{"id":76,"date":"2019-09-16T14:10:06","date_gmt":"2019-09-16T13:10:06","guid":{"rendered":"https:\/\/www.cybsec.fr\/?p=76"},"modified":"2020-02-18T11:10:46","modified_gmt":"2020-02-18T10:10:46","slug":"penser-en-biais-pour-comprendre-les-attaques-par-ingenierie-sociale","status":"publish","type":"post","link":"https:\/\/www.cybsec.fr\/index.php\/2019\/09\/16\/penser-en-biais-pour-comprendre-les-attaques-par-ingenierie-sociale\/","title":{"rendered":"Penser en \u00ab biais \u00bb \u2026 pour comprendre les attaques par ing\u00e9nierie sociale"},"content":{"rendered":"\n

Depuis la nuit des temps, la supercherie est un art qu\u2019il faut savoir ma\u00eetriser pour gagner des guerres. C\u2019\u00e9tait d\u2019ailleurs l\u2019un des points cl\u00e9s \u00e9voqu\u00e9s par Sun Tzu<\/em>, dans son \u00ab Art de la Guerre \u00bb<\/em> dont il dit qu\u2019il est enti\u00e8rement \u00ab bas\u00e9 sur la duperie. \u00bb <\/p>\n\n\n\n

Sun Tzu n\u2019imaginait sans doute pas qu\u2019avec ce manifeste, il allait \u00e0 jamais marquer de son empreinte les sciences militaires, pour les faire graviter autour d\u2019un concept simple : \u00ab the deception \u00bb.<\/p>\n\n\n\n

\u00ab Deception \u00bb, ce terme anglais, qui pourrait passer pour un faux-ami, mais qui d\u00e9signe en fait l\u2019ensemble des mesures et contremesures \u00e0 utiliser pour induire en erreur son ennemi. On y retrouve \u00e9videmment les ruses, les leurres, les d\u00e9formations de la r\u00e9alit\u00e9 et les falsifications. La supercherie est donc l\u00e0, pr\u00e9sente au c\u0153ur de chaque combat, de chaque assaut, de chaque victoire.<\/p>\n\n\n\n

Celui qui en ma\u00eetrisera l\u2019art sortira vainqueur de sa bataille. Mais revenons au sujet qui nous occupe. <\/p>\n\n\n\n

L\u2019ing\u00e9nierie sociale<\/h2>\n\n\n\n

D\u00e9finir l\u2019ing\u00e9nierie sociale est une t\u00e2che ardue, car elle peut prendre un certain nombre de formes en fonction du contexte de son utilisation.<\/p>\n\n\n\n

Nous pourrions simplifier les contextes en quatre grands ensembles : les sciences sociales, les sciences politiques, la s\u00e9curit\u00e9 de l\u2019information et la psychologie.<\/p>\n\n\n\n

Si dans les deux premiers, la d\u00e9finition de l\u2019ing\u00e9nierie sociale peut sembler une pratique saine (et encore, nous pourrions en d\u00e9battre j\u2019en suis s\u00fbre), les deux derniers cadres d\u2019utilisation de l\u2019IS rel\u00e8vent plut\u00f4t de la manipulation psychologique individuelle \u00e0 des fins malveillantes.<\/p>\n\n\n\n

Concentrons-nous sur le domaine de la s\u00e9curit\u00e9 de l\u2019information <\/p>\n\n\n\n

\"\"
(Illustration de C\u00e9sar Leal Jim\u00e9nez sur \u00ab le lavage de cerveau \u00bb) <\/figcaption><\/figure><\/div>\n\n\n\n

Dans le contexte de la cybers\u00e9curit\u00e9, l\u2019ing\u00e9nierie sociale rev\u00eat une forme particuli\u00e8re.<\/p>\n\n\n\n

En effet, m\u00eame si sa base premi\u00e8re reste identique dans chaque contexte (pratique de manipulation), l\u2019ing\u00e9nierie sociale en cybers\u00e9curit\u00e9 est une forme de manipulation psychologique, plus ou moins \u00e9labor\u00e9e, plus ou moins lente, dont la seule finalit\u00e9 est de contr\u00f4ler ou influencer la pens\u00e9e, les choix, les actions d’un individu, via un rapport de pouvoir ou d’influence, afin de mettre en place une arnaque, une usurpation ou tout autre forme d\u2019escroquerie. <\/p>\n\n\n\n

