Même le système de sécurité le plus complet peut être mis en échec si on réussit à déjouer son gardien, et ça n’arrive que trop souvent dans le monde numérique. En fait, il est souvent plus facile d’exploiter la tendance naturelle d’une personne à faire confiance que de deviner son mot de passe ou d’obtenir d’autres informations pour s’infiltrer dans son système. Cette forme de piratage est appelée « piratage psychologique », et lorsqu’elle cible des employés sans méfiance, elle peut compromettre la cybersécurité de votre entreprise en un clin d’œil.
Sept techniques de piratage psychologique décortiquées
Il y a beaucoup de raisons pour lesquelles un cybercriminel pourrait vouloir se plonger dans vos données et les éplucher, et il y a tout autant de techniques pour le faire, le piratage psychologique étant l’un des mécanismes préférés des pirates. En effet, selon des données publiées récemment par Verizon, l’hameçonnage et le faux-semblant sont derrière 93 % des fuites de données.
Comme on dit, savoir, c’est pouvoir; voici donc sept techniques de piratage psychologique avec lesquelles vous familiariser pour savoir quoi surveiller, et pourquoi.
1. Le courriel d’un « ami »
Point de départ : Habituellement, vous recevez un message d’un compte piraté ou falsifié contenant un lien ou une invitation à télécharger un fichier cachant un maliciel. On peut tenter de piquer votre curiosité avec une photo, une vidéo ou un lien, et puisque vous connaissez à première vue l’expéditeur, vous pourriez être tenté de télécharger le fichier ou de cliquer sur le lien sans même vous poser de questions.
Objectif : Si le pirate réussit à introduire un maliciel dans votre système et à voler votre mot de passe, votre identité et votre carnet de contacts tout entier sont en danger. Si le message est rédigé avec assez de soin pour être crédible et convaincre vos contacts que vous en êtes l’auteur, les destinataires du courriel frauduleux et infecté seront d’autant plus enclins à ouvrir le fichier ou à cliquer sur le lien – et leurs comptes pourraient alors être compromis eux aussi.
Conséquences possibles : Une fois qu’il a accès à votre compte, le malfaiteur peut écrire à tous vos amis, et possiblement aux amis de vos amis aussi. Plus les gens sont nombreux à cliquer sur le lien, plus le maliciel se répand; ce sont donc des centaines de systèmes qui pourraient être compromis, et des centaines d’identités volées.
Il est généralement plus facile d’exploiter la tendance naturelle d’une personne à faire confiance que de pirater son ordinateur ou de s’infiltrer dans son système.
2. L’hameçonnage
Point de départ : Une source en apparence légitime vous écrit et vous demande de fournir des renseignements personnels sensibles afin d’exécuter une transaction, de soutenir une cause, de réclamer un prix ou d’aider un collègue ou un étranger dans le besoin. Ces messages d’hameçonnage comprennent souvent une histoire convaincante, qui peut faire appel à votre curiosité, votre peur, votre bonté ou votre cupidité.
Objectif : Dans certains cas, le pirate se fait passer pour une institution financière réputée et vous demande de lui fournir certains renseignements ou de cliquer sur un lien qui, souvent, mène à une page de connexion trafiquée qui lui permet de récupérer votre mot de passe. Dans d’autres cas, le message a un caractère urgent : on sollicite votre aide ou un don, on vous annonce que vous avez remporté un prix ou on se fait passer pour un collègue qui a une demande qui ne peut pas attendre. Plus le message joue sur vos émotions, plus le risque que vous cliquiez sur le lien ou posiez un geste sans évaluer la situation est grand.
Dans les plus récentes attaques d’hameçonnage, les pirates tentent de profiter de la peur suscitée par le coronavirus pour exploiter les gens. En effet, des arnaqueurs se présentent comme des professionnels de la santé et déclarent représenter des organisations réputées comme la Croix-Rouge canadienne et l’Organisation mondiale de la Santé pour tromper les gens et leur voler des renseignements sensibles.
Toutefois, il faut savoir que les courriels ne sont pas le seul moyen qu’utilisent les pirates. Les tentatives d’hameçonnage liées à la pandémie de COVID-19 peuvent également se faire par téléphone ou par message texte. De plus, il arrive souvent que des pirates se fassent passer pour des représentants de l’Agence du revenu du Canada, surtout durant la période des impôts, ou d’une autre autorité, par courriel ou par téléphone, afin de soutirer des renseignements personnels ou de l’argent des victimes.
