25 mars 2025
Une femme entre dans le hall d’une entreprise. C’est la première fois qu’elle met les pieds dans ce bâtiment. Personne ici ne l’avait jamais vue. Ce n’est pas une salariée. Elle n’est l’invitée de personne. Elle n’a pas de badge.
Mais impossible de le savoir d’après l’attitude des personnes présentes. En fait, ils ne réagissent pas du tout. Ils l’ignorent avec lassitude, comme un élément de décor insignifiant. Même pas comme un baby-foot dans la salle de pause, ou une plante en plastique fixée au sol : toujours là et qui ne vaut pas la peine d’y jeter un regard.
Sans ralentir le pas, elle se dirige directement vers la réception.
« Bonjour », dit-elle d’un air penaud.
La réceptionniste lève la tête de son écran, avec un empressement qui suggère qu’elle apprécie cette distraction. (Jerry, du service comptabilité, répond encore une fois à des e-mails qui devraient rester privés.)
Le soulagement cède rapidement la place à la perplexité lorsqu’elle accueille l’inconnue à son comptoir. Son visage se plisse alors qu’elle essaie de situer la visiteuse, sans y parvenir.
« Je me permets de vous déranger », continue la femme, « car je passe des entretiens au bureau d’à côté, et j’ai renversé un café sur mon CV. Auriez-vous la gentillesse d’imprimer une nouvelle copie pour moi ? J’ai le fichier juste là. »
La femme sort une clé USB d’un geste théâtral. Ta-da ! Le visage de la réceptionniste s’adoucit dans un sourire. Bien sûr qu’elle va aider cette pauvre dame. Après les jurons qu’elle a lâchés dans les embouteillages de Los Angeles ce matin, elle aurait bien besoin d’un peu de bon karma.
Sans hésiter, la réceptionniste branche la clé USB sur son ordinateur. Tout en discutant, elle accède au fichier sur le lecteur et effectue un double clic, déclenchant une chaîne complexe d’événements qui conduira, à la fin de la journée, à la compromission de l’ensemble du réseau.
En fait, le CV n’est pas du tout un CV, mais un logiciel malveillant intelligemment déguisé, qui s’installe secrètement sur l’ordinateur de la réceptionniste. Elle n’a pas le moindre soupçon, et qui pourrait la blâmer ? La femme semble très correcte, et ses parents l’ont élevée dans la bienveillance.
Renforcez vos renseignements de sécurité
Gardez une longueur d’avance sur les menaces grâce à l’actualité et aux réflexions sur la sécurité, l’IA et bien plus encore, dans la newsletter hebdomadaire Think.
Ce que vous venez de lire est inspiré d’une histoire vraie, où j’étais la visiteuse qui a dupé une réceptionniste bien intentionnée pour compromettre son entreprise. Aucune bonne action ne reste impunie, n’est-ce pas ?
Je tiens toutefois à préciser que je n’ai pas réellement infecté l’ordinateur de qui que ce soit avec un ransomware, et que j’étais là avec autorisation. L’entreprise a fait appel à moi pour effectuer une évaluation des locaux. (C’est un peu mon truc.) Et comme vous pouvez le voir, j’ai trouvé quelques faiblesses.
Et je trouve généralement des faiblesses lorsque j’effectue des évaluations, physiques ou numériques. En particulier en matière d’ingénierie sociale.
Malgré toutes les formations, les bulletins des forces de l’ordre, les histoires de phishing de plusieurs millions de dollars et les avertissements d’experts (comme moi !), les attaques d’ingénierie sociale continuent de nous prendre au dépourvu.
C’est pourtant simple : « Ne prenez aucune clé USB provenant d’inconnus. » Mais l’ingénierie sociale fonctionne précisément parce qu’elle s’adresse à nos instincts les plus humains, comme le désir de se rendre utile.
Et les escrocs exploitent aussi d’autres émotions.
Les agresseurs jouent sur la curiosité des gens en proposant des histoires improbables et en promettant des récompenses fabuleuses qui incitent les victimes à aller plus loin.
Nous voyons souvent cette tactique dans les escroqueries de type « pig butchering » (abattage de porcs), où les malfaiteurs se font passer pour de riches investisseurs proposant une « opportunité » qui rapportera à coup sûr des millions à la victime. (Ce qui n’arrivera pas.)
