Art de l’influence et de la manipulation, l’ingénierie sociale (ou social engineering en anglais) tient une place centrale dans les fraudes externes. Il s’agit de méthodes et de techniques qui permettent, au terme d’une approche relationnelle basée sur l’influence et la manipulation, d’obtenir l’accès à un système d’information ou à des informations confidentielles pour documenter une escroquerie. Quels sont les principaux ressorts de l’ingénierie sociale ? Comment se protéger ?

La fraude aujourd’hui, c’est le crime organisé

Le temps du hacker plus ou moins solitaire est terminé. On ne peut sur ce point que citer Interpol dans son dernier rapport : « Dans le passé, le cybercrime était le fait d’individus isolés ou de petits groupes. Aujourd’hui, nous voyons des réseaux cybercriminels très complexes réunir des individus venus du monde entier, en temps réel, pour commettre des crimes à une échelle sans précédent. Les organisations criminelles se tournent de plus en plus vers internet pour faciliter leurs activités et maximiser leurs profits le plus rapidement possible. Les crimes eux-mêmes ne sont pas nécessairement nouveaux : le vol, la fraude, le jeu illégal, la vente de faux médicaments… Mais ils évoluent en même temps que les opportunités, devenant ainsi plus répandus et plus dévastateurs. » Les entreprises ont donc affaire à très forte partie.

Le réseau cybercriminel Avalanche

Une vaste enquête internationale menée conjointement par Europol, Interpol et le FBI a permis de mettre fin aux activités cybercriminelles d’un important réseau de pirates informatiques. Ils avaient pris la main, via des pièces jointes malicieuses, sur un demi-million d’ordinateurs dans 180 pays, et les utilisaient à l’insu de leurs utilisateurs pour générer des attaques. Leur butin est estimé à plusieurs centaines de millions d’euros.

L’art du renseignement

Les fraudes les plus efficaces sont aussi les mieux renseignées. Pour les criminels, il est clé d’obtenir un maximum d’informations utiles sur la cible, avant de passer à l’action. Les usurpations d’identité, comme les fraudes au président, au banquier ou au fournisseur, seront d’autant plus réussies que la chaîne de décision de l’entreprise aura pu être décryptée : l’attaque arrivera au meilleur moment, et le terrain sera connu. Fort des renseignements collectés, l’escroc va utiliser son charisme, son savoir-faire et son culot, bien souvent pour déclencher un virement vers une destination fantôme.

Les moyens ne lui manquent pas pour connaître sa cible dans les moindres détails. A commencer par l’internet, visible et invisible, où cohabitent de nombreuses sources d’informations :

  • sites de la cible, de ses clients, partenaires, fournisseurs…
  • sites d’information économique et financière,
  • réseaux sociaux professionnels et personnels des collaborateurs,
  • forums, listes de discussion messageries instantanées,
  • blogs, sites de rencontre, plateformes de recrutements…

Mais la collecte des renseignements passe par beaucoup d’autres moyens, comme :

  • la mise en place d’un logiciel espion, à partir d’une pièce jointe ou d’une clé USB infectée « oubliée » dans l’entreprise,
  • la fouille des poubelles,
  • un faux sondage téléphonique,
  • un rendez-vous commercial,
  • un entretien d’embauche interne ou externe,
  • l’écoute classique (dans le train ou l’avion, au restaurant, etc…)

Manipulation et supercherie

Le criminel va maintenant s’attaquer à la cible que le travail de collecte d’information lui aura permis d’isoler. Il connaît les circuits de décision, il sait qui dit « tu » ou « vous » à qui, il connaît les points faibles de sa victime. Il va faire preuve de tous ses talents de conviction, en utilisant des méthodes éprouvées. Christophe Casalegno, du groupe Digital Network, les liste ainsi :

  • Instaurer la confiance : s’installer dans une démarche ordinaire, partager un jargon,
  • Echanger de l’aide : Laissez-moi vous aider et/ou pouvez-vous m’aider ?
  • Faire usage de l’autorité : elle crée un stress tout en déchargeant en apparence la responsabilité de la cible, qui agit sur ordre. (NB : les fraudeurs ont tiré toutes les conséquences de l’expérience Milgram sur la soumission à l’autorité… !)
  • Donner l’illusion d’un choix
  • Adapter sa technique : sympathie, autorité, charme, réciprocité…

Pour ce qui est de la supercherie – généralement une usurpation d’identité – le choix est vaste. Le fraudeur peut se faire passer pour le président ou un supérieur hiérarchique, une administration, un fournisseur, une banque, le service informatique de l’entreprise, la police, les pompiers, un livreur… et la liste n’est pas close ! L’action pourra être multimodale, et employer le téléphone, l’email ou la messagerie instantanée, les réseaux sociaux, une rencontre face à face…

Peut-on se protéger contre l’ingénierie sociale ?

La prévention est indispensable, et ses grandes lignes sont connues. En amont : protection des systèmes informatiques, des systèmes téléphoniques, mise en place de procédures plus solides d’identifiants et mots de passe… En aval, double contrôle sur les sorties de fonds, séparation de l’ordre et de l’exécution, double signature. Mais outre le fait que toutes ces politiques ne se déploient pas en un jour, la prévention ne suffit plus à protéger les entreprises.

Les fraudeurs sont motivés, ingénieux, et créatifs. Leurs outils d’espionnage informatique mutent sans cesse, et ils trouvent même des solutions intégrées de phishing ou de rançonnage en mode SaaS sur le darknet… avec paiement au résultat !

Face à un risque non maîtrisable, s’assurer demeure le seul moyen de faire face immédiatement à l’imprévisible, en couvrant et en indemnisant les sinistres subis.