Carrières
fr
fr
Psychologue Sophie Jellema
Les gens nous demandent souvent : qu'est-ce que l'ingénierie sociale exactement, et y a-t-il quelque chose que je puisse faire à ce sujet ? Un pirate informatique a besoin d'informations pour pénétrer dans un réseau ou un système. Les mots de passe, par exemple.
Pour les obtenir, les criminels ont recours à l'ingénierie sociale. Mais comment cela fonctionne-t-il ? La psychologue Sophie Jellema répond à 6 questions sur l'ingénierie sociale.
L'ingénierie sociale consiste à pirater les gens, explique Sophie Jellema. Psychologue chez Bureau Veritas Cybersecurity, elle aide les entreprises en tant qu'ingénieur social éthique. Un ingénieur social comprend comment les gens fonctionnent et comment vous pouvez obtenir des informations d'une personne. Lorsque nous pensons au piratage, nous pensons à déchiffrer un code. Mais vous pouvez également pirater des personnes. Cela se produit de plus en plus souvent, car les entreprises sécurisent de mieux en mieux leurs informations sur le plan technique. Les criminels choisissent le moyen le plus facile d'entrer, et c'est l'homme".
Il n'est pas nécessaire d'être psychologue pour extraire des informations des personnes, explique M. Jellema. Il s'agit de comprendre comment les gens fonctionnent. Supposons que je veuille connaître votre mot de passe. Je pourrais vous le demander directement, mais vous refuseriez probablement. J'utilise donc un détour. Je vous dis : "N'est-ce pas ennuyeux de taper 14 caractères à chaque fois ? Vous me répondrez peut-être : "Non, il n'y en a que 8". Je sais maintenant quelque chose sur les exigences de votre entreprise en matière de mots de passe. Comme les gens aiment raconter leur histoire, vous pouvez récupérer beaucoup d'informations". Les ingénieurs sociaux vendent souvent ces informations par l'intermédiaire de réseaux criminels.
Sophie Jellema fait un appel au vishing
J'utilise principalement le téléphone lorsque je cherche des mots de passe", explique Jellema. Je ne le fais qu'avec l'autorisation de l'entreprise. Lorsque j'appelle un employé de l'entreprise, je me fais passer pour un informaticien. Je lui dis : "Nous constatons une activité étrange sur votre compte, pourriez-vous m'aider à la vérifier ?" Je fais semblant de pouvoir voir son compte. Je peux demander : "Votre ordinateur est-il lent ? Les ordinateurs sont toujours lents, c'est donc là que j'obtiens mon premier "oui". Je les rassure, nous discutons.
Puis je dis : "Tout va bien ici. Vous vous êtes connecté à 8h30, c'est bien cela ? La plupart des gens se connectent vers 9h00, c'est donc généralement correct. Puis je dis : "Je vois également une réinitialisation de mot de passe ici. Était-ce vous ? Hm, votre mot de passe est maintenant "welcome01". Ce n'est pas possible, n'est-ce pas ? Je crains d'avoir besoin du bon mot de passe, pourriez-vous me l'épeler ? En moyenne, 60 % des personnes que j'ai au téléphone me donnent leur mot de passe. Et ce, en l'espace de deux minutes environ".
Au téléphone, Jellema utilise les 7 principes de persuasion élaborés par le psychologue américain Robert Cialdini en 1984. Par exemple : la réciprocité et la sympathie. Ces principes sont issus du marketing et fonctionnent très bien pour obtenir des informations des gens. Je pourrais dire : "Il semble que quelque chose soit détourné de votre compte en ce moment. Je veux régler ce problème pour vous, mais j'ai besoin de votre aide". Les règles de la sympathie et de la réciprocité s'appliquent ici. Je crée un peu de panique avec une certaine pression temporelle et, en même temps, je suis vraiment sympathique et compréhensif ; si je vous aide, vous m'aiderez aussi".
Jellema utilise les mêmes astuces que les vrais escrocs. Si ce n'était pas mon travail, je me sentirais incroyablement coupable. C'est pourquoi j'ai toujours un entretien de suivi avec les personnes que j'ai "escroquées". Je leur explique ce que j'ai fait, pourquoi ils sont tombés dans le panneau. Ils sont peut-être ébranlés, alors je les rassure. Par la suite, je leur donne toujours mon vrai nom et j'insiste sur le fait que j'ai agi au nom de leur employeur.
L'ingénierie sociale revêt de nombreuses formes
Il existe de nombreuses formes d'ingénierie sociale. La plus connue est le Phishing. Vous pouvez obtenir des informations de toutes sortes de façons, explique M. Jellema : Ce que je fais au téléphone s'appelle le phishing vocal, ou vishing. Et bien sûr, tout le monde connaît le Phishing par e-mail. Il y a aussi le smishing : le phishing par SMS. Aux Pays-Bas, par exemple, de faux SMS de l'administration fiscale circulent : "Veuillez nous verser 17,95 euros".
