Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Du 22 au 24 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !

Éléments d’ingénierie sociale

Généralités

Introduction

Dans son sens le plus large, l’ingénierie sociale est l’art et la manière d’influencer les êtres humains, individuellement ou en groupe. Le sens restreint dans lequel nous l’utiliserons ici, c’est-à-dire appliqué à la sécurité des systèmes d’information, est d’usage récent. Cette traduction très littérale de "social engineering" est venue s’accoler à d’autres utilisations du mot, notamment en psychologie, en science politique ou en sciences sociales.

Il aurait aussi été possible d’utiliser le mot "génie" pour traduire "engineering" et donc d’appeler ce chapitre "Éléments de génie social". Ne parle-t-on pas toujours de génie militaire, civil, logiciel ou électrique ?

Pour autant, l’expression "génie social" n’aurait sans doute pas été plus heureuse. Effectivement, si le génie est bien l’art de l’ingénieur, sa seconde acception de don intellectuel exceptionnel lui donne malheureusement des connotations inappropriées dans le cadre de ce chapitre.

En effet, pour des raisons qui devraient vite paraître claires, les ingénieurs sociaux ont tout intérêt à laisser croire que leur "art" repose uniquement sur le talent, le charisme, ou toutes sortes de dons innés. Cela peut permettre, entre autres, de rendre les parades plus difficiles, de limiter la concurrence ou se donner une image de génie.

Or, il est essentiel d’éviter tout malentendu sur ce point : l’ingénierie sociale, comme la plupart des compétences humaines, peut se comprendre, se modéliser, s’apprendre.

Le génie de l’ingénieur...

Modes d’action de l’ingénierie sociale

Principes de l’attaque par ingénierie sociale

Soyons clairs : l’attaque par ingénierie sociale est un piratage, c’est-à-dire une action malveillante, illégale et risquée. Il est donc possible de considérer que les principes généraux de la guerre (ou de la théorie des jeux) s’y appliquent.

Ainsi, l’ingénierie sociale s’appuie d’abord sur certains principes constants, parfois partagés avec d’autres formes d’intrusions, et qu’il est difficile de classer. 

Quels sont ces principes ?

Le premier est peut-être, pour l’attaquant, la conservation de la liberté d’action, ce qui implique discrétion et gestion des risques. Bien que peut-être évident pour certains, il mérite d’être rappelé, car il conditionne l’ensemble de la manœuvre d’ingénierie sociale. Il est en effet essentiel pour l’ingénieur social, qui récupère des informations très souvent destinées à être utilisées ultérieurement, que son action ne soit pas détectée, surtout avant l’exploitation des informations. Il s’attachera donc particulièrement à rester invisible le plus longtemps possible, discret dans ses méthodes et capable si possible de camoufler ses traces a posteriori.

Citons ensuite le principe de "l’unité de commandement" évoqué dans les principes de la guerre. Il s’agit souvent d’un élément clé d’une opération et il s’applique en ingénierie sociale. Cela veut dire que, dans le cas d’un travail d’équipe, des processus décisionnels clairs et adaptés...

Connaissance des organisations attaquées

Pour élaborer une stratégie, détecter les failles dans l’organisation, communiquer sur le bon registre de langage, en utilisant le bon jargon, ou appréhender les processus internes, l’ingénieur social doit se bâtir un modèle pertinent de l’organisation qu’il cible.

Cette analyse sera donc un atout précieux dans l’élaboration, la préparation et la mise en œuvre d’une stratégie d’approche pertinente.

Elle permettra par exemple de se faire passer plus facilement pour quelqu’un ayant de bonnes raisons de prendre contact et de demander des informations (membre du personnel, client, fournisseur, société de maintenance, partenaire, etc.).

Il est en effet important de comprendre qu’il existe dans n’importe quelle organisation humaine des éléments culturels qui se transmettent de proche en proche. Cela a pour conséquence une cohérence importante dans les groupes en termes de valeurs, de croyances, de manières, de langages, de comportements.

Ainsi, on ne communique pas de la même manière avec, par exemple, un cadre d’une multinationale, un employé municipal ou le bénévole d’une association caritative.

Le lecteur intéressé pourra lire sur le sujet de nombreux ouvrages consacrés notamment à l’approche mémétique permettant de modéliser ces phénomènes.

La mémétique est une science jeune mais qui permet d’expliquer de nombreux phénomènes. Elle s’appuie sur la notion de mème (Richard Dawkins, The Selfish Gene, 1976), qui est un élément d’une culture ou d’information se transmettant de cerveau en cerveau par des moyens non génétiques, en particulier...