Les agresseurs suscitent la peur, souvent en se faisant passer pour un patron, un policier ou une autre figure d’autorité, en menaçant la victime de perdre son emploi ou de l’envoyer en prison si elle ne fait pas ce qu’on lui demande. Ces arguments fonctionnent très bien, car on nous a appris dès l’enfance à obéir aux figures d’autorité.
Les pirates informatiques utilisent la menace de la pénurie, tout comme les publireportages classiques : « Agissez maintenant ! Jusqu’à épuisement des stocks ! »
Par exemple, pendant la période d’ouverture des inscriptions, les escrocs se font souvent passer pour des représentants des RH ou de l’assurance maladie : « La période d’inscription se termine bientôt, alors donnez-moi votre numéro de sécurité sociale maintenant ! »
Les pirates contraignent leurs victimes par justification sociale. La plupart d’entre nous veulent se fondre dans la masse. Si nous recevons un e-mail (certes suspect) affirmant que nous sommes la dernière personne de notre entreprise à répondre à l’enquête (étonnamment invasive) auprès des employés, nous nous y mettons immédiatement.
Exactement comme si vous subissiez la pression de vos pairs au lycée : tout le monde le fait ! Sauf qu’ici, il s’agit de « remettre votre mot de passe à un pirate » et non de « fumer des cigarettes derrière la cafétéria ».
Pour attiser ces émotions, les escrocs inventent des prétextes (fausses histoires) et des personas (rôles qu’ils jouent). En voici quelques exemples :
« Je suis Susan, du service informatique. Comme je suis nouvelle, vous ne me connaissez pas encore. Mais vous avez certainement entendu parler de la migration des e-mails, n’est-ce pas ? Je dois configurer votre nouveau compte. Vous êtes le dernier de votre service. Mais il me faut votre mot de passe. »
Parfois, je pense que la création d’une compagnie de théâtre pour ces personnes réduirait de moitié le nombre d’attaques d’ingénierie sociale. Une sorte d’exutoire inoffensif à leurs rêves. Oui, c’est ça : j’adore porter une perruque lorsque je fais irruption dans les locaux des clients.
Sans vouloir être pessimiste, il faut se rendre à l’évidence. Nous ne parviendrons jamais à vaincre complètement l’ingénierie sociale. Nous ne mettrons jamais au point un filtre antispam que les pirates ne pourront pas tromper par un déguisement astucieux. Nous n’aurons jamais de test infaillible pour distinguer les faux malveillants des vrais, que ce soit un message de votre banque ou une dame maladroite avec un CV taché de café.
Tant que les gens auront des émotions, les escrocs en profiteront. (Nos maîtres de l’IA devraient se dépêcher.)
C’est une bonne nouvelle pour mes perspectives d’emploi en tant que Chief People Hacker, mais pas tellement pour le reste d’entre vous.
D’un autre côté, toutes mes années à me faire passer pour un fraudeur (meta !) m’ont appris que plus nous mettons d’obstacles sur le chemin des pirates informatiques, moins ils ont de chances de nous prendre au dépourvu.
À cette fin, voici quelques-unes des méthodes les plus efficaces pour protéger votre entreprise des attaques par ingénierie sociale.
Si les attaques d’ingénierie sociale reposent sur des émotions fortes telles que la peur et la pression sociale, c’est pour vous pousser à agir avant de réfléchir.
Oh non, mon patron dit que nous aurons de gros ennuis si je ne paie pas immédiatement cette facture dont le montant est plus élevé que d’habitude. Mieux vaut s’y mettre !
Je vous conseille de vraiment ralentir et d’évaluer chaque SMS, e-mail, appel téléphonique ou autre message. C’est plus facile à dire qu’à faire, mais c’est la défense la plus efficace contre les attaques d’ingénierie sociale. Si la plupart des gens lisaient attentivement leurs e-mails et se posaient des questions avant de réagir, ils verraient tous les signaux d’alarme se déployer devant leurs yeux.
Une minute ! Les paiements de ce fournisseur ne sont généralement pas aussi élevés. Et pourquoi mon patron m’envoie-t-il un e-mail à ce sujet directement au lieu de passer par le système comptable ? Je ferais mieux de me renseigner.
