On dit souvent en parlant de la sécurité que la principale faiblesse vient de l’être humain. Cela est vrai également lorsqu’il s’agit de sécurité informatique. S’il peut exister des vulnérabilités dans les logiciels et dans le matériel utilisés pour assurer la sécurité des accès au système d’information de l’entreprise, elles sont souvent relativement prévisibles et détectables. A partir du moment où l’humain entre en considération, le résultat peut être beaucoup plus aléatoire. Un pentest par ingénierie sociale va donc en quelque-sorte essayer d’identifier les potentielles failles de sécurité informatique liées aux êtres humains composant l’entreprise.
Découvrez, en complément, les différents types de tests d’intrusion.
Qu’est-ce qu’un pentest ingénierie sociale ?
Si vous souhaitez ouvrir une porte blindée dont la serrure ne peut s’ouvrir qu’à l’aide d’un code, vous avez grossièrement deux solutions. La première solution consiste à essayer de forcer la porte en identifiant ses faiblesses et en les exploitant. La porte est-elle moins solide à certains endroits, ses gonds sont-ils apparents et démontables, la serrure peut-elle être forcée… ? La seconde solution consiste quant à elle à obtenir le code permettant de déverrouiller la porte. Pour cela, il va falloir convaincre une personne connaissant le code de vous le donner, ou de vous le vendre.
Les pirates peuvent donc tenter de briser les logiciels de protection, d’identifier et d’utiliser des failles de sécurité logicielles ou matérielles ou même d’attaquer en force brute dans le but de faire « tomber les murailles ». Ou bien ils peuvent essayer d’entrer dans votre système informatique en se faisant passer pour quelqu’un y ayant légitimement accès.
C’est là qu’entre en jeu l’ingénierie sociale. Le principe est d’amener quelqu’un à vous fournir ses codes d’accès en usant de manipulation psychologique, en se faisant passer pour quelqu’un d’autre, ou encore en abusant de sa confiance. Il peut aussi s’agir de faire réaliser une action conduisant à un incident de sécurité afin d’en profiter.
Pourquoi utiliser le pentest social engineering ?
Vous pouvez verrouiller tous les accès à votre système informatique, si le pirate a la solution pour rentrer, rien ne pourra l’en empêcher. Il est relativement facile de se maintenir à l’état de l’art en termes de sécurité informatique, à condition naturellement de s’en donner les moyens. Mises à jour matérielles et logicielles peuvent être programmées, réalisées et testées régulièrement.
Il est beaucoup plus difficile de se prémunir contre la capacité d’un pirate à se faire passer pour un utilisateur autorisé. La plupart du temps, les victimes ne se rendent même pas compte qu’elles ont été manipulées, ou alors bien trop tard.
Un test d’intrusion ingénierie sociale va permettre d’évaluer la formation, les connaissances et les réflexes des salariés d’une entreprise en termes de sécurité informatique. Cela va permettre de déterminer la vulnérabilité de l’entreprise aux techniques de social engineering des pirates.
Une fois les principales vulnérabilités identifiées, il sera possible de sensibiliser les collaborateurs à la cybersécurité et de les entraîner à repérer ce type d’attaque informatique.
Comment se déroule un test d’intrusion basé sur l’ingénierie sociale ?
En premier lieu, comme dans d’autres types de pentest, il est nécessaire de déterminer le périmètre et les objectifs de l’audit. Les risques doivent être identifiés (accès au VPN de l’entreprise, consultation de données confidentielles…) ainsi que les cibles. Les conditions de réalisation doivent également être discutées. L’équipe conduisant l’audit va-t-elle disposer de certaines informations au départ, quelles sont les scénarios préconisés, devra-t-elle ensuite prévoir les communications à transmettre aux utilisateurs ciblés ?
Dans le cas d’un pentest de type black box, les auditeurs ne disposent d’aucune information au départ et ne communiquent pas avec l’entreprise durant toute la durée du test. En grey box, ils échangent régulièrement des informations avec l’entreprise, partagent les scénarios mis au point pour les attaques et transmettent des comptes-rendus réguliers.
Le pentest social engineering est basé sur plusieurs techniques. Chacune demande à la fois des compétences et des connaissances technologiques et des compétences relationnelles.
Le phishing ou hameçonnage
Le phishing est une technique très répandue, car très simple à mettre en place et souvent très efficace.
La pratique consiste à envoyer à une population cible (il peut s’agir de quelques individus sélectionnés ou au contraire d’un très grand nombre de personnes) un email frauduleux. Cet email reprend généralement le design de celui qu’il imite (charge graphique, couleurs, logo de l’entreprise…). Le but est d’amener le destinataire à cliquer sur des liens présents dans le message qui le conduiront à un site lui aussi falsifié. L’exemple typique de phishing est l’email que vous recevez soi-disant de votre banque et qui vous demande d’aller sur un site pour changer votre mot de passe parce qu’il a été piraté. Une fois sur le faux site, l’utilisateur saisit son identifiant, son ancien mot de passe et un nouveau. Ces informations sont collectées par le pirate qui n’a plus qu’à les utiliser.