Failles humaines : bases et modèles théoriques

"Parce que si je voulais me lancer dans la psychanalyse, j’ajouterais que c’est le roi des cons."

Bernard Blier, "Le Cave se rebiffe" (1962), écrit par Michel Audiard

Il semble légitime de se poser la question : "L’ingénieur social doit-il s’intéresser aux modèles théoriques expliquant les failles humaines ?"

La réponse est, pour ce qui nous concerne : "Sans aucun doute, au moins dans les grandes lignes."

En effet, d’une part, il sera toujours plus facile de mettre en œuvre des techniques lorsqu’on en connaît les ressorts ; d’autre part, il est aussi surtout plus facile de s’en protéger.

Toutefois, il n’est pas nécessaire d’avoir un doctorat de psychologie pour être un ingénieur social efficace. Disposer de modèles valides de psychologie sociale et différentielle ne pourra être qu’un plus, ils devront avant tout rester simples.

Et bien sûr, il sera utile de connaître les méthodes de manipulation, qui seront le cœur de l’élicitation de l’information.

Bases biologiques et fonctionnalités du cerveau

Sans vouloir tomber dans le déterminisme biologique, il est très souvent utile pour l’ingénieur social d’utiliser des modèles comportementaux. Ceux-ci s’appuient souvent sur l’expérience, ou sur des approximations que beaucoup de scientifiques jugeraient inexactes, mais qui rendent service et remplissent la mission qu’on leur demande : fournir des modèles prédictifs pertinents.

Le premier modèle qui peut s’avérer utile est celui du cerveau "triunique". Certes, ce modèle sera jugé dépassé...

Influence et manipulation

Le cœur du travail de l’ingénieur social consiste à extraire des informations non diffusées, confidentielles ou protégées. Cela va le plus souvent solliciter la capacité d’influencer les personnes contactées. Il existe différentes méthodes pour cela, pour lesquelles il est nécessaire d’avoir un vocabulaire précis.

Méthodes d’influence

Influence

Le terme d’influence, en français au moins, a un sens bien plus large que celui de manipulation. 

Influencer, c’est obtenir un changement quelconque dans les conceptions, les croyances, les motivations et, in fine, les comportements d’une cible.

Il existe de très nombreux moyens d’influencer et autant de ressorts d’influence.

On peut être influencé par des pulsions, des peurs, des désirs, des regrets, des sentiments, des valeurs et même parfois par des arguments logiques.

Ce que l’on peut classer comme des techniques d’influence recouvre des procédés aussi divers que la coercition, le chantage, le lavage de cerveau, la corruption, mais aussi l’usage légitime de l’autorité, la propagande politique, la publicité, le management, la rétribution équitable, la pédagogie, la persuasion, la démonstration scientifique, entre autres.

Ces méthodes sont bien sûr, souvent, hors du périmètre d’emploi de l’ingénieur social pour des raisons éthiques ou pratiques.

Nous savons qu’un ingénieur social favorise les procédés les plus économiques, les moins risqués, les plus discrets. Le choix des facteurs d’influence mis en œuvre sera donc primordial.

Pour bien le comprendre, il sera essentiel de distinguer les ressorts internes ou internalisés...

Les techniques de manipulation

Nous devons maintenant voir comment exploiter en pratique les failles et les ressorts de la psyché humaine décrits précédemment.

La typologie des techniques présentées ici reprend la classification connue en psychologie sociale et popularisée par Jean-Léon Beauvois et Robert-Vincent Jouve dans le maintenant classique "Petit traité de manipulation à l’usage des honnêtes gens". Nous recommandons vivement la lecture de cet ouvrage à ceux qui souhaitent approfondir le sujet des techniques de manipulation.

Les techniques de manipulation peuvent tout d’abord être classées en "grandes techniques" et "petites techniques". Toutefois, ne nous laissons pas abuser par la terminologie : les petites techniques n’ont de petit uniquement le fait qu’elles viennent en complément des grandes.

On peut en fait considérer les grandes techniques comme des trames opératoires omniprésentes et les petites comme l’habillage indispensable. La combinaison harmonieuse des deux est le gage du succès.

Les études de psychologie sociale mesurant les effets des diverses techniques ne manquent pas. Nous ne les rapporterons pas ici.

Pour être en mesure de se défendre contre les manipulations, il est indispensable de savoir détecter ces techniques lorsqu’elles sont mises en œuvre. Il faudra ensuite être capable de reconnaître les ressorts qu’elles utilisent.