L\u2019ing\u00e9nierie sociale et la s\u00e9curit\u00e9 de l\u2019information <\/h3>\n\n\n\n

ou l\u2019art d\u2019obtenir une information importante pour l\u2019utiliser \u00e0 des fins malveillantes mais relutives. <\/em><\/p>\n\n\n\n

\"\"
Une d\u00e9finition pos\u00e9e, en 2011, par un employ\u00e9 des forces arm\u00e9es ou du d\u00e9partement de la D\u00e9fense des \u00c9tats-Unis. <\/figcaption><\/figure>\n\n\n\n

Dans le contexte IT, les attaques par ing\u00e9nierie sociale sont devenues l\u00e9gions et certaines d\u2019entre elles sont si sophistiqu\u00e9es qu\u2019il est particuli\u00e8rement compliqu\u00e9 de les d\u00e9tecter simplement.<\/p>\n\n\n\n

En exploitant les faiblesses d\u2019un individu ou d\u2019une organisation, l\u2019attaquant a un but pr\u00e9cis : r\u00e9cup\u00e9rer un bien, un service, un virement bancaire, un acc\u00e8s physique ou informatique, une information confidentielle, etc.<\/p>\n\n\n\n

Et la m\u00e9thode utilis\u00e9e, appel\u00e9e processus \u00ab d’\u00e9licitation \u00bb, est toujours la m\u00eame : fausser la perception de la r\u00e9alit\u00e9 de sa victime en usant notamment d’un rapport de s\u00e9duction, de suggestion, de persuasion, de soumission. <\/p>\n\n\n\n

Un petit retour en arri\u00e8re <\/h3>\n\n\n\n
\"\"<\/figure><\/div>\n\n\n\n

C\u2019est en 2002 que le monde a pu enfin comprendre ce qu\u2019\u00e9tait une attaque par ing\u00e9nierie sociale.<\/p>\n\n\n\n

En effet, cette ann\u00e9e-l\u00e0, Kevin Mitnick, le plus c\u00e9l\u00e8bre des arnaqueurs par IS, et sans doute fils spirituel de Sun Tzu, publiait son fameux \u00ab Art de la supercherie \u00bb.<\/p>\n\n\n\n

Kevin Mitnick a \u00e9t\u00e9 l’un des \u00ab ennemis publics \u00bb les plus recherch\u00e9s par le FBI parce qu’il avait pirat\u00e9 pr\u00e8s de 40 grandes entreprises rien que pour relever des d\u00e9fis. De grands noms comme Nokia, Fujitsu, NEC, Novell, Sun Microsystems, Motorola, Apple ont compt\u00e9 comme \u00e9tant ses victimes.<\/p>\n\n\n\n

En 1980, Kevin Mitnick p\u00e9n\u00e8tre physiquement dans le central t\u00e9l\u00e9phonique COSMOS qui servait de base de donn\u00e9es pour archiver les appels t\u00e9l\u00e9phoniques, ainsi que la facturation de la Pacific Bell \u00e0 Los Angeles.<\/p>\n\n\n\n

Le pirate de g\u00e9nie se procura une liste des mots de passe des utilisateurs, les combinaisons de fermeture des portes des bureaux centraux de Pacific Bell, etc.<\/p>\n\n\n\n

En 1983, Kevin Mitnick fait une intrusion dans le r\u00e9seau du Pentagone en se servant d’une machine de l’Universit\u00e9 de Californie du Sud.<\/p>\n\n\n\n

Il parviendra \u00e0 se connecter \u00e0 l’ARPAnet, l’anc\u00eatre d’Internet, et obtiendra un acc\u00e8s ill\u00e9gal \u00e0 tous les fichiers du d\u00e9partement de la D\u00e9fense am\u00e9ricaine !<\/p>\n\n\n\n

Et tout \u00e7a, sans violence\u2026 Ses m\u00e9thodes : utiliser la terminologie de l\u2019entreprise cibl\u00e9e, trouver les bons contacts, usurper la bonne personne pour r\u00e9ussir son attaque, utiliser la cr\u00e9dulit\u00e9 de sa victime en pr\u00e9textant un probl\u00e8me ou la r\u00e9solution d\u2019un probl\u00e8me. <\/p>\n\n\n\n

Plus proche de nous <\/h3>\n\n\n\n

Entre 2005 et 2006, un certain Gilbert Chikli r\u00e9ussira \u00e0 r\u00e9cup\u00e9rer pr\u00e8s de 60 millions d\u2019euros aupr\u00e8s d’employ\u00e9s de 33 soci\u00e9t\u00e9s fran\u00e7aises !<\/p>\n\n\n\n

