Imaginez que vous êtes un professionnel de l’informatique travaillant au service d’assistance d’une entreprise. Un jour, vous recevez un message de la part d’un collègue qui se plaint d’avoir perdu son téléphone lors d’une fête la veille et qui demande un moyen d’accéder à son compte. Naturellement, vous lui donnez un jeton d’authentification multifactorielle pour le laisser revenir sur le réseau. C’est la routine, des demandes comme celle-là vous en traitez des dizaines par semaine.

À moins que cette fois-ci, ce ne soit pas le cas ? Quelques semaines plus tard, on apprend que des pirates informatiques ont volé des données dans votre entreprise. Il s’avère que l’employé qui vous a envoyé un message était un pirate se faisant passer pour un employé. Il ne s’agit pas non plus d’un scénario hypothétique : le géant du jeu vidéo EA a connu dans des circonstances similaires une cyberattaque dont il a été victime en juin. Les attaques de ce type, où des acteurs malveillants manipulent les autres pour les amener à leur communiquer des informations confidentielles, sont connues sous le nom d’ingénierie sociale. Plus de 90 % des cyberattaques reposent sur l’ingénierie sociale – c’est aussi populaire qu’inquiétant.

Historiquement, nous avons vu de nombreux exemples d’attaques par ingénierie sociale sortante, où des imposteurs du service informatique appellent des employés et les manipulent pour qu’ils leur donnent accès à un réseau. Ce type de cyberattaque a fait la une des journaux en 2020, lorsque des pirates se sont emparés de façon notoire des comptes Twitter de plusieurs célébrités, provoquant des perturbations du site et escroquant les adeptes pour environ 118 000 dollars. Il a suffi de se faire passer pour un membre du personnel informatique de Twitter, d’inciter les employés à se connecter à un faux site informatique de Twitter, puis d’utiliser les identifiants de connexion des employés trompés pour accéder aux systèmes internes de Twitter.

Cependant, peu de gens sont au courant des attaques qui menacent les entreprises et qui reflètent l’attaque contre EA. Ces attaques d’ingénierie sociale entrantes impliquent des pirates qui se font passer pour des employés et manipulent le personnel du service informatique pour qu’il leur accorde par inadvertance l’accès au réseau de l’entreprise. Au lieu de faire apparaître les centres de services comme les auteurs de ces attaques, les pirates les transforment en complices involontaires des cybercrimes.

« J’ai oublié mon mot de passe, pouvez-vous le réinitialiser ? »

Un autre exemple d’attaque par ingénierie sociale entrante s’est produit en 2016, lorsqu’un pirate a volé les coordonnées de plus de 29 000 employés du gouvernement fédéral en se faisant passer pour un nouvel employé inexpérimenté du ministère de la Justice (DOJ), appelant le ministère et demandant de l’aide pour obtenir un accès au portail Web.

Des demandes comme celle-ci et la demande de mot de passe de l’attaque EA ne sont pas inhabituelles pour les services informatiques. De nombreux employés oublient leurs mots de passe ou se retrouvent bloqués dans leurs comptes.

L’essor du travail hybride a également isolé physiquement les employés de leurs collègues lorsqu’ils travaillent à distance. Désormais, un employé ne peut pas toujours se rendre au bureau d’un collègue pour lui demander de l’aide. En revanche, il est tout aussi facile d’appeler ou d’envoyer un message à votre service d’assistance que d’appeler ou d’envoyer un message à un collègue.

Les attaques d’ingénierie sociale entrantes sont particulièrement pernicieuses, car elles manipulent des professionnels de l’informatique qui essaient simplement d’effectuer leur travail, et qui sont souvent sous pression de leur hiérarchie pour clore rapidement les tickets. Il y a de fortes chances qu’un employé du service informatique ne connaisse pas tous les employés de son entreprise, donc si un message d’ingénierie sociale semble légitime et que l’entreprise n’a pas mis en place de mesures de vérification des identités des employés, pourquoi un professionnel du service informatique suspecterait-il
une fraude ?

Ces considérations offrent aux pirates de nombreuses possibilités de manipuler les employés des services informatiques pour qu’ils leur donnent accès à des informations sensibles. C’est pourquoi les entreprises doivent être tout aussi bien préparées à se défendre contre ces attaques d’ingénierie sociale entrantes que contre les attaques d’ingénierie sociale sortantes plus familières.

Comment garder une longueur d’avance sur les pirates informatiques 

Les desks des services informatiques étant les victimes de l’ingénierie sociale sortante, leur donner les connaissances nécessaires pour suspecter une telle attaque ou la capacité de la contourner complètement permet aux entreprises de garder une longueur d’avance sur les hackers. En outre, il existe deux mesures efficaces que les entreprises peuvent déployer pour contrer ces attaques d’ingénierie sociale entrantes.

Tout d’abord, en sécurisant votre service d’assistance et en lui donnant des outils pour vérifier l’identité d’un employé, vous renforcez la capacité du service d’assistance à interagir en toute sécurité avec les employés. L’authentification multifactorielle (MFA) est un excellent moyen d’y parvenir. Par exemple, si un utilisateur inscrit un appareil mobile auprès d’un centre d’assistance, le personnel peut envoyer un code à l’appareil mobile de l’employé et lui demander de relire le code au membre du personnel pour vérifier entièrement l’identité de l’employé. Si un pirate se fait passer pour un employé mais n’a pas la possibilité d’authentifier son identité, le service d’assistance peut immédiatement soupçonner une fraude.
Deuxièmement, donner aux employés la possibilité de réinitialiser eux-mêmes leurs mots de passe est une excellente option pour se prémunir contre ces attaques. Le service d’assistance n’a plus à intervenir pour la plupart des employés, et les appels restants concernant les mots de passe peuvent être traités avec les mêmes exigences MFA que dans le scénario en libre-service.

La plupart des organisations ne réalisent pas que les employés imposteurs menacent les entreprises tout autant que les employés imposteurs du service d’assistance. Les pirates utiliseront toutes les ruses psychologiques possibles pour manipuler les personnes présentes et les amener à donner accès à des données sensibles. Les entreprises doivent donc mettre plusieurs cordes à leur arc pour garder une longueur d’avance sur les pirates tout en anticipant ces attaques déconcertantes. Car la question n’est pas de savoir si ces attaques vont se produire, mais quand elles vont se produire.

À propos de Specops Software

Specops Software est le leader des solutions de gestion des mots de passe et d’authentification. Specops protège les données de votre entreprise en bloquant les mots de passe faibles en les analysant et en les comparant à notre base de données exhaustive de 2,5 milliards de mots de passe compromis et en sécurisant l’authentification des utilisateurs. Avec un portefeuille complet de solutions intégrées nativement à Active Directory, Specops garantit que les données sensibles sont stockées sur place et sous votre contrôle. Chaque jour, des milliers d’organisations utilisent le logiciel Specops pour protéger leurs données professionnelles.