Si certains emails sont assez grossiers pour être facilement repérables (mauvais logo, fautes d’orthographe ou de grammaire…), d’autres sont beaucoup plus sophistiqués et même parfois personnalisés (avec nom et prénom, description d’une situation plausible, usurpation d’identité…), pour paraître plus crédibles.
L’utilisation de pièces jointes vérolées
Le principe est identique au phishing. Au lieu d’essayer de convaincre l’utilisateur de cliquer sur un lien, l’objectif ici est de lui faire ouvrir une pièce jointe apparemment inoffensive. Alors que l’utilisateur pense ouvrir un fichier texte, pdf ou issu d’un traitement de texte, il exécute en fait un malware qui va s’installer sur sa machine.
Le programme sera alors aux premières loges pour espionner tout ce qui se passe sur l’ordinateur, les adresses utilisées, tout ce qui est tapé au clavier… Si l’ordinateur est relié en réseau avec d’autres, ce qui est souvent le cas, le malware pourra même ainsi se répliquer dans d’autres systèmes pour continuer à espionner, récupérer ou au contraire détruire des informations sensibles.
Le vishing
Le vishing est au téléphone ce que le phishing est à l’email. Dans la mesure où cette technique nécessite une intervention humaine, elle ne permet naturellement pas de toucher autant de personnes que le phishing. Les victimes sont donc spécifiquement ciblées.
La victime est contactée par téléphone. L’interlocuteur va tenter d’établir une relation de confiance afin d’obtenir des informations confidentielles. Pour cela, le pirate va devoir faire preuve de persuasion et va parfois aller jusqu’à usurper l’identité d’un tiers de confiance.
Ces attaques sont particulièrement efficaces et souvent complémentaires du phishing. Elles sont souvent difficiles à détecter et il est particulièrement important de sensibiliser les collaborateurs de l’entreprise.
L’intrusion physique
Cette technique consiste à s’introduire dans les locaux de l’entreprise. Le pirate se fera passer pour quelqu’un ayant un motif légitime de se trouver dans l’entreprise. Il pourra prétendre être un salarié, un prestataire, un client ou un technicien devant intervenir sur un équipement quelconque.
Une fois à l’intérieur, il aura alors différents moyens d’obtenir les informations sensibles qu’il est venu chercher :
- Connexion au réseau,
- Utilisation d’un support contenant un malware,
- Manipulation psychologique,
- Utilisation d’un poste non verrouillé, …
Comment exploiter le pentest ingénierie sociale
A l’issue du test d’intrusion, un rapport complet sera remis à l’entreprise.
Contrairement à d’autres pentest, les recommandations seront rarement techniques. Il s’agira là plus de sensibilisation des équipes au danger représenté par ce type d’attaque. Des recommandations seront détaillées sur la façon de former les collaborateurs afin de les sensibiliser aux différentes techniques d’ingénierie sociale.
De plus, une communication efficace devra être mise en place.
L’objectif est que chaque collaborateur soit sensibilisé au problème et ait les bons réflexes pour repérer et signaler toute communication ou demande lui paraissant suspecte.
Vous pourriez également être intéressé par les articles suivants :
Le Pentest web, qu’est-ce que c’est ?
Les organisations ou entreprises, face aux cyberattaques, ont mis en place de nombreuses politiques de sécurité web pour se protéger contre les attaques de pirates.
Pentest Internet des objets – Test d’intrusion IoT
Les entreprises sont conscientes de l’importance de la sécurité de leur système d’information et investissent pour l’améliorer, notamment à l’aide de différents types de tests
Test d’intrusion applicatif
Les applications informatiques sont nombreuses au sein d’une entreprise. Qu’elles soient externes, comme des sites web accessibles au public ou des applications mobiles, ou internes,
Test d’intrusion environnement Cloud
Amazon Web Service (AWS), Microsoft Azure et Google Cloud sont sans doute les plus connus. Les offres d’hébergement cloud sont désormais suffisamment matures pour que
Test d’intrusion Réseau Externe
Les entreprises sont très exposées via les outils numériques. Pour exister, il faut être vu et les sites web ainsi que les nombreux réseaux sociaux
Test d’intrusion Réseau Interne
Lorsque l’on pense « sécurité informatique » et cyberattaque, on a souvent l’image du pirate qui opère depuis un lieu tenu secret. Mais le risque
Test d’intrusion Réseau Sans Fil – Wifi
Si beaucoup d’immeubles sont câblés et disposent d’un réseau filaire efficace, les points d’accès Wifi se multiplient malgré tout en entreprise. Pratique, facile à installer