Illustration article blog résilience informatique Déessi
Partagez notre article , Choisissez votre plateforme

Nos systèmes sont pensés pour être toujours mieux protégés des attaques informatiques. Mais lorsque ce sont les utilisateurs qui dévoilent des informations sensibles aux pirates, ces protections deviennent malheureusement inopérantes.

Les pirates l’ont bien compris, et c’est la raison pour laquelle les attaques informatiques modernes relèvent désormais davantage du facteur humain que du facteur technologique. Elles se traduisent par des malveillances relevant de ce que l’on appelle le “piratage psychologique”, une forme de piratage qui demande une plus grande vigilance de la part des équipes de sécurité IT mais aussi et surtout, de la part de tous les collaborateurs de l’entreprise.

Dans cet article, nous allons présenter ce qu’est le piratage psychologique et ses différentes formes, avant de vous donner les clés pour mieux vous en prémunir.

Qu’est-ce que le piratage psychologique ?

Le piratage psychologique est une forme de menace qui vise à amener des utilisateurs à communiquer des informations (identifiant, mot de passe, coordonnées bancaires…) ou à réaliser des actions (clic sur un lien, autorisation…) les rendant plus vulnérables à une attaque informatique. Le piratage psychologique peut se manifester sous de nombreuses formes et stratagèmes, en ligne comme hors ligne, depuis un simple mail frauduleux, jusqu’à des formes plus poussées d’usurpation d’identité.

Les tactiques employées font appel à des ressorts psychologiques de type :

  • Demandes urgentes : Les fraudeurs utilisent souvent des demandes « urgentes » afin que les actions qu’ils demandent n’empruntent pas les processus de validation habituels et soient réalisées de manière irréfléchie.
  • Opportunités attrayantes : les cybercriminels proposent une offre si intéressante que la personne à du mal à contenir son enthousiasme et répond ou réalise l’action de façon impulsive.
  • Peur et intimidation : Les pirates se font passer pour une personne ayant autorité et recourent à la menace ou à des formulations anxiogènes de façon à créer une panique et une obéissance immédiate

Qui sont les cibles du piratage psychologique ?

Le plus grand nombre

La technique la plus répandue par les pirates pour rentabiliser leurs actions consiste à viser le plus grand nombre. Petite ou grande entreprise, toutes peuvent être ciblées, l’important est que, par le volume de personnes ciblées (1000, 5000, 10 000 ou plus), une ou plusieurs personnes commettent fatalement une erreur ou une inattention entraînant la mise en danger d’un système.

Des entreprises ou des personnes précises

Parfois, les pirates peuvent cibler une personne ou une entreprise en particulier. On parle alors de “Spear Phishing” ou « Hameçonnage ciblé”.

Ceci peut se produire suite à une fuite de données, qui donne aux pirates des informations intéressantes pour réaliser ce type d’attaques poussées. Cela peut également se produire dans le cadre de “commandes” effectuées par des tiers malhonnêtes, voire dans le cadre d’enjeux géopolitiques.

La dangerosité de ce type d’attaques est qu’elles sont plus travaillées, et donc plus difficiles à identifier. Par exemple, les pirates peuvent procéder à des recherches pour connaître les responsabilités de la personne et ses interlocuteurs habituels, afin de produire un courriel quasi identique à ceux généralement traités par l’employé. Ils peuvent aussi cibler des collaborateurs avec des responsabilités et des accès spécifiques, de façon à s’introduire dans des parties critiques ou sensibles du système d’information.

Les différentes formes de piratage psychologique :

Le problème de ces techniques de piratage psychologique est qu’elles peuvent se produire sous des formes extrêmement variées, voire créatives. Il peut en conséquence être difficile de les identifier, notamment lorsqu’elles sont réalisées en dehors du cadre protégé de l’entreprise ou dans la vie quotidienne.

Attaques en ligne :

Phishing : l’attaque psychologique la plus connue et la plus courante. Généralement opérée par email, le phishing est une technique frauduleuse destinée à leurrer l’internaute en se faisant passer pour un tiers de confiance (établissement bancaire, opérateur téléphonique, service de paiement en ligne, réseau social, etc.). L’internaute est incité à communiquer des données personnelles et/ou bancaires ou à réaliser une action, comme cliquer sur un lien par exemple. Les ressorts psychologiques utilisés par les pirates sont souvent la crainte et l’émotion.

Quelques exemples de mail de phishing :

  • facture à payer
  • remboursement obtenu
  • compte bloqué pour faute de paiement
  • activation de nouveau service
  • vérification de sécurité de compte
  • connexion à un service (pour le conserver, pour le débloquer…)
  • confirmation d’adresse email
  • consultation d’une activité suspecte

Piratage (d’un autre utilisateur) : dans le même esprit que le phishing, le piratage d’un autre utilisateur peut vous amener à recevoir un email ou un message d’une personne qui est pour vous une personne de confiance, mais dont le compte est désormais contrôlé par des pirates. Plus ou moins élaborée, cette technique peut ainsi entraîner des actions de type :

  • demande de modification de coordonnées bancaires,
  • demande de paiement de facture,
  • clic sur un lien
  • ou tout simplement ouverture de pièce jointe avec un virus ou un ransomware (CV, facture, présentation powerpoint ou pdf…)

Arnaque vocale ou vishing

Le vishing est un type de phishing effectué en vocal, via un appel téléphonique. La personne se fait passer pour quelqu’un d’autre (tiers de confiance, partenaire, client etc.) de façon à récupérer des informations utiles pour réaliser un piratage informatique. Il peut s’agir de récupérer des identifiants ou un mot de passe, ou alors, de poser des séries de questions afin de vérifier votre identité et vos coordonnées dans le but d’une attaque par un autre moyen.

