Back to Navigation

L’ingénierie sociale

Transcription d’un balado sur l’ingénierie sociale.

Animateurs :   PB Phil Brown     DW David Whelan

PB : Bonjour, ici Phil Brown en compagnie de David Whelan et aujourd’hui nous allons parler d’ingénierie sociale.

DW :  Attends une minute… Je pensais qu’on allait parler de la vie sociale des ingénieurs, d’ingénieurs qui se rencontrent et tout ça.

PB : Non, on va parler de comment ça peut affecter les avocats et les parajuristes.

DW :  D’accord. Alors, l’ingénierie sociale n’est peut-être pas un terme que vous avez déjà entendu, mais vous allez savoir de quoi il s’agit. L’ingénierie sociale c’est lorsque des gens, peut-être sans même utiliser la technologie, peut-être en utilisant seulement un téléphone, se servent de vos émotions et des tendances qui vous poussent à être aimable et généreux pour vous soutirer des informations comme votre numéro de carte de crédit, comme vos mots de passe, comme de l’information que vous ne divulgueriez pas autrement. Donc, le côté social est en fait l’interaction humaine qui est exploitée pour obtenir cette information de votre part. 

PB :  Ça peut être très simple, par exemple quelqu’un qui se présente à votre bureau avec dix pizzas pour vos employés en disant qu’elles sont arrivées et que tout le monde est censé se rassembler dans la salle de conférence. Alors, ils pensent qu’il y a une célébration et tout le monde, incluant le réceptionniste, se rend dans la salle de conférence pour se chercher de la pizza. Alors, la personne qui a livré la pizza en profite pour se connecter au serveur et peut possiblement y installer un logiciel malveillant ou un cheval de Troie ou quelque chose d’autre par un port USB et ça n’aura causé qu’une interruption de service de deux minutes. 

DW :  Ouais, c’est un drôle de sujet, car il y a vraiment beaucoup de choses différentes qui se passent. Vous aurez entendu parler de l’hameçonnage (« phishing »). Vous aurez peut-être entendu parler de l’hameçonnage par téléphone (« vishing ») et de l’hameçonnage par message texte (« smishing »), du dévoiement (« pharming »), de l’attaque de point d’eau (« water holing »). Il y a toutes sortes de termes intéressants qui font leur apparition dans les médias, mais en fait ils font tous partie de l’ingénierie sociale.

PB :  Et ils sont tous liés à notre besoin de voir ce qui se trouve dans tel courriel ou notre désir de répondre à quelque chose. Ou encore, quelqu’un nous a dit qu’il y a quelque chose qui cloche avec nos comptes et nous devons rapidement identifier de quoi il s’agit.

DW :  Et parfois, c’est très aléatoire. L’hameçonnage, par exemple, prend habituellement la forme de courriels reçus, mais ils sont envoyés à des milliers et des milliers de personnes dans l’espoir que quelqu’un va voir « Oh, mon compte bancaire a été compromis et je dois cliquer ici », mais quand il clique sur le lien, ça l’amène sur un site qui soit télécharge un logiciel malveillant sur son ordinateur et l’infecte, soit qu’on lui demande de saisir des informations comme son nom d’utilisateur et son mot de passe bancaire, mais il n’est pas réellement sur le site de la banque.

Ça s’est intensifié avec des trucs comme l’attaque de point d’eau et le harponnage (« spear phishing ») pour lesquels le courriel n’est pas envoyé à beaucoup de personnes différentes, il est envoyé spécifiquement à certaines personnes. Donc, le courriel parait encore plus authentique parce qu’il ressemble au genre de courriel que cette personne s’attendrait à recevoir. 

En tout cas, récemment, je reçois beaucoup de courriels qui traitent de documents déposés à la Cour. Et puis, dans le courriel, il y a un document, ou du moins on dirait qu’il y a un document qui, si je cliquais dessus, m’interpellerait. Donc, il y a des niveaux variés de personnalisation, mais ils visent tous à te faire faire quelque chose pour que tu divulgues un renseignement quelconque.

PB :  Et puis l’hameçonnage par téléphone, même si tous deux nous n’aimons pas beaucoup le terme « vishing », est devenu plus commun à cause de trucs comme les VoIP, c’est-à-dire le système téléphonique de voix sur IP.

DW : Il y a eu des exemples terribles cette année, en 2015. Au Royaume-Uni, deux avocats ont été mis dans l’embarras et ont encouru des sanctions disciplinaires, car ils ont reçu un appel qu’ils croyaient provenir de leur banque et ils ont agi suite à cet appel. Souvent, ça avait l’air d’être légitime, mais ils ont fini par transférer d’un endroit à l’autre d’immenses sommes d’argent provenant de leurs comptes en fiducie. Mais malheureusement, l’autre endroit était contrôlé par les escrocs et ils ont ensuite pu retirer tout l’argent. Donc, même au téléphone où la technologie n’intervient pas, il est question de se servir de son bon sens et de vraiment penser à quel genre d’information je suis en train de donner ou qu’est-ce que je suis en train de faire à la demande de quelqu’un que je ne peux même pas voir. 

