Hacking social
Le hacking social, ou piratage social, décrit l'acte consistant à tenter de manipuler les résultats du comportement social par le biais d'actions orchestrées. Le but principal du piratage social est d'accéder à des informations restreintes ou à un espace physique sans autorisation requise.
Le plus souvent, les attaques de piratage social sont réalisées en usurpant l'identité d'un individu (ou d'un groupe) — directement ou indirectement connu des victimes — ou en se faisant passer pour un individu (ou un groupe) en position d'autorité[1].
Cela se fait par des recherches préméditées et une planification visant à gagner la confiance des victimes. Les pirates sociaux prennent de grandes précautions pour présenter des signes de familiarité et de fiabilité afin d'obtenir des informations confidentielles ou personnelles[2]. Le piratage social est le plus souvent associé à une composante de « l'ingénierie sociale ».
Bien que la pratique implique d'exercer un contrôle sur le comportement humain plutôt que sur les ordinateurs, le terme « piratage social » est également utilisé en référence au comportement en ligne et, de plus en plus, à l'activité des médias sociaux. La technique peut être utilisée de multiples façons qui affectent la perception du public et, inversement, le sensibilisent davantage à l'activité de piratage social. Cependant, si la sensibilisation contribue à réduire le volume des piratages, la technologie a permis aux outils d'attaque de devenir plus sophistiqués.
Techniques de piratage social
Mener une attaque de piratage social consiste à rechercher des faiblesses dans le comportement des utilisateurs qui peuvent être exploitées par des moyens apparemment légitimes[3]. Trois méthodes d'attaque populaires incluent la « plongée dans les poubelles », les jeux de rôle et le spear phishing (harponnage).
Plongée dans les bennes à ordures
Passer au crible les ordures est une tactique populaire pour les pirates sociaux pour récupérer des informations sur les habitudes, les activités et les interactions des organisations et des individus. Les informations récupérées à partir des biens mis au rebut permettent aux pirates sociaux de dresser des profils efficaces de leurs cibles. Les coordonnées personnelles telles que les fonctions et les numéros de téléphone des employés peuvent être récupérées dans des annuaires téléphoniques ou des répertoires et utilisées pour obtenir d'autres informations techniques telles que les données de connexion et les mots de passe de sécurité. Une autre découverte avantageuse pour les pirates sociaux est le matériel mis au rebut, en particulier les disques durs qui n'ont pas été nettoyés correctement et qui contiennent toujours des informations privées et précises sur les entreprises ou les individus[1]. Étant donné que fouiller dans les ordures ménagères n'est pas une infraction pénale, c'est une ressource riche et légalement accessible pour les pirates sociaux. La plongée dans les poubelles peut donner des résultats fructueux, bien que malodorants, pour les chercheurs d'informations tels que les enquêteurs privés, les harceleurs, les voisins curieux et la police.
Jeu de rôle
Établir la confiance en faisant croire aux gens en la légitimité d'un faux personnage est l'un des principaux stratagèmes du piratage social. L'adoption d'une fausse personnalité ou l'usurpation d'identité pour inciter les victimes à partager des informations personnelles peut se faire en personne ou par téléphone.
En personne
En se faisant passer pour des agents de maintenance tiers dans un immeuble de bureaux, des médecins dans un hôpital ou sous l'une des nombreuses autres formes, les pirates sociaux peuvent contourner le personnel de sécurité et d'autres employés sans être détectés. Dans les deux exemples, des uniformes associés à des fonctions professionnelles spécifiques donne aux gens une raison de faire confiance aux imitateurs. Une manœuvre plus compliquée impliquerait un cycle de planification plus long, comme prendre un emploi au sein d'une organisation qui est la cible d'une attaque.
Dans le film Ocean's Eleven, une équipe sophistiquée d'escrocs prépare un casse élaboré pour cambrioler trois casinos populaires de Las Vegas en se fondant dans leurs activités quotidiennes. Bien que le casse soit exécuté en moins d'une journée, le temps de planification est long et particulièrement fastidieux. Une condition impérative de l'attaque est d'apparaître crédible dans les rôles joués, ce qui exige de porter une attention particulière aux détails.
