Ingénierie sociale : les attaques Quid Pro Quo

Qu'est-ce qu'une attaque de Quid pro quo ?

Le quid pro quo est un type d’attaque d’ingénierie sociale dans laquelle un pirate promet un bénéfice en échange d’informations qui peuvent ensuite être utilisées pour voler de l’argent, des données ou prendre le contrôle d’un compte utilisateur sur un site web.

Qu’est-ce qu’une attaque de Quid pro quo ?

Une attaque de type « quid pro quo » se caractérise par un échange « donnant-donnant« . « Quid pro quo » signifie littéralement « quelque chose pour quelque chose » (lien en anglais). Cette notion d’échange est cruciale car en tant qu’êtres humains, nous obéissons à la loi de la réciprocité psychologique. Cela signifie que chaque fois que quelqu’un nous donne quelque chose ou nous fait une faveur, nous nous sentons obligés de lui rendre la pareille.

Lors des attaques en quid pro quo, le pirate promet un avantage en échange de l’information. Cet avantage prend généralement la forme d’un service lorsqu’il prend la forme d’un bien, il s’agit d’une attaque de baiting, ou appâtage).

Imaginons qu’un employé du service informatique vous contacte et vous offre d’effectuer un audit de votre ordinateur afin de supprimer les virus potentiels qui pourraient en diminuer les performances. Mais pour ce faire, il a besoin de votre identifiant et de votre mot de passe. Rien de plus naturel ! Vous lui communiquez ces informations sans discuter : après tout, cela fait des mois que vous vous plaignez du ralentissement de votre ordinateur. Sauf que cet échange de bons procédés n’en est peut-être pas un et que vous venez de tomber dans le piège d’une attaque de type quid pro quo.

Les attaques de quid pro quo reposent sur la manipulation et l’abus de confiance. En tant que telles, elles entrent dans la catégorie des techniques d’ingénierie sociale, telles que les attaques de phishing (y compris le spear phishing et les attaques de whaling), l’appâtage ou les attaques de faux-semblant (pretexting)

Quelle est la différence entre le Quid Pro Quo et le Faux-semblant ?

La technique du pretexting est également une forme d’ingénierie sociale. Mais elle se base sur un scénario assez élaboré (un bon prétexte) pour obtenir des informations sensibles de la part de la victime. Souvent, ce scénario implique l’intervention de personnes ayant une autorité spécifique (manager, technicien, policier, etc.) et/ou implique une certaine urgence, pour forcer la victime à agir rapidement, sans réfléchir. Par exemple, les pirates prétendront qu’ils doivent obtenir certaines informations pour confirmer l’identité de la victime.

Ce scénario est plus élaboré que le quid pro quo, et contrairement à ce dernier, il n’est pas basé sur un échange.

Quelle est la différence entre le Quid pro quo et le Baiting ?

Comme c’est aussi le cas pour le baiting, les attaques de type quid pro quo sont des techniques d’ingénierie sociale. En tant que telles, ces deux cybermenaces reposent sur la manipulation psychologique et la mise en confiance pour obtenir des données sensibles d’une victime trop confiante. Toutefois, dans les attaques de type quid pro quo, le pirate offre un service à sa victime en échange d’informations sensibles. Dans le cas du quid pro quo, la victime est « appâtée » par des offres irrésistibles : un cadeau ou une récompense en espèces, par exemple.

En outre, les attaques de type « quid pro quo » sont souvent plus simples que les attaques de type « baiting ». Et elles ne nécessitent pas beaucoup de préparation, ni d’outils sophistiqués.

Quelques exemples

L’un des scénarios les plus courants des attaques de quid pro quo met en scène des imposteurs se faisant passer pour des employés de sociétés ou de services informatiques. Ces pirates contactent le plus grand nombre possible d’employés de l’entreprise sur leur ligne directe pour leur offrir une prétendue assistance informatique.

Les pirates promettront de résoudre rapidement un problème en échange de la désactivation du programme antivirus; Une flois celui-ci désactivé, le faux-technicien pourra installer des logiciels malveillants sur les ordinateurs de sa victime, en les faisant passer pour des mises à jour logicielles.

Dans un autre scénario courant, le pirate cherche à voler les informations de connexion d’un employé. Là encore, le pirate contactera l’employé en se présentant comme un spécialiste informatique d’une société spécialisée dans le dépannage de bugs et de problèmes logiciels. Après avoir posé quelques questions à la victime pour déterminer les problèmes qu’elle rencontre avec son PC, il lui proposera d’y jeter un coup d’œil :

Pas de problème, je vais résoudre vos problèmes tout de suite ! Je n’ai besoin que de votre nom d’utilisateur et de votre mot de passe !

Il s’agit d’un signal d’alarme dont vous devriez vous inquiéter !

Que faire pour éviter les attaques de Quid pro quo

Que faire pour éviter les attaques de Quid pro quo

Comme dans le cas des autres types d’ingénierie sociale, vous pouvez prendre des mesures de sécurité pour vous protéger et protéger vos données sensibles :

Adoptez une attitude circonspecte : un « cadeau » ou un « service » n’est jamais totalement gratuit. Si cela semble trop beau pour être vrai, c’est probablement le cas ! Dans le pire des cas, il s’agit d’une attaque de quid pro quo.

Ne communiquez jamais d’informations personnelles ou relatives à vos comptes, sauf si c’est vous qui avez initié cet échange. Après une éventuelle intervention au cours de laquelle vous avez donné vos données de connexion, changez votre mot de passe pour empêcher toute utilisation ultérieure.

Lorsqu’une entreprise vous contacte, rappelez-la en utilisant le numéro de téléphone indiqué sur son site web. Ne la rappelez jamais en utilisant le numéro de téléphone fourni par une personne avec laquelle vous avez parlé.

Si vous avez un doute sur un appel que vous avez reçu, il est plus sage d’en rester là.

Utilisez des mots de passe forts et changez vos mots de passe régulièrement. Consultez notre article sur les mots de passe pour prendre de bonnes habitudes. modifiez votre mot de passe régulièrement. Consultez ce post pour prendre de bonnes habitudes en matière de mots de passe !

Apprenez à reconnaître les techniques d’ingénierie sociale et autres cybermenaces. Consultez notre cours de sensibilisation à la sécurité et à la confidentialité des e-mails pour vous former.

Protégez votre organisation

Une personne peut également utiliser une attaque de type quid pro quo pour obtenir des informations afin de lancer une attaque plus dangereuse contre une entreprise, comme une attaque de phishing ou de ransomware. Il ne faut donc pas négliger ce type d’attaque, et votre entreprise doit prendre des mesures pour s’en protéger :

  • