Cybersécurité : le génie social

Une attaque pas comme les autres

L'attaque au génie social, popularisée par Kevin Mitnick, l'un des hackers les plus célèbres des années 1990, repose sur l'exploitation des faiblesses humaines plutôt que sur les vulnérabilités techniques des systèmes informatiques.

Cet article explore en profondeur l'attaque au génie social, ses mécanismes, ses impacts et les moyens de s'en protéger.

Qui est Kevin Mitnick ?

Kevin Mitnick était une figure emblématique du monde de la cybersécurité, mais ce ne fut pas toujours le cas...

Né le 6 août 1963 à Los Angeles, dès l’âge de 16 ans il devient célèbre pour ses exploits de hacking qui défrayèrent la chronique dans les années 1980 et 1990, surtout aux USA.

Il fut notamment impliqué dans plusieurs intrusions informatiques de grande envergure, ciblant des entreprises telles que Digital Equipment Corporation (DEC) et Pacific Bell, notamment pour dérober des logiciels propriétaires et des cartes de crédit, causant des pertes financières qui se chiffrèrent en millions de dollars.

En 1995, après une longue traque de deux ans, il est arrêté par le FBI qui fut aidé par Tsutomu Shimomura, un expert informatique renommé que Kevin Mitnick avait imprudemment défié…

Condamné à une peine de cinq ans d'emprisonnement, Kevin Mitnick se découvre alors des talents d’écrivain, et raconte ses exploits, mais surtout sa technique favorite dans "The art of deception", que l’on pourrait traduire par l’art de la supercherie.

Et quand il n’écrit pas, que fait Kevin Mitnick ?

Il devient consultant en sécurité informatique, bien sûr !

Sa vie prendra fin le 16 juillet 2023 après une courageuse lutte contre un cancer du pancréas, un ennemi autrement plus difficile à berner… 

Le concept du génie social en cybersécurité

Le génie social, ou social engineering en anglais, désigne l'ensemble des techniques utilisées pour manipuler des individus afin d'obtenir des informations confidentielles et/ou d'accéder à des systèmes informatiques, y compris hautement protégés.

Cette méthode repose sur la crédulité de la nature humaine, et sur un esprit commun qui agit souvent par automatisme, par facilité aussi, plutôt que sur l’exploitation des failles d’un système informatique.

L'attaquant se fait souvent passer pour une personne de confiance, comme un collègue d'une autre ville, un supérieur hiérarchique, un technicien d'une entreprise connue, ou encore un représentant d'un service à la clientèle, et les victimes n’y voient souvent que du feu…

Les techniques courantes de génie social

• Le prétexte (pretexting) : création d'un scénario fictif pour convaincre la victime de fournir des informations confidentielles, souvent en présentiel, en invoquant une certaines urgence.

  
  

• L’amorçage (baiting) : utilisation d'un appât, comme une clé USB infectée laissée là, que l’on connectera pour savoir ce qu’elle contient, à qui elle appartient, ou un smartphone dernier cri offert en cadeau promotionnel, pour inciter la victime à interagir sur le réseau avec un objet compromis.

  
  

• L'hameçonnage (phishing) : envoi de courriels trompeurs incitant les destinataires à dévoiler des informations sensibles ou à cliquer sur des liens malveillants.

• L'usurpation d'identité (impersonation) : se faire passer pour une personne légitime pour obtenir des informations ou un accès, généralement à la salle des serveurs ou d'autres endroits stratégiques, comme l'emplacement du routeur principal, notamment.

Les impacts du génie social

Ce type d’attaques peuvent avoir des conséquences dévastatrices pour les individus et les organisations. Parmi les impacts les plus courants, on retrouve :

• Vol d'identité

  
  

• Perte financière

  
  

• Divulgation d'informations sensibles / chantage

• Atteinte à la réputation

  
  

• Interruption des activités commerciales par destruction ou cryptage des données

Comment se protéger contre le génie social ?

Bien que les techniques de génie social soient sophistiquées et souvent difficiles à détecter, il existe plusieurs façons de les prévenir :

• Formation et sensibilisation : informer les employés et les individus concernés sur les techniques de génie social et les signes d'une attaque potentielle peut grandement réduire les risques. Des formations spécifiques régulières, et des simulations d'attaques en situation réelle contribuent à renforcer la vigilance.

• Vérification des identités : instaurer des procédures de vérification stricte des identités pour toute demande d'information ou d'accès à des systèmes sensibles est crucial. Il est important de ne jamais divulguer d'informations sensibles sans vérifier l'identité de son interlocuteur et son accréditation.

• Utilisation de la technologie : les logiciels de détection de phishing, les pare-feux, et les systèmes de gestion des accès peuvent aider à prévenir les attaques de génie social. L'utilisation de l'authentification multi-facteurs ajoute une couche de sécurité supplémentaire.

Conclusion

L’attaque au génie social reste une menace majeure dans le domaine de la cybersécurité, car elle est difficile à prévoir en raison de son polymorphisme.

En exploitant les faiblesses humaines, qui varient selon les personnes, les époques et les lieux, des attaquants habiles et souvent forts sympathiques peuvent, avec le sourire, contourner les mesures de sécurité les plus avancées, mettre en échec les schémas de résilience informatique les mieux conçus…

Et comme souvent en matière de sécurité, la sensibilisation par une formation régulière, adaptée et surtout comprise, reste la meilleure arme pour contrer ce type d’attaque qui cible ce qui nous caractérise le plus, notre humanité !