Talonnage
Le talonnage est l'acte de suivre quelqu'un dans un espace restreint, tel qu'un immeuble de bureaux ou un établissement universitaire. Les agents d'entretien tiers, ou le personnel médical, comme mentionné ci-dessus, ont souvent peu de raisons de justifier leur légitimité en raison de leur apparence. Semblable au jeu de rôle, le talonnage fonctionne autour de la présomption de proximité et de confiance[4]. Les gens sont moins susceptibles de réagir avec méfiance à toute personne qui semble bien s'intégrer dans l'environnement, et seront encore moins susceptibles de questionner les personnes qui n'attirent pas l'attention. Suivre quelqu'un d'une manière modeste peut même éviter d'avoir à établir un contact avec le personnel autorisé.
Hameçonnage
Les piratages sociaux en ligne incluent le « spear phishing » dans lequel les pirates informatiques incitent leurs victimes à divulguer des informations sensibles sur eux-mêmes ou leur organisation. Les pirates cibleront des individus au sein d'organisations spécifiques en envoyant des e-mails qui semblent provenir de sources fiables, y compris des hauts fonctionnaires de l'organisation qui occupent des postes d'autorité. Pour paraître convaincant, le message électronique d'un pirate social doit établir un ton de familiarité qui dément tout soupçon de la part de son destinataire. L'e-mail est conçu pour présenter une demande d'informations qui est logiquement liée à la personne qui l'envoie[5]. Souvent, les employés de l'entreprise seront la proie de ces e-mails et partageront des informations personnelles telles que des numéros de téléphone ou des mots de passe, pensant que le transfert d'informations s'effectue dans un environnement sécurisé. Dans des scénarios plus sinistres, les e-mails des pirates peuvent contenir des logiciels malveillants qui infectent les ordinateurs des victimes à leur insu et transfèrent secrètement des données privées directement aux pirates[6]. D'octobre 2013 à décembre 2016, le FBI a enquêté sur un peu plus de 22 000 de ces incidents impliquant des entreprises américaines. Au total, ils ont subi des pertes approchant 1,6 milliard de dollars[7].
Un exemple réussi de spear phishing a été largement médiatisé dans les médias en janvier 2014, lorsque Target, un détaillant basé aux États-Unis, a subi une faille de sécurité qui a permis à des pirates de voler les informations de carte de crédit et de données personnelles des clients[8]. Plus tard, il a été révélé que les cybercriminels étaient en mesure d'accéder aux fichiers de données financières et personnelles de Target en ciblant une entreprise de mécanique tierce ayant accès au réseau de Target. Les implications sociales d'un hack social aussi médiatisé affectent la popularité de Target en tant que détaillant, mais aussi la confiance et la fidélité des consommateurs envers la marque.
Un autre exemple de Spear Phishing est arrivé en juin 2015 à Ubiquiti Networks Inc, une société de technologie de réseau basée aux États-Unis. Au cours de cet acte de Spear Phishing, Ubiquiti Networks aurait perdu plus de 46,7 millions de dollars. Le groupe de piratage a envoyé des e-mails de Spear Phishing aux employés du service financier. Ces pirates ont envoyé des e-mails de spear phishing directement aux employés du service financier se faisant passer pour des cadres de l'entreprise. Les pirates ont réussi à tromper les employés pour qu'ils transfèrent des fonds à des groupes tiers outre-mer[9]. Heureusement pour Ubiquiti Networks, 8,1 millions de dollars ont été récupérés auprès des pirates[10].
Sécurité
Bien que Target n'ait peut-être pas relâché sa sécurité, les pirates ont pu infiltrer indirectement le réseau de Target, en identifiant une société tierce grâce à l'accès aux informations d'identification de Target. Le piratage social consistait à frauder les employés du tiers pour divulguer des informations sensibles, tandis que la cybercriminalité a été menée au moyen d'une attaque d'hameçonnage par e-mail infectée par un logiciel malveillant[11]. La nécessité d'une sécurité en ligne vigilante est mise en évidence par les cyberattaques contre des entreprises comme Target ainsi que d'autres entreprises mondiales et des sites Web à fort trafic. Même les petits sites Web sont vulnérables aux attaques, notamment parce que leur protection de sécurité est présumée faible [12]. Dans le cas de Target, la société de mécanique tierce disposait d'un logiciel de sécurité inadéquat, ce qui la laissait exposée à une attaque de malware[11].