Conséquences possibles : L’étendue des dommages dépend souvent de la nature de la cible et de la quantité d’information volée. Par exemple, dans le cas d’une attaque de harponnage contre un haut dirigeant, les conséquences peuvent être dévastatrices s’il a accès à des systèmes critiques, aux fonds de l’entreprise ou à des renseignements confidentiels. Et même dans le cas d’une attaque visant plusieurs personnes, il n’en faut qu’une qui tombe dans le piège pour que le malfaiteur ait accès à votre réseau tout entier.
3. Le faux-semblant
Point de départ : À l’aide de recherches poussées et d’une imitation adroite, le faux-semblant vise à soustraire des informations sous de faux prétextes. Il va donc plus loin que la simple demande; c’est un effort organisé pour créer une identité convaincante et manipuler la cible afin de lui soustraire une mine de renseignements.
Objectif : Contrairement aux courriels d’hameçonnage, qui misent sur le sentiment d’urgence, le faux-semblant réussi peut débuter par un appel téléphonique. On tente de gagner votre confiance afin de dissiper tout doute que vous pourriez avoir.
Cette technique n’a rien de nouveau; les vendeurs peu scrupuleux, les diseuses de bonne aventure et les médecins ou avocats charlatans sévissent depuis longtemps. Dans le monde numérique, ceux qui utilisent le faux-semblant se présentent souvent comme des techniciens informatiques, des émetteurs de carte de crédit, des prêteurs et des compagnies d’assurance qui vous inspirent confiance pour que vous leur transmettiez des renseignements sensibles.
Conséquences possibles : Dans plusieurs cas, les pirates tentent de vous faire poser un geste qui leur permettra d’exploiter la moindre faiblesse structurelle de votre entreprise. Mais on ne les trouve pas qu’en ligne; si un fraudeur réussit à convaincre un membre de votre personnel de sécurité de le laisser entrer dans vos bureaux, il peut mettre la main directement sur votre équipement ou tout autre bien de valeur.
4. Semer la méfiance
Point de départ : Comme pour l’hameçonnage, ce type d’attaque débute souvent par l’obtention d’un accès à un compte de messagerie, de réseau social ou de forum, grâce auquel le pirate fait circuler de vilaines rumeurs sur sa cible, ou encore des photos ou des vidéos truquées pour lui créer des ennuis ou ternir sa réputation.
Objectif : Ce genre d’attaque est plus souvent motivé par la colère et le désir de vengeance que par des raisons financières ou le désir d’accéder à un système. Toutefois, toutes sortes de raisons peuvent amener une personne à faire des choses horribles, notamment essayer de soutirer de l’argent à la victime ou au destinataire du faux message.
Conséquences possibles : À l’ère où un message peut traverser le monde en un seul clic grâce aux réseaux sociaux, les dommages à la réputation sont une menace importante qui peut aller jusqu’à ruiner une entreprise. Évidemment, l’extorsion peut aussi avoir de sérieuses conséquences sur la vie personnelle et professionnelle.
5. L’appâtage
Point de départ : En vous faisant une offre alléchante, les pirates tentent de vous convaincre d’aller de l’avant avec une transaction ou de leur fournir des renseignements financiers qui leur donnent accès à vos comptes. Ce genre d’arnaque est commun sur les sites de partage entre pairs permettant de télécharger du contenu multimédia, les réseaux sociaux ou d’autres sites où les membres d’une communauté échangent entre eux.
Objectif : Le responsable de l’attaque cherche probablement à obtenir vos renseignements financiers, ou simplement à accéder à votre système pour y introduire un programme malveillant. Il pourrait même créer de faux comptes et de faux historiques de ventes sur des sites de vente aux enchères ou de petites annonces pour vous amadouer.
Conséquences possibles : Non seulement vous perdrez le montant payé sans recevoir le produit ou le service, mais vous pourriez donner la clef de votre compte bancaire tout entier si vous divulguez trop d’informations. Dans d’autres cas, vous pourriez donner accès au malfaiteur à votre système par inadvertance.
6. Le passage en double
Point de départ : C’est dans le vrai monde, hors ligne, qu’a lieu ce genre d’attaque. Le criminel se tient dans des endroits très fréquentés, près de l’entrée d’un immeuble (zone fumeurs, entrée principale, zone de livraison), et se glisse à l’intérieur dès qu’un employé sans méfiance sort ou entre.
Objectif : Cette personne peut vouloir entrer dans vos bureaux pour plusieurs raisons, selon leur but ultime. Le problème, c’est que lorsque vos employés sont concentrés sur leurs tâches quotidiennes, l’intrus peut passer inaperçu pendant un bon moment s’il se fait discret.
