Comment lutter contre les techniques d’ingénierie sociale ?

Comme nous venons de le voir, l’ingénierie sociale ne présente pas de caractère délictuel en soi. Elle prendra place le plus souvent en tant qu’élément matériel de l’infraction d’escroquerie. La recherche des auteurs d’infractions employant des techniques d’ingénierie sociale est rendue ardue par l’utilisation d’outils d’anonymisation de leurs traces. L’utilisation massive de ces techniques et leur répression difficile nous amène à explorer les contre mesures qui peuvent être mises en place et les solutions préventives.

L’information, la prévention ou encore la formation, qu’elles soient à l’initiative du secteur public ou privé, sont les meilleurs investissements possibles ne matière de lutte contre l’ingénierie sociale.

Comment lutter contre les techniques d'ingénierie sociale ?

Information et prévention

Une étude menée par Kaspersky Lab en 2012 montre que 50% des utilisateurs d’Internet ne savent pas reconnaître un message de phishing. Partant de ce constat, des acteurs concernés par l’utilisation des techniques d’ingénierie sociale, partenaires privés et publics, ont mis en place des communications à destination du public et des campagnes de prévention visant aussi bien les particuliers que les entreprises.

A destination des particuliers

Communication des grandes entreprises

Les grandes sociétés françaises susceptibles de voir leur image utilisée dans le cadre de campagne de phishing ou comme support de techniques d’ingénierie sociale visant à duper les consommateurs mettent à disposition de leurs clients des informations sur leurs sites Internet. C’est le cas par exemples d’EDF, SFR, la Société Générale, …

Ingénierie sociale - EDF : Attention aux e-mails et sites frauduleux

EDF : attention aux e-mails et sites frauduleux

Les informations diffusées sur ces sites recensent les bonnes pratiques à observer pour minimiser le risque de se faire piéger par un e-mail de phishing ou des techniques d’ingénierie sociale.
Ces bonnes pratiques consistent à observer les préceptes suivants :

  • Avoir un système d’exploitation à jour.
  • Avoir un antivirus à jour. Il existe des solutions efficaces gratuites ou payantes.
  • Utiliser une connexion WiFi sécurisée.
  • Avoir un navigateur Internet à jour. Les navigateurs les plus populaires proposent un système de mise à jour automatique et transparent pour l’utilisateur.
  • Toujours utiliser l’adresse habituelle du site internet de la société que l’on souhaite visiter. Ne pas cliquer sur un lien proposé dans un e-mail.
  • Vérifier l’authenticité du site et le chiffrement de la connexion par la présence du cadenas qui apparaît soit en haut soit en bas de la fenêtre du navigateur.
  • Ne jamais communiquer son mot de passe s’il est demandé par e-mail, téléphone ou SMS.
  • Les informations bancaires (numéro de compte, numéro de carte bancaire, cryptogramme) sont demandées uniquement des les espaces clients des sites légitimes.
  • Être attentif à l’orthographe et à la syntaxe des messages reçus.

Cette liste de bonnes pratiques n’est pas exhaustive mais constitue une base qui peut être diffusée au plus grand nombre.

Campagnes de prévention menée par l’Administration

L’administration française mène au plan national des actions d’information et de prévention dans le domaine de la sécurité informatique. Un portail mis en place par l’ANSSI est présent sur Internet à l’adresse https://www.ssi.gouv.fr. Ce portail regroupe un ensemble de fiches, guides et conseils à destination de l’usager des technologies numériques.

Au niveau local, différentes administrations peuvent également mettre en place des campagnes de prévention des risques liés à l’usage des technologies numériques. Ces campagnes, dont l’objet principal est la lutte contre les escroqueries commises via Internet, incluent souvent un volet sur la prévention des techniques d’ingénierie sociale.

Par exemple la région de Gendarmerie de Champagne-Ardenne a mis en place en 2011 et en 2012 une campagne de prévention afin de lutter contre les infractions rentrant dans le champ des escroqueries et infractions économiques et financières. Cette campagne a permis de diffuser un « code de bonne conduite » auprès des particuliers. Parmi les conseils prodiguer dans les différents triptyques édités certains ciblaient directement les techniques d’ingénierie sociale :

  • Je ne communique jamais par mail ou téléphone mon adresse exacte et mon emploi du temps.
  • Je ne fournis jamais par internet ou fax l’intégralité de mes documents d’identité ou administratifs qui peuvent être utilisés à mes dépens.
  • Je ne communique jamais le mot de passe de mes pseudo, y compris pour dépanner mes proches.
Ingénierie sociale - Les arnaques via Internet - code de bonne conduite

Les arnaques via Internet – code de bonne conduite

A destination des entreprises

Des campagnes de prévention peuvent également être menées au profit des entreprises. Sur la même période que celle visant les particuliers, la région de Gendarmerie de Champagne-Ardenne a diffusé auprès des entrepreneurs locaux un guide portant sur les 10 commandements du chef d’entreprise en matière de sécurité des systèmes d’information. De la même manière que pour les particuliers une partie de ces commandements visent directement les attaques employant des techniques d’ingénierie sociale :

  • Sensibilisation des collaborateurs : être conscient que les utilisateurs sont le maillon faible.
  • Mails, canulars et pièces jointes : mise en garde contre les e-mails de phishing et les liens malveillants diffusés via les réseaux sociaux.