Dans un incident similaire, Yahoo Mail a également annoncé en janvier 2014 que son système avait été piraté et qu'un certain nombre de comptes de messagerie d'utilisateurs avaient été consultés[13]. Alors que l'origine de la cause n'était pas claire, le manque de sécurité était à nouveau au centre des problèmes. Dans les deux cas, de grandes entreprises avec une compréhension supposée des politiques de sécurité ont été compromises. Dans les deux cas également, les données des consommateurs ont été volées[14].
Dans une étude d'Orgill et al., une observation est faite qu'« il est important que chaque personne responsable de la sécurité informatique demande si son système est vulnérable aux attaques d'ingénieurs sociaux, et si oui, comment l'effet d'une attaque d'ingénierie sociale peut-il être atténué[15]. L'utilisation de mots de passe forts[16] est une méthode simple et facile qui contribue à une telle atténuation, tout comme l'utilisation d'un logiciel antivirus fiable et efficace. D'autres mesures préventives incluent l'utilisation de différents identifiants pour les services utilisés, la surveillance fréquente des comptes et des données personnelles, ainsi que l'attention à la différence entre une demande d'aide et une tentative d'hameçonnage d'inconnus[17].
Piratage éthique
Pour contrer les failles de sécurité commises par les pirates sociaux ainsi que les pirates techniques, les entreprises emploient des professionnels de la sécurité, connus sous le nom de pirates éthiques, ou plus communément, de pirates informatiques, pour tenter de pénétrer dans leurs systèmes de la même manière que les pirates sociaux emploieraient . Les pirates éthiques utiliseront les mêmes méthodes d'outils que les pirates ayant une intention criminelle mais avec des objectifs légitimes. Les pirates éthiques évaluent les forces et les faiblesses de la sécurité et proposent des options correctives. Le piratage éthique est également connu sous le nom de test de pénétration, test d'intrusion et red teaming[18].
Impact sur les médias sociaux
Internet offre aux pirates sociaux la possibilité de remplir des espaces de contenu sans détecter de comportement suspect. Le piratage social peut également se produire dans des environnements où le contenu généré par les utilisateurs est répandu. Cela inclut la possibilité d'influencer les sondages d'opinion et même de fausser les données au-delà d'un point de validité. Le piratage social peut également être utilisé pour fournir des avis favorables, par ex. sur les sites Web des produits. Il peut également être utilisé pour contrer les commentaires négatifs avec un afflux de réponses positives ("bouton similaire"), par ex. dans les sections de commentaires de blogs ou d'articles de presse. Le piratage social peut endommager le profil en ligne d'une personne ou d'une marque par le simple fait d'accéder à des informations qui sont ouvertement disponibles via les canaux de médias sociaux[19].
Appropriation de la technologie
L'appropriation de la technologie peut être perçue comme un type de piratage social dans la mesure où elle implique la manipulation sociale d'une technologie. Il décrit l'effort des utilisateurs pour donner un sens à une technologie dans leurs propres contextes au-delà de l'adoption de son utilisation prévue. Lorsque cela se produit, l'utilisation de la technologie peut changer. L'adaptation d'une technologie peut incorporer une réinterprétation de sa fonction et de sa signification, de sorte que la technologie elle-même peut assumer un nouveau rôle. L'appropriation accentue le fait que l'utilisateur ajuste la technologie à ses propres bonnes pratiques, tandis que l'adaptation indique que l'usage change parfois en général. Par exemple, les progrès de la technologie d'aujourd'hui facilitent plus que jamais le portrait d'une autre personne. Cette méthode est connue sous le nom de création d'un "deepfake". Un deep fake est l'endroit où quelqu'un peut recréer le visage et la voix de quelqu'un d'autre avec un programme informatique. Il est utilisé pour simuler des personnes disant et faisant des choses qu'elles n'ont jamais faites ou dites auparavant[20]. « Les personnalités publiques peuvent être plus « falsifiables » par cette méthode que les personnalités privées. Les situations visuellement routinières, comme une conférence de presse, sont plus susceptibles d'être truquées que celles entièrement nouvelles. »[20]. Les deepfakes peuvent être très dangereux dans le sens où ils peut être utilisé pour falsifier ce que des personnes ayant une haute autorité ont dit, comme le président et les politiciens. Il y a eu de nombreux articles et discussions sur la nouvelle découverte des deepfakes, comme la vidéo du Youtuber Shane Dawson, "Conspiracy Theories with Shane Dawson", où il parle de la conspiration des deepfakes et de ce qu'ils pourraient signifier pour le monde d'aujourd'hui[21].