Un autre conseil : lorsque vous traitez des demandes suspectes, essayez d’utiliser un autre canal de communication. Si votre patron vous envoie un e-mail bizarre, appelez-le pour confirmer. Si le message original est une attaque d’ingénierie sociale, y répondre directement vous amènera directement aux escrocs.
Cela semble évident, mais trop d’entreprises s’appuient sur des formations générales sur la cybersécurité qui ne couvrent pas les attaques réelles auxquelles leur personnel est confronté.
Je ne saurais vous dire combien de fois j’ai examiné la formation d’un client pour constater qu’elle était complètement dépassée et portait sur des choses que les pirates ne font même plus aujourd’hui. (Dépassé : les arnaques nigériennes. Actuel : les investissements en cryptomonnaies.)
Les formations de sensibilisation doivent prendre en compte à la fois les bonnes pratiques du secteur et le contexte particulier de votre entreprise. Recevez-vous des types d’appels téléphoniques spécifiques ? Les escrocs utilisent-ils des prétextes et des personas particuliers lorsqu’ils ciblent votre personnel ? Intégrez cela dans la formation de sensibilisation à la sécurité.
Les exercices de cyber range sont un type d’entraînement qui mériterait d’être davantage pratiqué.
Les cyber ranges sont des environnements physiques ou virtuels qui simulent les réseaux et les cyberattaques en temps réel. Nous les utilisons pour organiser des simulations de cybercrise, où nous plaçons les cadres et d’autres membres de l’équipe dans le contexte d’une attaque simulée, par exemple une infection par ransomware, puis nous observons comment ils réagissent.
De peur que vous pensiez que je fais la promotion de Big Cyber Range, laissez-moi vous dire ceci : le plus grand avantage d’une simulation de cybercrise est de vous aider à déterminer ce qui manque à vos plans de réponse aux crises.
De nombreuses entreprises arrivent dans nos exercices de cyber range avec un plan en place, mais une fois en situation, elles découvrent rapidement d’énormes lacunes dans ces plans : des tactiques d’attaque qu’elles n’avaient pas envisagées, des responsabilités qu’elles n’ont jamais attribuées, des plans de communication qu’elles n’ont jamais clarifiés.
En simulant une cybercrise, les équipes peuvent déterminer qui est responsable de quoi et qui travaille avec qui avant que les pirates ne frappent à la porte. De cette façon, personne n’est assis en sirotant un café dans la salle de pause pendant que le réseau s’enflamme comme le chien « Tout va bien ».
L’un des moyens les plus simples d’arrêter les agresseurs est d’exiger une vérification pour chaque demande importante ou inhabituelle : payer des factures, partager des informations confidentielles, aider votre PDG à acheter des cartes-cadeau iTunes pour le personnel de nettoyage.
(OK, celle-ci est assurément une arnaque.)
Le problème est que de nombreuses entreprises utilisent des facteurs de vérification faciles à deviner, tels que les dates de naissance ou les dates de début de carrière. Je recommande plutôt des facteurs beaucoup plus difficiles à falsifier ou à découvrir.
Par exemple, l’été dernier, un cadre de Ferrari a déjoué une tentative d’escroquerie par vishing (hameçonnage vocal) en demandant aux fraudeurs, qui utilisaient des outils de clonage vocal pour se faire passer pour le PDG, s’ils se souvenaient de l’ouvrage que le véritable PDG avait récemment recommandé. Décontenancés, les escrocs ont immédiatement raccroché.
A moins que vous soyez bibliothécaire, vous ne pourrez probablement pas baser toutes les vérifications sur les recommandations de livres. Mais vous pouvez faire autre chose. L’un de mes clients utilisait des mots de passe alternés qui changeaient tous les lundis. Malheureusement, comme c’était le seul facteur de vérification qu’ils utilisaient, j’ai tout de même pu pirater leur système en incitant une personne à me donner le mot de passe.
Ce qui m’amène au point suivant : les couches. Ne demandez pas un seul facteur de vérification. Demandez-en deux ou trois. Plus les enjeux de la demande sont élevés, plus vous devez exiger de facteurs. Il est beaucoup plus difficile pour les escrocs de tromper quelqu’un lorsqu’ils doivent recueillir plusieurs informations.
Vous pouvez soumettre tout le monde à une formation de pointe et élaborer des politiques rigoureuses. Si les gens n’ont pas les outils dont ils ont besoin pour mettre en pratique ce que vous prêchez, tout cela ne sert quasiment à rien.