Ce type de campagne de prévention permet en outre de nouer des contacts au sein du tissu économique local. Ces contacts faciliterons par la suite les échanges et inciterons les entreprises à signaler aux services de l’État de futures attaques par ingénierie sociale ou autre intrusion dans leurs systèmes informatiques.

Ingénierie sociale - Les 10 commandements du chef entreprise en matière de SSI

Les 10 commandements du chef entreprise en matière de SSI

Formation et sensibilisation à l’ingénierie sociale

Le chef d’entreprise ou le RSSI -responsable de la sécurité des systèmes d’information- alerté sur les risques de l’ingénierie sociale par une campagne de prévention aura à cœur de former ses collaborateurs sur le sujet.

La formation pourra prendre la forme d’une présentation des différentes techniques et scénarios d’ingénierie sociale, agrémentée d’exemples réels tirés de la presse. Le but d’une telle formation sera de sensibiliser les personnels, de leur inculquer une culture de la sécurité et de les rendre méfiants vis à vis des sollicitations externes.

Phishing Initiative

Phishing Initiative est un projet conjoint mêlant acteurs prévis et publics. Sont notamment parties prenantes au projet Microsoft, Paypal, le Ministère de l’Intérieur français ou encore le Centre pour la Cybersécurité Belgique.

L’objectif de ce projet est de recueillir les adresses des sites iinternet de phishing francophone à travers la plate-forme phishing-initiative.com puis, après vérification, de transmettre les informations aux sociétés éditrices des navigateurs web les plus populaires.

Ingénierie sociale - Contribution à Phishing Initiative

Contribution à Phishing Initiative

Les internautes soumettent l’adresse d’un site de phishing visant un public francophone à travers la formulaire présent en page principale. Les contributeurs peuvent être des particuliers, des professionnels en entreprise ou bien encore un enquêteur faisant de la veille sur Internet.

Un intervenant humain vérifie que l’adresse transmise mène bien à un site de phishing et valide l’information.

Les sociétés éditrices des logiciels de navigations Internet Explorer, Firefox, Safari et Chrome reçoivent l’adresse vérifiée. Ces navigateurs disposent d’un filtre anti-phishing fonctionnant sur la base d’une liste de sites signalés. Cette liste va alors être mise à jour avec les nouvelles informations. La liste est automatiquement diffusée à l’ensemble des versions compatibles installées chez les utilisateurs.

Quand un internaute ira se connecter sur l’adresse signalée son navigateur affichera un message d’avertissement. L’internaute pourra toujours décider de passer outre ce message et de poursuivre sa navigation.

Ingénierie sociale - Site contrefait : message d'avertissement

Site contrefait : message d’avertissement

Cette solution permet de limiter le nombre d’internautes susceptibles d’être victime de cette manœuvre frauduleuse.

Dans le même temps Phishing Initiative se chargera de prévenir l’hébergeur de la présence d’un site de phishing sur ses serveurs.

Conclusion

L’ingénierie sociale regroupe un ensemble de méthodes et techniques psychologiques visant à profiter des faiblesses de l’esprit humain. Associée aux outils et technologies numériques, l’ingénierie sociale est souvent utilisée à des fins criminelles. Dans ce contexte criminel, elle est employée afin de recueillir des informations ou de se faire remettre des biens par des victimes qui ont baissé leur garde.

L’innovation technologique progresse à une marche effrénée. La loi et la procédure pénale, bien que s’adaptant en permanence, ne peuvent suivre cette course folle. D’une part, la recherche de la preuve est rendue difficile par la facilité de mise en œuvre et l’efficacité des outils d’anonymisation mis à disposition du grand public. D’autre part, les méthodes d’ingénierie sociale, n’étant pas en soi illégales, seront le plus souvent réprimées dans le cadre d’une incrimination classique telle que l’escroquerie. Les technologies numériques ont également permis une automatisation et une industrialisation de l’emploi de ces méthodes. Face à ce volume considérable, la voie de la formation et de la prévention est peut être une approche plus réaliste de la lutte contre l’ingénierie sociale malveillante.

L’éducation des particuliers et des collaborateurs en entreprise est actuellement le levier d’action qui semble le plus efficace en matière de lutte contre les attaques à base d’ingénierie sociale. Cependant, l’éducation et la formation auront toujours pour limite la capacité humaine à accepter les contraintes inhérentes à la sécurité informatique. L’être humain restera donc un des points faibles de la sécurité des systèmes d’information.