PB :  Et je crois que dans un des cas anglais, l’un d’eux avait une perte de plus de 700 000 livres. 

DW :  Exact, oui, c’était vraiment des sommes énormes.

PB :  Et maintenant, on doit considérer le moment où vous recevez ce genre de courriel. Une autre chose qui est répandue avec les VoIP, vous pourriez recevoir un message vocal, mais qui est accessible par votre ordinateur et vous pouvez cliquer sur ce message vocal, ce fichier WAV, pour écouter le message qui vous a été laissé.

DW : Oui, vous devriez être très prudents dès que quelque chose semble vous envoyer un lien qui vous amène ailleurs, que ce soit pour écouter un message vocal ou pour remplir un formulaire, ou une pièce jointe qui semble être quelque chose que vous devez télécharger et écouter ou ouvrir. 

Employez votre procédure habituelle, même s’il s’agit d’un message vocal et même si vous êtes pressé. Plutôt que de cliquer sur le fichier, faites un clic-droit dessus et sauvegardez-le comme pièce jointe sur votre disque et passez-le à l’antivirus, parce que les courriels qu’on reçoit sont très bons à… je veux dire, on est bien loin du temps où il y avait des fautes ou des gens qui vous écrivaient en tant que princes nigérians, malgré que je reçois parfois des demandes de la part d’avocats du Royaume-Uni, ce qui me fait bien rire. Mais bon, les courriels sont devenus très élaborés et, encore une fois, s’ils ont été adaptés à vous, ça va être quelque chose qui vous sera difficile à détecter. Donc, sans devenir trop parano, vous devez tout de même surveiller chaque courriel qui rentre. 

PB :  Et il y a beaucoup d’appels maintenant de la part de gens qui prétendre être… Le plus populaire cette année c’est l’appel de Revenu Canada ou l’appel de l’ARC disant qu’il y a un mandat d’arrestation contre vous et que si vous payez un certain montant d’argent avant telle ou telle date, ce que, bien sûr, vous pourriez faire maintenant en donnant quelques numéros carte de crédit — et c’était habituellement un petit montant, c’était quelques centaines ou milliers de dollars — et que si vous payiez maintenant le mandat n’existerait plus et vous pourriez continuer votre petit bonhomme de chemin. Je veux dire, l’ARC n’appelle personne, mais, malgré tout, il y a cette réaction de panique que vous avez quand quelqu’un vous appelle et dit : « Nous sommes une figure d’autorité et vous devez faire face à ceci immédiatement. » Ça joue un rôle dans cet aspect de l’ingénierie sociale. 

DW : Il y a une autre histoire que j’ai entendue récemment et qui est très intéressante. Quelqu’un prétend être ton technicien informatique et appelle au hasard des gens au bureau et dit que tu as appelé le support informatique et qu’il ne fait que rendre l’appel et qu’il veut rendre service. Souvent, ils vont tomber sur quelqu’un qui ne réalise pas que, peut-être, tu sais, il n’avait pas appelé très récemment ou peut-être qu’il avait une question et donc il va se mettre à parler avec cette personne et il va lui donner son nom d’utilisateur et puis peut-être qu’il va donner son mot de passe en pensant qu’il a affaire à un collègue.

Bien sûr, quand tu veux bien t’entendre avec tes collègues comme Phil et moi le voulons, tu es prêt à divulguer de l’information que tu ne divulguerais peut-être pas autrement. Si cette personne travaille hors de l’organisation, dans notre environnement moderne où les employés ont souvent des portatifs avec lesquels tu peux t’identifier à distance ou des réseaux distants auxquels tu peux te connecter à distance, un nom d’utilisateur et un mot de passe provenant d’une entreprise peuvent avoir une grande valeur.

PB :  Et c’est très facile, pas pour se moquer de la VoIP, mais avec un modem et une boite magique, très rapidement… Je veux dire, j’ai déjà reçu des appels de mon propre téléphone alors que j’étais dessus, donc ce n’était évidemment pas moi qui m’appelais. Ils peuvent imiter n’importe quel numéro, ils peuvent imiter n’importe quelle organisation. Alors, si vous recevez un appel de quelqu’un qui prétend être de la Banque Royale, ça ne provient pas nécessairement de la Banque Royale et vous devez quand même garder jalousement vos informations et ne pas simplement les donner à quelqu’un par téléphone juste parce qu’il prétend représenter une certaine agence. Aucune de ces agences ou banques, même les câblodistributeurs, aucun d’eux ne va vous appeler et commencer à vous demander vos informations personnelles.