Les grandes techniques de manipulation

Les amorçages et les leurres

Les amorçages et les leurres sont un ensemble de procédés consistant à mettre la victime artificiellement dans un état favorable à l’acceptation de la requête cible en utilisant principalement la tendance inconsciente naturelle...

Savoir "patcher" les failles humaines

Bien entendu, les éléments présentés précédemment ont pour but essentiel d’être capables de comprendre les attaques d’ingénierie sociale afin d’y trouver les réponses les plus adaptées.

Ainsi, il faut être conscient que face à l’utilisation de plus en plus courante de l’ingénierie sociale, les stratégies de sécurité doivent prendre en compte le système d’information dans sa globalité et s’appuyer d’une part sur la sensibilisation, l’information et la formation du personnel, d’autre part sur l’amélioration des aspects organisationnels et la maturité réelle de l’organisation à protéger.

Nous le savons, tout être humain peut être manipulé. Il sera donc indispensable de sensibiliser les membres de l’organisation sur les techniques d’attaque et de défense présentées ici. Cela passe bien sûr, tout d’abord, par des séances d’information ciblant la totalité de l’organisation. Rien de nouveau ici, sauf qu’en pratique cela pose souvent des difficultés.

D’une part, la taille de l’organisation et le renouvellement fréquent de ses membres augmentent la charge de la tâche.

Les techniques de manipulation et de self-défense restent encore très peu diffusées, ce qui veut dire que les humains arrivent presque toujours "non patchés".

Par ailleurs, les personnes les plus exposées en raison de leur position hiérarchique sont aussi celles qui peuvent facilement juger inutile d’être formées sur le sujet.

Enfin, la mémoire n’est pas parfaite et on ne pourra jamais considérer qu’une personne...

OSINT

Qui dit social engineering, dit obligatoirement recherche d’informations via de multiples sources. De cette constatation, l’utilisation de techniques d’OSINT est un élément indispensable. OSINT signifie Open Source Intelligence. Cet anglicisme regroupe un ensemble de techniques et d’outils qui permettent de collecter des renseignements sur une personne, une entreprise, une situation économique dans un pays.

Des recherches et un regroupement d’informations proposés par Internet. Du Renseignement de Source ouverte : réseaux sociaux, moteurs de recherche, sites web... L’OSINT s’intègre dans trois autres grands points à prendre en compte :

  • Open Source Data (OSD) : les données récupérables à partir de sources dites primaires : une lettre trouvée dans une poubelle, une photographie sur un réseau social, un message sur un répondeur... Des informations qu’il faudra affiner avec les autres points.

  • Open Source Information (OSIF) : on pourra baptiser l’OSIF comme étant une "revue de presse" : le regroupement d’informations tirées de journaux, de livres, de conférences, de rapports extraits d’universités, de conférences de presse, etc.

  • Validated OSINT : connue sous le nom d’OSINT-V, cette étape classifie les informations collectées comme étant très sûres. Parmi ces documents OSINT-V, les notes internes, réalisées par exemple par les services de renseignement, les ambassades, que reçoivent les chefs d’états. On parlera dans ce cas d’informations à haut degré de sécurité.

Outils

Il existe des centaines de logiciels dédiés à l’OSINT. Ils permettent de regrouper des informations, de collecter...

Bibliographie

(1) The Selfish Gene - Richard Dawkins - ISBN 13 : 978-0-19-929115-1

(2) Introduction biologique à la psychologie - Jean Pellet et Jean-Claude Orsini - Éditions Bréal

(3) Psychologie cognitive - Collection Grand Amphi - Éditions Bréal ISBN : 2 84291 663 8

(4) De la nouvelle hypnose à l’hypnose psychodynamique, Initiation et pratique - Jean Becchio - Charles Jousselin

(5) Spiral Dynamics : Mastering Values, Leadership and Change - Don Edward Beck, Christopher C. Cowan - Éditeur : Wiley-Blackwell - ISBN-13 : 978-1405133562

(6) Influence : The Psychology of Persuasion - Robert B. Cialdini (PhD) - Éditeur : HarperBusiness ISBN-13 : 978-0061241895

(7) Concept fondamentaux de la psychologie sociale - Gustave-Nicolas Fisher - Éditions Dunod - ISBN : 978-2-10-054489-9  

(8) Petit traité de manipulation à l’usage des honnêtes gens - Jean-Léon Beauvois et Robert-Vincent Joule - Éditeur : Presses universitaires de Grenoble - ISBN-13 : 978-2706118852

(9) Les décisions absurdes I, II. Sociologie des erreurs radicales et persistantes - Comment les éviter - Christian Morel - ISBN-13 : 978-2070763023 et 978-2070456239