Chikli est l\u2019inventeur de la juteuse escroquerie aux faux ordres de virements (FOVI) aussi appel\u00e9e \u00ab L\u2019arnaque au Pr\u00e9sident \u00bb.<\/p>\n\n\n\n

Sur un simple coup de fil, il parvient \u00e0 \u00ab isoler \u00bb psychologiquement son interlocuteur avant de le manipuler \u00e0 sa guise en se faisant passer pour le PDG de groupes cibl\u00e9s et avant de leur ordonner le virement d’importantes sommes vers des comptes bancaires \u00e0 l’\u00e9tranger.<\/p>\n\n\n\n

Cette technique est d\u2019ailleurs toujours en vigueur en 2019 ! Et non content d\u2019avoir r\u00e9ussi ce coup de ma\u00eetre, Chikli est suspect\u00e9 d\u2019avoir mis sur pied une arnaque encore plus os\u00e9e, l’escroquerie dite du \u00ab faux Le Drian \u00bb !<\/p>\n\n\n\n

En effet, il est suspect\u00e9 de s’\u00eatre gliss\u00e9 dans la peau de l’ancien ministre de la D\u00e9fense pour r\u00e9cup\u00e9rer d’importantes sommes d’argent aupr\u00e8s de richissimes contacts (particuliers, hommes politiques, repr\u00e9sentants religieux, grands chefs d’entreprise).<\/p>\n\n\n\n

Son argumentaire rod\u00e9 s\u2019appuyait sur des faits qui secouaient alors le monde : les ran\u00e7ons r\u00e9clam\u00e9es par le groupe \u00c9tat islamique en \u00e9change de la lib\u00e9ration de soldats ou de journalistes fran\u00e7ais\u2026<\/p>\n\n\n\n

Les arnaques au Pr\u00e9sident, les attaques FOVI, aux faux fournisseurs, au faux changement de RIB, ou aux faux supports techniques se sont g\u00e9n\u00e9ralis\u00e9es depuis 10 ans. On estime d\u2019ailleurs aujourd\u2019hui qu\u2019elles co\u00fbtent plus de 6 milliards<\/strong> de dollars par an aux victimes !<\/p>\n\n\n\n

Ces deux grands g\u00e9nies de l\u2019arnaque ont jou\u00e9 de leurs connaissances, de leur charisme, de leur sens de l\u2019imposture et bien s\u00fbr de leur culot pour abuser de la confiance, de l\u2019ignorance et de la cr\u00e9dulit\u00e9 de leurs cibles et ainsi obtenir ce qu\u2019ils cherchaient. <\/p>\n\n\n\n

\n\nMais alors pourquoi \u00e7a fonctionne ?\n\n<\/h2>\n\n\n\n

<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Comme je l\u2019ai dit pr\u00e9c\u00e9demment, pour atteindre son objectif, le pirate va utiliser diff\u00e9rentes m\u00e9thodes, techniques et psychologiques.<\/p>\n\n\n\n

Partant du constat que les \u00eatres humains ne sont pas toujours rationnels et qu\u2019ils prennent parfois les mauvaises d\u00e9cisions et selon un sch\u00e9ma que l\u2019on ne comprend pas toujours, le pirate va manipuler la pens\u00e9e, le mode de d\u00e9cision de son interlocuteur afin d\u2019obtenir les premi\u00e8res informations, qui lui serviront pour ses futures attaques.<\/p>\n\n\n\n

L\u2019ing\u00e9nierie sociale sera une de ses premi\u00e8res armes.<\/p>\n\n\n\n

Les cyber-attaquants exploitent les facteurs de comportement sociaux, \u00e9motionnels et psychologiques pour influencer et manipuler. Et c\u2019est en faisant ce constat que l\u2019on comprend que toutes les techniques d’ing\u00e9nierie sociale sont bas\u00e9es sur un point commun : les biais cognitifs<\/strong> qui permettent \u00e0 une personne de prendre une d\u00e9cision.<\/p>\n\n\n\n

Une attaque par les biais cognitifs consiste donc \u00e0 \u00ab d\u00e9vier la pens\u00e9e logique et rationnelle \u00bb de sa victime pour obtenir d\u2019elle ce que l\u2019on souhaite. Et bien s\u00fbr, le choix des leviers doit \u00eatre adapt\u00e9 \u00e0 la situation et \u00e0 la cible. <\/p>\n\n\n\n

Selon les travaux de Wason et Evan, mis en exergue par Kahneman et Tversky, la cognition humaine repose sur deux grands ensembles de processus cognitifs :<\/p>\n\n\n\n