DW :  Bon point, tant pour vous que pour les employés que vous formez pour qu’ils soient aussi alertes que vous face à ces problèmes. Ils ne devraient jamais donner quelque chose comme leur mot de passe au téléphone ou même par courriel. Ce n’est pas le genre de choses que quiconque va demander. Ils vont toujours le réinitialiser s’ils ont un problème avec un mot de passe et donc ils peuvent avoir accès à votre compte de cette façon. 
Mais c’est la réaction normale quand quelqu’un appelle et qu’il y a une vraie urgence, « je dois avoir mon mot de passe » ou « j’appelle pour quelqu’un que tu sais qui est hors du bureau et j’ai besoin d’avoir son mot de passe ». C’est dans ces moments-là que tu dois ralentir et tu raccroches le téléphone ou tu supprimes le courriel et tu n’envoies pas ce genre de renseignements. Tu trouves une façon différente de répondre à leur demande ou de vraiment confirmer que la personne qui est au bout du fil ou du courriel est bel et bien la vraie personne. 

PB :  Et un autre aspect de tout ça, que les avocats voyaient sous une forme différente plus tôt cette année et durant les années dernières, avait à voir avec les recouvrements. Ils reçoivent un chèque certifié qui leur est envoyé par quelqu’un qui paye tel recouvrement et les instructions vont dire de le faire passer par leur compte en fiducie immédiatement et d’en prendre une partie pour couvrir leurs frais et tout ça, mais ce chèque certifié est souvent volé. Très souvent, le numéro de téléphone apparaissant sur le chèque où l’avocat appellerait pour confirmer le numéro de compte et confirmer les montants du débiteur et du payeur et tout ça, il serait ajouté sur le chèque après le vol du chèque. 

Donc en réalité tu ne fais qu’appeler le fraudeur pour confirmer que les fonds sont là et pour confirmer que tout est en ordre, alors que tu devrais décrocher le téléphone et chercher… et chercher sur ton ordinateur pour découvrir qui est derrière tout ça. Quel est leur numéro de téléphone principal et pourquoi ne pas passer par celui-ci pour confirmer le tout ou faire affaire avec ta banque locale ? Tu ne devrais pas simplement accepter le tout au premier coup d’œil parce que c’est écrit sur le chèque. 

DW : Exact, surtout si on parle… Dans le cas du procureur britannique qui a transféré près d’un million de dollars canadiens, c’est dans ces cas-là où tu as affaire à de grosses sommes que tu dois vraiment ralentir et prendre autant de précautions que tu peux. Si tu reçois des courriels qui rentrent et qui disent que ton compte a été verrouillé ou que ta carte de crédit a été refusée ou peu importe, et de s’il vous plait cliquer sur ce lien et faire le changement, au lieu de cliquer sur le lien, va sur le site de ta banque en le tapant dans ton navigateur Web et assure-toi que tu vas à l’endroit où tu pensais aller et, à ce moment-là, essaie d’ouvrir une session et de voir si le message est réellement sous ton compte. Car c’est beaucoup plus sécuritaire et c’est tellement facile de cliquer sur le lien et d’aller quelque part et de penser que tu es rendu, mais ce n’est en fait qu’une fausse copie de l’endroit où tu pensais être. 

PB :  Et c’est… Je veux dire, c’est très important, je crois, de ne pas cliquer sur des pièces jointes si tu reçois des pièces jointes de quelqu’un d’inattendu ou si ça a l’air différent, comme David l’a dit, par exemple une demande d’argent d’un pays étranger. C’est qu’ils connaissent le comportement humain, ils tentent d’exploiter le comportement humain, ils s’attendent à ce que tu cliques sur quelque chose et même si tu cliques sur quelque chose et qu’on dirait que rien ne se produit sur ton ordinateur et que « bon, je suppose que c’est un fichier défectueux », ce qui arrive en réalité c’est qu’un cheval de Troie ou un ver a été téléchargé sur ton ordinateur et va s’activer plus tard et tu pourrais être en train d’envoyer les renseignements de tous tes clients ou leurs informations bancaires à quelqu’un d’autre. Ou ça pourrait simplement être une demande de rançon, ton ordinateur va être crypté et tu vas être avisé par un courriel disant : « Oh, en passant, pour 500 $ US on va décrypter ton ordinateur, sinon on va tout supprimer dans une semaine. »

DW :  Donc, idéalement, tout ça a eu un peu de sens pour vous. Si vous avez des questions supplémentaires, s’il vous plait, envoyez simplement quatre millions de dollars en argent non marqué à la Grande Bibliothèque et je vais vous revenir là-dessus aussitôt que je peux.

PB :  Et ça conclut notre coup d’œil sur l’ingénierie sociale. Merci David. 

DW : Merci Phil. 

Explication des termes et concepts