La semaine dernière, MGM Resorts a révélé un problème système majeur qui aurait rendu inutilisables les machines à sous, les clés de chambre et d’autres appareils critiques. Quelles méthodes élaborées ont été nécessaires pour briser un empire de casinos et d’hôtels de près de 34 milliards de dollars ? Selon les pirates eux-mêmes (et apparemment confirmé par une source interrogée par Bloomberg), il suffisait d’un appel téléphonique de dix minutes.
Selon toute apparence, les pirates informatiques présumés à l’origine du problème MGM ont obtenu l’accès via l’un des vecteurs les plus omniprésents et les plus rudimentaires : une attaque d’ingénierie sociale. L’ingénierie sociale manipule psychologiquement une cible pour qu’elle fasse ce que l’attaquant veut, ou qu’elle divulgue des informations qu’elle ne devrait pas – dans ce cas, apparemment, en tirant rapidement sur un employé du service d’assistance informatique sans méfiance. Les conséquences vont de la destruction d’entreprises mondiales à la dévastation des finances personnelles de malheureuses victimes. Mais qu’est-ce qui rend les attaques d’ingénierie sociale si efficaces, et pourquoi sont-elles si difficiles à prévenir ?
Il semble contre-intuitif de transmettre des informations sensibles à un parfait inconnu, mais les attaquants ont développé des moyens pour vous inciter à vous sentir à l’aise de le faire. Cela pourrait inclure l’instauration d’un climat de confiance au fil du temps, la collecte d’informations sur vous pour donner l’impression qu’ils vous connaissent ou l’utilisation d’un sentiment d’urgence pour vous amener à agir rapidement sans réfléchir à ce à quoi vous abandonnez. C’est pourquoi les traits de personnalité courants parmi les cybervictimes incluent le fait d’être extraverti, agréable et ouvert à de nouvelles expériences, selon Erik Huffman, un chercheur qui étudie la psychologie derrière les tendances en matière de cybersécurité.
« La peur est un vecteur d’attaque. L’utilité est un vecteur d’attaque », a déclaré Huffman. « Plus vous êtes à l’aise, plus vous devenez piratable. »
De plus, les environnements numériques ont moins d’indices sociaux que le face à face, de sorte qu’une victime potentielle n’est pas aussi douée pour détecter les signes potentiellement suspects, a déclaré Huffman. Nous lisons les messages avec notre propre voix, projetant sur eux notre propre bonne volonté, ce qui ne se produit normalement pas en personne. Il y a moins d’informations comme les signaux sociaux ou le langage corporel pour nous guider ou nous donner l’intuition que quelque chose ne va pas.
Une attaque d’ingénierie sociale peut être aussi simple qu’un appel téléphonique faussement urgent d’un escroc visant à obtenir les informations de votre carte de crédit dans le cadre d’un vol de faible envergure. Mais il existe des « attaques Rube Goldberg » de plus en plus complexes qui combinent plusieurs approches pour vous tromper, selon Andrew Brandt, chercheur principal de Sophos X-Ops. Dans un exemple d’une telle attaque, Brandt a observé que les escrocs opéraient d’abord par téléphone pour amener une cible à cliquer sur un e-mail également envoyé par l’escroc. Une fois cliqué, l’e-mail activait une chaîne d’attaque comprenant des logiciels malveillants et des logiciels d’accès à distance.
Il est plus probable que vous le rencontrerez à un niveau beaucoup plus simple. Vous pourriez recevoir un SMS de quelqu’un se faisant passer pour votre patron vous demandant des cartes cadeaux ou être amené à cliquer sur un lien malveillant qui hameçonne vos informations d’identification. Mais d’une manière ou d’une autre, vous finirez probablement par y être confronté, car on estime que 98 % des cyberattaques reposent dans une certaine mesure sur des tactiques d’ingénierie sociale, selon une étude de Splunk.
Il existe d’autres signes avant-coureurs auxquels les gens peuvent prêter attention. Devoir télécharger un fichier inhabituellement volumineux, un fichier zip protégé par mot de passe qui ne peut pas être analysé à la recherche de logiciels malveillants ou un fichier de raccourci suspect sont autant de signes d’une attaque potentielle, selon Brandt. Mais il s’agit en grande partie d’une intuition – et du fait de prendre le temps de prendre du recul avant de réfléchir à ce qui pourrait mal tourner.
« C’est une pratique qui demande répétition et répétition encore et encore pour se méfier par réflexe de ce que vous disent les gens que vous ne connaissez pas », a déclaré Brandt.
Huffman a déclaré que les gens peuvent essayer d’éviter d’être victimes en reconnaissant les limites d’un environnement numérique et en posant des questions telles que : est-il logique que cette personne me contacte ? Cette personne se comporte-t-elle de manière digne de confiance ? Cette personne a-t-elle l’autorité ou la position de pouvoir pour donner ces instructions ? Cette personne comprend-elle vraiment le sujet dont nous discutons ?
Les attaques d’ingénierie sociale se produisent constamment, tant contre les grandes entreprises que contre les gens ordinaires. Sachant que nos traits de caractère bon enfant peuvent être notre plus grande faiblesse face à cette variété de mauvais acteurs, il peut être tentant de cesser complètement d’être gentil pour des raisons de sécurité. La clé est d’équilibrer nos instincts sociaux avec un scepticisme sain. « Vous pouvez être utile », a déclaré Huffman, « mais soyez prudent. »