Revenons à l’histoire que j’ai racontée plus haut. J’ai pris quelques libertés avec le narratif. Ce n’est pas vrai que personne ne m’a remarquée. Une personne l’a fait : la femme que j’ai suivie dans le bâtiment.
En effet, pour y accéder, les employés doivent présenter un badge. N’en ayant pas, j’ai dû utiliser l’art ancien du talonnage, c’est-à-dire suivre quelqu’un de très près pour qu’il vous laisse la porte ouverte, car vous la claquer au nez serait impoli.
En suivant cette femme, je sentais qu’elle savait que quelque chose n’allait pas. Son regard noir en disait long. Comprenant que ma couverture était grillée, je me suis préparée à me faire jeter dehors par un agent de sécurité costaud, façon dessin animé.
À ma grande surprise, ce n’est pas arrivé. J’ai pu me promener en semant des clés USB comme une fée des logiciels malveillants pendant des heures avant de me lancer dans l’affrontement décisif à la réception.
Et pendant que j’étais là à regarder la réceptionniste imprimer mon CV, j’ai surpris une partie de conversation curieuse juste derrière moi. Quelqu’un décrivait quelqu’un qu’il avait vu, et ça ressemblait vraiment à moi. Ma tenue. Ma taille. Ma couleur de cheveux.
Prudemment, j’ai rapidement jeté un coup d’œil par-dessus mon épaule. Elle était là. La femme de la porte faisait ma description à un agent de sécurité qui parcourait les images des caméras sur son ordinateur portable. Ils me cherchaient alors que j’étais juste à quelques mètres.
J’ai quand même réussi à me faufiler sans me faire voir.
Lorsque je suis retournée discuter des résultats de mon évaluation avec mon client, la première chose que j’ai demandée a été : « Qu’est-ce qui a pris autant de temps ? » La femme m’a repérée alors que j’entrais dans le bâtiment, mais elle ne m’a signalé que trois ou quatre heures plus tard.
Nous avons fait quelques recherches, et il s’est avéré qu’elle voulait me signaler beaucoup plus tôt. Elle ne savait tout simplement pas comment faire. Il lui a fallu quelques heures pour trouver la bonne adresse e-mail et quelques heures de plus pour que la sécurité lui réponde.
Je vois souvent ce genre de choses : quelqu’un me surprend en train de le suivre de près. Je dis « Merci ! » de ma voix la plus joyeuse. La personne me regarde de haut en bas. Elle ne me connaît pas. Mais qu’est-elle censée faire ?
Ils ne savent pas quoi dire. Ils ne savent pas comment empêcher quelqu’un de les suivre, ou comment refuser poliment la demande d’un inconnu d’utiliser une imprimante. On n’apprend pas nécessairement aux gens à questionner les autres alors qu’il est dans la nature humaine de vouloir aider, et encore moins de dire carrément « non ».
Ce que je veux dire, c’est qu’il ne suffit pas de donner des ordres tels que « Ne laissez pas d’étrangers entrer dans le bâtiment » ou « Signalez les personnes suspectes à la sécurité ». Expliquez aux employés à quoi ressemble exactement ce processus et donnez-leur la possibilité de s’exercer dans le cadre de leur formation.
Si vous remarquez qu’une personne se promène sans badge d’identification et qu’elle ne vous est pas familière, arrêtez-la. Demandez-lui : « Puis-je vous aider ? Passons à l’enregistrement. » Si quelqu’un demande à utiliser une imprimante, dites : « Je dois d’abord vous obtenir un badge, c’est une simple formalité ! Passons à la sécurité. »
Et n’attendez pas que les gens mémorisent ces étapes. Il est facile de se sentir déstabilisé face à la réalité. Assurez-vous que chaque poste de travail (chaque appareil et chaque bureau) dispose d’un guide facilement accessible pour répondre aux attaques d’ingénierie sociale physiques et numériques. Indiquez les numéros de téléphone, les adresses e-mail et les consignes de signalement étape par étape.
Si cette femme avait pu agir dès qu’elle m’a vue, je n’aurais jamais réussi à piéger la réceptionniste.
Donc, si vous y réfléchissez, c’est sa faute. Pas la mienne.