Nous suivre Industrie Techno

[Tribune] L’ingénierie sociale, la nouvelle stratégie des hackeurs

[Tribune] L’ingénierie sociale, la nouvelle stratégie des hackeurs

© Barracuda Networks

Aujourd’hui, le hacking est surtout une affaire d’usurpation d’identité reposant sur une stratégie de mimétisme numérique. Une pratique qui peut être qualifiée de social engineering ou d'ingénierie sociale. Comment s’y prennent-ils ? Explications par Eric Heddeland, vice-président de la zone Europe du Sud & Marchés Émergents chez Barracuda Networks.

Leçon 1 : un travail de repérage minutieux

Fini les spams de masse, le social engineering ou ingénierie sociale a de quoi trouver sa source d’inspiration dans la nature.  Car hacker un individu ou, une société, ressemble de près ou de loin à l’adoption de la stratégie du caméléon. Se fondre dans un environnement pour mieux se dissimuler. Ou bien ressembler à un individu pour mieux l’attaquer.

Dans ce cadre, la première étape s’appuie sur  un travail de repérage minutieux de l’organisation d’une société donnée. Les hackers cherchent à  comprendre quel individu est autour de la table, qui interagit avec qui et qui est hiérarchiquement positionné par rapport à un autre individu. Jamie Woodruff, un hacker éthique qui a percé les défenses des plus grandes entreprises californiennes tel Facebook, YouTube, Apple ou encore Google rapporte par exemple s’être fait embaucher comme livreur de pizza pour accéder aux serveurs d’une importante institution financière.

Leçon 2 : une analyse comportementale

La seconde étape du social engineering repose sur l’analyse comportementale de ces mêmes cibles. Il faut découvrir comment les protagonistes communiquent entre eux, comment ils se partagent l’info pour identifier une faille comportementale et  installer un logiciel espion, non intrusif.

Puis vient l’action. Une fois les données sensibles recueillies (login, mot de passe), le hacker peut installer un logiciel de prise de contrôle à distance. Développer une stratégie de mime et d’usurpation d’identité. Le schéma est classique : se faire passer pour le PDG d’une société qui demanderait au service comptable de réaliser un virement sur le compte d’un nouveau client.

Leçon 3 : mafia digitale ou cyberguerre ?

Dans le hacking, l’usurpation d’identité a deux mobiles principaux. Le premier est d’ordre mafieux : escroquer, dérober, soutirer une somme d’argent à des entreprises à grands capitaux. Moins connu du public, le second mobile est d’ordre politique. Il s’invite comme une arme étatique de désinformation et de déstabilisation des régimes en place - notamment démocratiques - dans le cadre d’élections présidentielles.

En France, le cas le plus flagrant fut celui du MacronLeaks, lors de la campagne de La République en marche. Deux ans après l’élection, des preuves appuient l’implication d’un groupe de suprémacistes américains d’extrême droite dans la divulgation du contenu de 5 boîtes mails de membres du parti, faux documents et fake news au passage. Dans la même veine, les piratages subis par le parti démocrate d’Hillary Clinton durant la campagne présidentielle pourraient être, selon certaines source, l'œuvre de hackers russes pour favoriser la victoire de Donald Trump.
 

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Éolien offshore, gaz de synthèse, cyber-sécurité automobile… les meilleures innovations de la semaine

Éolien offshore, gaz de synthèse, cyber-sécurité automobile… les meilleures innovations de la semaine

Quelles sont les innovations qui vous ont le plus marqués au cours des sept derniers jours ? Cette semaine, vous avez apprécié[…]

Le LiFi haut débit s’installe dans un avion

Fil d'Intelligence Technologique

Le LiFi haut débit s’installe dans un avion

Pour bien commencer la semaine : l’« équipe » Blue Origin pour un retour sur la Lune en 2024

Pour bien commencer la semaine : l’« équipe » Blue Origin pour un retour sur la Lune en 2024

Hacking mode d'emploi : pirater un aspirateur connecté en trois étapes

Hacking mode d'emploi : pirater un aspirateur connecté en trois étapes

Plus d'articles