Cybersécurité : l’ingénierie sociale dans le top 10 des menaces

L’ingénierie sociale vient de faire son entrée au top 10 du cabinet d’analyse Gartner qui analyse les tendances en matière de risques liés à la cybersécurité.  Ce rapport « Top 10 Emerging Risks of Q2 2018 » est construit en interrogeant des RSSI de grandes entreprises. Gartner définit ainsi l’ingénierie sociale comme étant le fait de « criminels chevronnés utilisant la tromperie pour manipuler les individus afin d’obtenir des renseignements confidentiels ou personnels qui pourront ensuite être utilisés à des fins frauduleuses ».

Cybersécurité : pirater le cerveau

Je vous propose de nous plonger dans les arcanes de l’ingénierie sociale au cours d’une série d’articles. L’objectif est de démystifier quelques unes de ces techniques afin de mieux s’en protéger. Pour cette entrée en matière nous allons cerner notre sujet et le définir.

Ingénierie sociale, de quoi parle-t-on ?

L’ingénierie sociale, ou social engineering en anglais, peut se référer à plusieurs domaines d’application. L’ingénierie se définie comme « l’ensemble des fonctions allant de la conception et des études à la responsabilité de la construction et au contrôle des équipements d’une installation technique ou industrielle » (arrêté du 12 janv. 1973 ds Lang. fr., Paris, J.O., 1980, p. 21, 1973). L’ingénierie s’applique donc à prendre en compte des situations complexes et à les traiter en apportant une solution structurée. Le terme social peut aussi bien se rapporter à la vie des hommes en société, à leurs interactions ainsi qu’à la protection des plus défavorisés. Il existe d’ailleurs un diplôme d’État d’ingénierie sociale attestant de compétences pour exercer des fonctions d’ingénieur appliquées aux domaines des politiques sociales et de l’intervention sociale.

« Tu n’as pas l’air malhonnête »
« C’est pour ça que je suis un si bon arnaqueur »

L’ingénierie sociale dans le domaine de la sécurité de l’information est un ensemble de techniques qui consistent à manipuler des personnes afin d’obtenir la remise volontaire de biens ou d’informations clefs. Ces techniques de manipulation mentale s’appuient sur les failles de l’humain. L’objectif est de tromper son interlocuteur et de le convaincre de la légitimité de notre demande. A la manière d’un assaillant qui cherche à contourner pare-feu et anti-virus pour accéder à un système informatique, le maître en ingénierie sociale cherchera à susciter la confiance de sa cible en utilisant des codes sociaux similaires afin de faire tomber ses défenses. L’objectif : pirater le cerveau humain. C’est à cet aspect que nous nous intéresserons par la suite.

Un peu d’histoire…

Le père de l’ingénierie sociale est l’ancien hacker américain Kevin Mitnick. Il est célèbre pour avoir été le premier hacker à figurer dans la liste des dix criminels les plus recherchés aux Etats-Unis. Il exerce aujourd’hui en tant que consultant en sécurité informatique. Co-auteur de L’art de la supercherie sorti en 2002, il y traite d’ingénierie sociale et plus particulièrement de sa mise en œuvre par le biais du réseau téléphonique. Dix ans après, Internet a supplanté le téléphone et est devenu le premier moyen de communication des français. Il est naturel que les techniques utilisées à la fin du XXème siècle se soient adaptées à l’apparition de nouveaux outils. La démocratisation d’Internet auprès des entreprises et du grand public, et sa place de plus en plus centrale dans nos activités quotidiennes a amené les escrocs à adapter les techniques d’ingénierie sociale aux nouveaux outils numériques entraînant son automatisation et sa massification.

Et le droit dans tout ça ?

Un des principes régissant le droit pénal est la légalité des incriminations et des peines. Le législateur s’attache donc à adapter en permanence la loi aux évolutions technologiques. Cette adaptation ne peut cependant se faire en temps réel. Ainsi la jurisprudence, interprétant la loi à l’aune d’un contexte nouveau, peut étendre le champ d’une incrimination existante (CHARRUAULT Christian et al., L’innovation technologique, Rapport annuel de la cour de Cassation, 2005). L’arsenal judiciaire propose à travers le code pénal des délits traditionnels qui peuvent s’appliquer à cette forme de criminalité numérique et des délits spécifiques qui ont été introduit pour répondre à des menaces particulières.

Et si tout passait par de la prévention ?

Des pratiques simples peuvent être mise en place pour contrer une approche par ingénierie sociale. Ces bonnes pratiques dispensées aux entreprises et aux particuliers se doivent d’avoir une contrainte limitée afin d’être appliquées sur la durée.

L’ingénierie sociale, un défi de la cybersécurité

La cybersécurité est souvent abordée sous l’angle technique mais ici nous allons mettre l’humain au centre de notre réflexion. Nous allons ainsi évoquer l’ingénierie sociale en se posant ces quelques questions :

  1. Comment préparer un scénario d’ingénierie sociale ?
  2. Quels sont les outils nécessaires à la mise en place d’un scénario d’ingénierie sociale ?
  3. Comment se déroule une attaque d’ingénierie sociale ?
  4. Quelles qualifications pénales pour l’ingénierie sociale ?
  5. Comment lutter contre les techniques d’ingénierie sociale ?

Nous verrons dans le prochain article comment rechercher de l’information en vue de monter un plan qui tienne la route.