Conséquences possibles : Il est difficile d’imaginer quel serait le pire scénario lorsqu’on ne sait pas vraiment ce que cherche l’intrus, mais si vous gardez des objets, des appareils ou des dossiers de valeur sur votre lieu de travail (et on peut dire que c’est le cas de la majorité des entreprises), ils peuvent être en danger. Un voleur sournois pourrait subtiliser bien des choses, que ce soit des portefeuilles extirpés de sacs à main ou des ordinateurs portables attrapés dans des bureaux laissés sans surveillance, par exemple.
7. Le piratage psychologique inversé
Point de départ : Le piratage psychologique inversé consiste à convaincre une cible qu’elle a besoin des services du pirate plutôt que de lui soutirer de l’information. Le malfaiteur se fait d’abord passer pour un professionnel (un technicien informatique, par exemple) et il donne ses coordonnées aux employés pour qu’ils le contactent en cas de problème technique. Parfois, il peut même créer le problème en sabotant l’équipement ou en supprimant un fichier important.
Objectif : Le but de ce genre d’attaque est d’avoir accès à votre système afin d’en extraire les données sur-le-champ, ou encore de préparer le terrain pour une attaque future. Le piratage inversé nécessite beaucoup de planification et une certaine part de chance, mais si l’attaque est réussie, le butin peut être considérable pour le criminel.
Conséquences possibles : Comme cette méthode repose sur une confiance totale, le pirate peut en retirer beaucoup d’informations. Une fois qu’il vous a convaincu de sa légitimité, vous serez plus enclin à lui faire spontanément confiance, et mettrez probablement plus de temps à le soupçonner d’actes malicieux.
Comment se protéger contre ces attaques
Protocole en cas d’atteinte à la protection des données, plan solide de sauvegarde des données, dispositifs de sécurité mis à jour régulièrement : ce sont toutes des composantes d’une cyberstratégie sensée. Mais que faites-vous des gens responsables de vos activités? Malheureusement, les fuites de données sont parfois attribuables à la négligence des employés.
Il va sans dire que des employés avisés en matière de cybersécurité contribueront à la sécurité de votre entreprise. Voici quelques trucs pour vous aider à renforcer votre première ligne de défense :
- Limitez le partage sur les réseaux sociaux. Tout ce qui se retrouve sur les réseaux sociaux peut être utilisé contre vous, alors mieux vaut prévenir que guérir; assurez-vous d’avoir une politique sur les médias sociaux claire pour guider vos employés dans leurs interactions en ligne, et resserrez vos contrôles de sécurité. Rappelez à votre équipe que même les détails les plus anodins peuvent se retourner contre eux ou l’entreprise, et qu’ils devraient y penser à deux fois avant de publier quelque chose.
- Soyez méfiant au téléphone. Si quelqu’un vous appelle et vous demande de lui fournir des renseignements sensibles, faites attention; on ne sait jamais qui est au bout du fil. Les arnaques téléphoniques sont chose courante – certains criminels vont jusqu’à utiliser la même musique d’attente que l’entreprise. Par précaution, dites aux employés de raccrocher, de chercher le numéro de l’entreprise et de lui téléphoner pour vérifier si un de ses représentants tentait bel et bien de vous joindre.
- Vérifiez doublement l’identité des gens. Dans les plus grandes entreprises, il est facile de se faire passer pour un messager ou un collègue pour convaincre un employé de nous laisser entrer; mais un passage en double peut aussi viser une petite entreprise. Même si ça peut sembler étrange, vos employés devraient prendre l’habitude de vérifier l’identité de tout visiteur ou collègue qu’ils ne connaissent pas avant de les laisser entrer. Une bonne technique consiste à escorter l’inconnu jusqu’à la personne qu’il dit venir visiter, et si elle n’est pas disponible, à le raccompagner jusqu’à la sortie pour qu’il attende son retour.
- Faites un suivi auprès de l’institution avant d’agir. Même si une demande de renseignements personnels, financiers ou autres semble urgente et importante, n’oubliez pas qu’une décision précipitée peut avoir de graves conséquences. Une institution légitime n’aura pas l’habitude de vous demander ce genre d’informations par courriel, alors assurez-vous que vos employés ne tomberont pas dans le panneau.
Si certains cybercriminels sont maladroits et faciles à démasquer, d’autres préparent longuement leur méfait. Les attaques de piratage psychologique peuvent être un travail coordonné et bien planifié visant à abuser de votre confiance et de votre serviabilité. Vous devez pouvoir compter sur votre assurance des cyberrisques si un criminel réussit à infiltrer votre système malgré tous vos efforts. Vous doutez que la vôtre soit à la hauteur du défi? Pensez à revoir votre protection avec l’aide d’un courtier de confiance qui, en collaboration avec les experts de Northbridge, pourra vous préparer une police adaptée à vos besoins.