Attaque par sms (smishing) ou par courrier postal

Si les utilisateurs sont de plus en plus informés des menaces en ligne, il est parfois plus difficile de faire la part des choses lorsque le support est différent ou inhabituel.
Ainsi, au lieu de recevoir le phishing par email, il est possible de le recevoir par sms, voire par courrier postal. Il sera ainsi demandé de divulguer des informations confidentielles (mots de passe, informations personnelles ou professionnelles structurantes, données confidentielles) ou de réaliser des actions (une modification de RIB ou de numéro de compte bancaire ou encore un transfert de fonds).

Hameçonnage par clé USB

On entend beaucoup parler du phishing sur internet, mais le hameçonnage peut aussi exister dans la vie réelle. Un des exemples les plus courants est l’attaque par clé USB. Ce type d’attaque psychologique joue sur la curiosité. Une personne malintentionnée laisse sur le parking ou dans les locaux de votre entreprise une clé USB. Un collaborateur, qui a trouvé la clé, la connecte sur l’un des équipements de l’entreprise pour en vérifier le contenu. Une fois connectée, la clé permet aux pirates la prise en main à distance de vos équipements informatiques ou répand un virus dans votre système.

Comment reconnaitre les attaques de piratage psychologique ?

Des signaux d’alarme permettent de reconnaître ce type d’attaque :

  • Être confronté à un évènement inhabituel, surprenant ou “trop beau pour être vrai”.
  • Le caractère de la demande (demande urgente, formulations anxiogènes, autoritaires…).
  • Détecter une ou plusieurs anomalies à l’intérieur du message (le message est issu d’un numéro ou d’une adresse mail inconnue, il possède des fautes d’orthographe, la tonalité employée par le correspondant est inhabituelle…)

Comment se prémunir du piratage psychologique et du phishing, ou du moins, comment réduire les risques ?

Tout d’abord, il est important d’être sensibilisé à ces tactiques, et dans le cadre d’une entreprise, de sensibiliser l’ensemble de ses collaborateurs.
Pour tout ce qui relève des emails de type phishing, les employés doivent être informé de ces bonnes pratiques :

  • Ne jamais communiquer d’informations confidentielles par téléphone ou par mail
  • S’assurer que l’individu vous demandant des informations est légitime dans ses requêtes.
  • Avant de cliquer sur un lien douteux, positionner le curseur de la souris sur le lien, sans cliquer. Par exemple, bnppɑribɑs.com est une adresse frauduleuse, car elle utilise le caractère ɑ de l’alphabet cyrillique au lieu de l’adresse bnparibas.com utilisant le caractère a de l’alphabet latin. La même situation se produit avec l’adresse frauduleuse ǥooǥle.com au lieu de google.com. Attention, lorsque le nom de domaine est écrit en italique dans la police de caractère par défaut d’Outlook (Calibri), aucune distinction visuelle n’est possible entre le ɑ « cyrillique » et le a « latin »!
  • En cas de doute, l’expéditeur est inconnu ou que l’on ne s’attendait pas à son message, ne pas cliquer sur le lien, et contacter son interlocuteur habituel ou l’organisme concerné par un autre moyen.

Également, il peut être utile d’adopter avec ses collaborateurs les bonnes pratiques suivantes :

  • Mettre en place des formations qui donneront à vos utilisateurs les clés pour identifier ces techniques frauduleuses
  • Réaliser des tests grandeur nature pour préparer ses équipes, par exemple, en effectuant des envois contrôlés de faux phishings
  • Contrôler les informations personnelles publiées sur vous et votre entreprise

Que faire si vous avez été victime d’un piratage psychologique ?

  • Victime d’un piratage psychologique, contactez de toute urgence votre service informatique afin qu’un plan d’action soit mis en place.
  • Il est important de noter ou de conserver tous les détails de l’attaque afin de pouvoir donner à l’équipe informatique qui va investiguer votre problème, tous les éléments pour mesurer les risques encourus et entreprendre des actions correctrices.
  • Sachez que les pirates n’activent pas toujours leurs dispositifs immédiatement. Afin de semer le trouble et de rendre le nettoyage plus difficile, l’attaque informatique elle-même peut être déclenchée des semaines, voire des mois après les premières actions.

Nous espérons vous avoir sensibilisé au piratage psychologique et aux différentes formes qu’il peut prendre. N’hésitez pas à partager et à véhiculer l’information au sein de votre entourage et de votre entreprise, les dégâts que peuvent engendrer ces attaques sont considérables, il est important de ne pas les sous-estimer.

Une question, une demande, besoin d’un accompagnement pour votre entreprise, contactez nous dès à présent.

Partagez notre article , Choisissez votre plateforme

Table des matières :

Inscrivez-vous à la newsletter Déessi !

« * » indique les champs nécessaires

Politique de confidentialité.*
Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Catégories :