Récemment, Mme Jellema et ses collègues ont constaté une augmentation du "phishing sur mesure" : il s'agit d'un phishing automatisé à grande échelle, utilisant des courriels ou des messages textuels sur mesure. Les criminels récupèrent des informations sur les médias sociaux à cette fin. Le message semble vous être totalement destiné. Il ne s'agit pas seulement de dire : "Bonjour, prénom, nom", mais aussi : "Vous travaillez pour cette entreprise depuis quatre ans". Romy Schellekens, membre de notre équipe, effectue actuellement des recherches sur le Phishing sur mesure, en collaboration avec la faculté de mathématiques et d'informatique de l'Université technique d'Eindhoven. Notre hypothèse est que beaucoup plus de personnes cliquent sur les liens contenus dans ce type d'e-mails".
Quelle que soit la forme d'ingénierie sociale utilisée, il s'agit toujours, selon M. Jellema, de gagner votre confiance ou de susciter votre intérêt. Dans le cas de l'appâtage, l'ingénieur social utilise un "appât", comme son nom l'indique : "Par exemple, je peux joindre une pièce jointe intéressante à un courriel et l'envoyer "accidentellement" à l'ensemble de l'entreprise. Le nom du fichier est peut-être "Gestion des primes l'année prochaine". Mon logiciel malveillant est caché dans ce fichier".
Le pretexting consiste à se faire passer pour quelqu'un d'autre afin de gagner sa confiance. Cela implique souvent plusieurs étapes. Un ingénieur social peut se faire passer pour votre fille. Elle envoie des SMS à partir d'un autre numéro parce qu'on lui a volé son téléphone. Une fois que vous avez cru à ce prétexte, l'ingénieur social vous demande si vous pouvez transférer de l'argent sur le compte d'un ami. Car ce n'est pas seulement le téléphone qui a été volé, mais aussi le portefeuille.
Un ingénieur social utilise souvent la technologie pour pirater les gens. Mais il est également possible de faire ce travail sans utiliser d'ordinateur ou de téléphone, explique Jellema : "Je travaille parfois en tant qu'invité mystère. Je suis littéralement payé pour entrer par effraction. Par exemple, j'ai récemment travaillé dans un musée. La mission était la suivante : jusqu'où pouvez-vous pénétrer dans le bâtiment ? Lorsque quelqu'un ouvrait une porte avec son badge d'accès, je mettais mon pied dans la porte. C'est ainsi que j'ai pu pénétrer dans le couloir qui menait à l'atelier de restauration".
Une telle mission peut être très éprouvante pour les nerfs, explique Jellema : "Ce couloir était hermétiquement fermé. J'ai vu une caméra. Un peu plus loin, il y avait la cabine de garde. Il n'y avait rien d'autre à faire que de se cacher dans une salle de bains. C'est ce que j'ai fait : Je me suis caché dans les toilettes pendant 10 minutes. A la fin, les gardes en chef m'ont intercepté et ne m'ont pas lâché. C'est ce que vous voulez : ne me perdez pas de vue. Vous pouvez me déposer à la réception, mais si vous me laissez seul, je ne resterai pas en place - comme un véritable ingénieur social".
Vous êtes au bureau et vous voyez quelqu'un qui n'a rien à faire là. Que devez-vous faire ? Jellema conseille : "Ne laissez pas les personnes qui n'ont pas de laissez-passer entrer dans le bâtiment avec vous. Cela peut sembler un peu impoli, mais je dis toujours aux étrangers qui essaient de me suivre à l'intérieur : "Je suis désolée, mais nous n'avons pas de laissez-passer : Je suis désolée, mais nous nous sommes mis d'accord pour assurer ensemble la sécurité de ce bâtiment. Je ne peux donc pas vous laisser entrer si je ne sais pas ce que vous faites ici".
Si un étranger se trouve déjà à l'intérieur du bâtiment et que la situation semble sûre, adressez-vous à lui. Dites : "Excusez-moi, je ne vous connais pas. Si une personne semble ne pas être autorisée, accompagnez-la à la réception ou à une personne de contact, si elle en mentionne une. Il n'est pas nécessaire de menotter quelqu'un. Restez amical".
Il se peut que vous soyez au téléphone avec quelqu'un et que vous ne lui fassiez pas confiance. Dans ce cas, Jellema conseille : "Ne partagez pas d'informations. Si vous l'avez déjà fait, mettez fin à la conversation et signalez l'incident dès que possible à quelqu'un qui pourra enquêter.
Aux Pays-Bas, nous avons un slogan : "Arrêtez, raccrochez, appelez votre banque". N'hésitez pas à le faire ! Vous avez cliqué sur un lien bizarre sur votre ordinateur portable professionnel ? Appelez le service informatique. Tout le monde peut être distrait un vendredi après-midi. Cela m'arrive aussi : Je me fais piéger par des e-mails de Phishing. Mais signalez-le".
Vous souhaitez former les employés de votre entreprise contre l'ingénierie sociale ? Le programme Security Awareness & Behavior Programma [SAFE] de Bureau Veritas Cybersecurity est fait pour vous. N'hésitez pas à nous Contactez-nous pour plus d'informations.
Mail of bel ons voor een vrijblijvend adviesgesprek over het trainen van de medewerkers van uw bedrijf tegen social engineering. We reageren binnen één werkdag.
