Une technique manipulatoire peut vous faire commettre une erreur terrible pour votre système d’information ou votre argent un jour ou l’autre. C’est pourquoi une sécurité informatique bien rodée ne peut pas ignorer l’ingénierie sociale qui dépasse en risque tous les logiciels malveillants réunis et toutes les intrusions malveillantes possibles. Parce que tout le monde peut se faire manipuler à un moment ou un autre, absolument tout le monde. Et peu de gens le comprennent ou l’acceptent. Oui, vous êtes potentiellement une faille de sécurité humaine, comme tout le monde. Avec des conséquences tragiques pour votre sécurité sur Internet.
Définition de l’ingénierie sociale ou plutôt manipulation mentale
L’ingénierie sociale ( social engineering en anglais ) au sens général est une pratique sociale constructive. Ce terme est utilisé à tort à la sécurité sur Internet, puisqu’il s’agit de manipulation mentale à des fins malveillantes contre un système d’information ou votre argent.
La manipulation mentale consiste à vous faire agir, choisir, juger, croire ou décider contre votre volonté et contre votre intérêt. Souvent on se rend jamais compte d’avoir été l’objet d’une manipulation. Et si on y arrive, il est toujours trop tard.
Que vous soyez plus vif, plus cultivé ou plus prudent que la moyenne, vous y passerez aussi un jour ou l’autre. La manipulation mentale fonctionne avec tout le monde, partout et tout le temps. Et un manipulateur né manipule n’importe qui dans n’importe quel contexte.
En pratique la manipulation consiste à vous empêcher de réfléchir, de vous débrancher le cerveau en faisant appel à d’autres mécanismes automatiques qui vous font perdre le contrôle conscient. En faisant appel par exemple à des émotions ou désirs comme la peur, l’appât du gain ou l’amour. Alors peu importe que vous soyez un psy, un administrateur système ou un enquêteur, vous serez manipulé de toutes façons. La seule chose qui compte est de trouver le mécanisme qui va permettre à l’attaquant de vous manipuler comme une marionnette.
Appliqué au piratage informatique, ça donne quoi ?
L’ingénierie sociale ou la manipulation mentale appliquée au piratage informatique, consiste à vous faire commettre une erreur terrible pour la sécurité de votre ordinateur, réseau informatique interne ou voler votre argent. Il peut s’agir de vous faire ouvrir une pièce jointe malveillante dans un email, vous faire cliquer sur un lien menant à une page web infectée ou vous faire saisir votre numéro de carte bancaire sur un site Web factice.
Les erreurs courantes des jugements de valeur
On entend parfois ce genre de jugements de valeur violents et erronés à propos des victimes de manipulation mentale liée à un piratage informatique ou une escroquerie en ligne :
Il faut être naïf pour croire à cette histoire et cliquer sur ce lien.
Pour verser de l’argent à cette personne à distance, il faut être con.
Même dans cet article de Wikipédia sur l’ingénierie sociale ils se trompent en valorisant l’attaquant et rabaissant la victime, ce qui est surprenant :
En utilisant ses connaissances, son charisme, son sens de l’imposture ou son culot, l’attaquant cherche à abuser de la confiance, de l’ignorance et de la crédulité de sa cible pour obtenir ce qu’il souhaite.
Or ces jugements de valeur ne prouvent qu’une chose : celui qui les émet n’a pas compris la manipulation mentale.
Quelques techniques manipulatoires
Je vous propose des exemples de manipulation ou d’ingénierie sociale dans la suite. Chaque élément ne suffit pas en lui-même pour que l’attaque aboutisse. Il faut souvent une conjonction de facteurs défavorables pour que la victime tombe dans le piège.
L’imitation et la confiance ( voir en exemple la phishing def )
Pas mal de malveillances informatiques et d’escroqueries en ligne abusent la confiance des personnes.
En particulier les attaques de phishing classique fréquentes abusent la confiance des destinataires. Par exemple vous recevez un email du Fisc annonçant un remboursement des impôts. Il contient un lien menant au site Web du Fisc qui vous invite à saisir le numéro de votre carte bancaire. Cette saisie va vous permettre soi-disant de récupérer le trop perçu par le Fisc.
Sauf que l’e-mail n’a jamais été envoyé par l’administration et le site Web ne lui appartient pas, pourtant il lui ressemble beaucoup.
Mais comment ne pas faire confiance à un email et un site Web qui sont identiques à ceux de l’administration ? C’est un grand classique fréquent utilisant la manipulation mentale, pour en savoir plus voyez la phishing def par email et site Web factices.
L’appât du gain
L’escroquerie 419 ou scam 419 consiste à promettre un pourcentage sur une grosse somme d’argent, moyennant le paiement préalable de frais nécessaires à la transaction. Sauf que les demandes de frais vont s’enchaîner dans le temps sans jamais délivrer la somme promise.
L’amour ou l’attirance
Sur un site de rencontre une personne attirante, séduisante et intéressée finit par vous demander de l’argent pour l’aider à résoudre un problème quelconque. Si vous êtes attiré, l’arnaque devient facile, même si vous vous doutez qu’il y a un risque.
L’urgence et la culpabilité
Vous recevez un sms demandant de communiquer très vite le code que vous venez de recevoir par votre banque sous un prétexte quelconque. Mais si vous ne le faisiez pas, vous pourriez être tenu pour responsable de l’échec de l’opération machin truc. Et la panique risque de vous pousser à répondre à l’escroc qui se sert de votre compte bancaire pour régler son achat. Difficile de résister à ce genre de pression.
La peur et l’urgence
Les scarewares utilisent très bien la peur et l’urgence. Un scareware est un logiciel malveillant qui affiche une alerte à l’écran vous indiquant que votre ordi vient de se faire infecter par un virus qui continue à se répandre. Ou qu’il faut colmater une faille de sécurité en urgence. Cette alerte est intrusive, émet un son élevé, répétitif et stressant, affiche des titres en gros dans des cadres rouges pour vous foutre la trouille ! Il vous invite à télécharger un outil payant de désinfection adapté à telle adresse Web.
En réalité votre ordi n’est pas infecté mais l’outil téléchargé est bien malveillant, lui. On trouve des scarewares notamment sur les sites Web de streaming.
Conclusion sur « l’ingénierie sociale »
Vous comprenez que ces émotions ou désirs n’ont rien à voir avec la valeur ou la faiblesse de la victime. Et que, non seulement les jugements de valeur négatifs n’en ont aucune, mais en plus ces éléments peuvent servir à manipuler n’importe qui.
Ces exemples montrent comment un manipulateur peut faire perdre le contrôle conscient à la victime et son sens critique. Ainsi la manipulation mentale ( appelée à tort ingénierie sociale ) peut mettre à mal une structure de sécurité informatique matérielle et logicielle adaptée. Et qu’il est très difficile d’identifier en temps réel toutes ses formes de menaces en toutes circonstances. On le voit ces dernières années notamment avec les attaques de ransomware qui mettent même à genoux la sécurité des grosses boites.
S’il est très difficile d’identifier ces malveillances mentales, il est pourtant possible de s’en protéger dans une certaine mesure. En effet il est utile d’apprendre à se défendre contre la manipulation mentale qui sévit aussi dans la vie de tous les jours.
Parmi les exemples de manipulation mentale appliquée, vous avez l’escroquerie 419. Ou un rogue inoffensif dans la mesure où il n’infecte pas l’ordi de la victime. Et vous avez des formes d’arnaques sur Internet qui utilisent plus ou moins « l’ingénierie sociale ».