Le piratage social est également affilié à l'entreprise sociale. L'entreprise sociale peut être représentée sous la forme d'organisations à but lucratif ou sans but lucratif qui encouragent des stratégies commerciales socialement responsables pour le bien-être environnemental et humain à long terme. Le concept de piratage social de nouvelles entreprises au sein de la structure capitaliste existante est une entreprise humaine qui encourage les gens à réévaluer les systèmes sociaux auxquels nous sommes habitués, afin d'identifier les problèmes qui ne sont pas résolus[22]. De nouvelles entreprises peuvent alors être créées pour remplacer les anciennes par des systèmes qui renforcent la durabilité et la croissance régénératrice.
Voir Aussi
Articles connexes
- Cyberattaque
- Test d'intrusion
- Gestion de la perception
- Hameçonnage
- SMiShing
- Hameçonnage par téléphone
- Deepfake
- Risque informatique (en)
Notes et références
- (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Social hacking » (voir la liste des auteurs).
- (en) Sarah Granger, « Social Engineering Fundamentals, Part I: Hacker Tactics : A True Story », sur archive.org, .
- (en) Steven Hodson, « Never Mind Social Media, How About Social Hacking? », sur mashable.com, .
- (en) Peter Wood, « Social hacking: The easy way to breach network security », sur computerweekly.com, .
- (en) Jamey Heary, « Top 5 Social Engineering Exploit Techniques », sur pcworld.com, .
- (en) Jason Kalwa, « Phishing just got personal – avoiding the social media trap », sur techradar.com, .
- (en) Mary E. Shacklett, « What is spear phishing? », sur searchsecurity.techtarget.com, .
- (en) Lee Mathew, « Phishing Scams Cost American Businesses Half A Billion Dollars A Year », sur forbes.com, .
- (en) Gerry Smith, « Massive Target Hack Traced Back To Phishing Email », sur huffpost.com, .
- (en) Brian Honan, « Ubiquiti Networks victim of $39 million social engineering attack », sur csoonline.com, .
- (en) Brian Krebs, « Tech Firm Ubiquiti Suffers $46M Cyberheistsite=krebsonsecurity.com », .
- (en) Brian Krebs, « Email Attack on Vendor Set Up Breach at Target », sur krebsonsecurity.com, .
- (en) Mackensie Graham, « How to stop social hackers before they attack », sur thenextweb.com, .
- (en) James Lyne, « Yahoo Hacked And How To Protect Your Passwords », sur forbes.com, .
- (en) Ricky Ribeiro, « Snapchat's Data Breach Should Be a Wake-Up Call for Startups », sur biztechmagazine.com, .
- (en) CITC5 '04: Proceedings of the 5th conference on Information technology education, Gregory L. Orgill, Gordon W. Rommey, Michael G. Bailey et Paul M. Orgill, « The urgency for effective user privacy-education to counter social engineering attacks on secure computer systems », sur dl.acm.org, .
- (en) Kevin McCaney, « Analysis of social site hack: Are risks too great for gov workers? », sur gcn.com, .
- (en) Melanie Pinola, « How Can I Protect Against Social Engineering Hacks? », sur lifehacker.com, .
- (en) Amruta G. Kashikar, Ajinkya A. Farsole et Apurva Zunzunwala, « Ethical Hacking », International Journal of Computer Applications, vol. 1, no 10, (présentation en ligne).
- (en) John Shinal, « Snapchat hack should be wake-up call », sur eu.usatoday.com, .
- (en) Tim Hwang, « The future of the deepfake — and what it means for fact-checkers », sur poynter.org, .
- (en) [vidéo] shane, Conspiracy Theories with Shane Dawson sur YouTube.
- (en) Claudia Cahalane, « Simple ideas, big impact – in pictures », sur theguardian.com, .