le principal problème réside dans le fait que même si on arrive à convaincre les gens, ils ne changent pas forcément leur comportement.
- Stratégies de persuasion : campagnes de sensibilisation, formation, tracts, envoi d’emails pour que les gens soient convaincus
- Stratégies de sensibilisation : il s’agit ici de faire en sorte que les gens le comprennent par eux-mêmes.
Toutefois, l’écart trop souvent constaté entre l’attitude d’une personne et son comportement pose problème. En appliquant la théorie de l’engagement, on va jouer directement sur un comportement qui fera lui-même changer les autres comportements. L’objectif est d’agir sur les comportements pour faire évoluer les attitudes. Il faut lutter contre l’effet de gel (quand on prend une décision, souvent on gèle les choix, car on souhaite la tenir). L’effet pervers repose donc sur la persévérance même si l’on sait que c’est déraisonnable. Ne pas tomber dans des pièges abscons n’est pas toujours chose simple : engagement dans un processus de dépense dont le gain n’est pas certain et où chaque dépense laisse croire qu’on se rapproche du gain. C’est une technique d’automanipulation.
Paul Grassart conseille d’utiliser les techniques du « pied dans la porte » ou encore de la « porte au nez ». Il ne faut pas hésiter, selon lui, à combiner les techniques. En psychologie sociale, la théorie de l’engagement, c’est un lien qui unit l’individu à ses actes comportementaux. Selon lui, pour qu’une personne s’engage, il faut :
- lui garantir qu’elle est libre ou non d’accomplir l’acte
- mettre en relief les conséquences de l’acte
- que l’acte soit public ; si elle s’engage en public, elle ne reviendra pas en arrière
- éviter toute justification d’ordre externe
- amener progressivement la personne vers la médiation de l’acte engageant.
L’objectif est de faire venir la personne aux séances de sensibilisation à la sécurité. L’employé doit penser venir librement à la séance. On peut, par exemple, le solliciter par email ou téléphone. Il aura ainsi l’impression de décider de venir ou non. Il faut donc mettre les gens en situation de liberté. Pendant la séance, il est nécessaire de leur faire croire qu’ils prennent part aux décisions. Il faut, de plus, les laisser s’exprimer et trouver des idées. A la din d’une séance, la personne doit s’être engagée sur un point de son choix. Ce phénomène permet de renforcer le lien entre la personne et ses comportements.
Auteur : Emmanuelle Lamandé - Mag Securs - juin 2007
