Le téléphone sonne alors que vous vous dépêchez de finir un rapport avant d’aller chercher votre enfant à la garderie. La personne prétend être un consultant et a besoin d’informations sur le système d’exploitation de votre entreprise. Elle dit être référée par votre patron, qu’elle prend bien soin de nommer. Même si vous trouvez la chose bizarre, vous répondez sans trop réfléchir à ses questions, espérant en finir au plus vite pour ne pas rater votre train.

Le lendemain, vous parlez de cet appel à votre patron qui vous assure n’avoir jamais donné votre nom à qui que ce soit pour recueillir ce type d’informations. Vous réalisez — trop tard — être tombé dans le piège d’un cyberpirate.

Bien que cela soit peu réconfortant, sachez que vous êtes loin d’être la seule personne dans cette situation. Vous avez été victime de l’ingénierie sociale, une méthode de manipulation efficacement utilisée par des pirates informatiques et qui est au cœur de nombreuses cybermenaces, dont l’hameçonnage par téléphone.

Cette réalité a été mise en évidence lors du Hackfest, une conférence dédiée au piratage informatique. L’événement d’octobre dernier a inclus un concours où les organisateurs ont simulé des attaques d’ingénieurs sociaux contre des entreprises sélectionnées aléatoirement.

Le concours a une fois de plus démontré que même les firmes dotées de systèmes de sécurité avancés peuvent être déjouées par un simple appel téléphonique. « Toutes les cibles ont cliqué sur un lien internet fourni par l’attaquant. Comme ce n’était pas de vrais pirates, il n’y a pas eu de conséquences, mais s’ils avaient eu affaire à un esprit malicieux, leur système aurait pu être infecté par un logiciel malveillant entraînant le vol de données sensibles », affirme Patrick R. Mathieu, cofondateur du Hackfest.

Les statistiques recueillies durant le concours sont alarmantes : dans une forte proportion (de 60 % à 100 %) les victimes ont révélé des détails compromettants qui pourraient être exploités lors d’attaques futures. La divulgation d’informations allait de détails sur le réseau Wi-Fi à des données précises sur les navigateurs internet et les systèmes d’exploitation utilisés.

« Ces statistiques sont similaires à celles des concours précédents. Force est de constater qu’il n’y a pas d’amélioration au sein des entreprises », se désole Patrick R. Mathieu.

Des méthodes bien huilées

Les tactiques utilisées par ces ingénieurs sociaux sont minutieusement élaborées. Loin de l’improvisation, leur plan d’action commence par une collecte approfondie d’informations sur les entreprises ciblées via des sources publiques — telles que le site Internet de l’entreprise, des articles de médias, des forums de discussion, des communiqués, etc. — exploitées pour préparer le terrain avant l’attaque. Patrick R. Mathieu souligne que, sans s’en rendre compte, les entreprises divulguent en ligne une multitude de données utiles à ces criminels.

Dans le cadre du concours, les faux pirates ont utilisé les mêmes façons de faire. Durant leur cueillette d’information, Ils devaient également trouver le numéro de téléphone d’employés de différents niveaux hiérarchiques des entreprises ciblées. Ce sont ces personnes qu’ils ont contactées le jour J. Comme astuce pour les faire parler, ils se sont présentés sous une fausse identité à l’apparence crédible et ont utilisé souvent un ton pressant.

Le type d’information demandée n’éveille pas tout de suite les soupçons de leurs cibles. Par exemple, en quoi se renseigner sur le déchiquetage des documents peut être utile aux cyberpirates ? « En connaissant le fournisseur et le calendrier de collecte, les pirates peuvent se présenter sur place, en portant un uniforme aux couleurs de ce fournisseur, pour récupérer le contenu des boîtes et mettre la main sur des données sensibles ou s’infiltrer dans le réseau de l’entreprise », explique Patrick R. Mathieu.

Ces méthodes démontrent la sophistication et la précision des attaques orchestrées par ces cybercriminels. Il devient impératif pour les entreprises de renforcer leur première ligne de défense en misant sur la formation et la sensibilisation des employés. Il leur faut développer une culture de la prudence où chaque appel suspect est immédiatement signalé. « Les employés doivent avoir le réflexe de raccrocher, de vérifier et de rappeler avant de fournir la moindre information », conseille Patrick R. Mathieu.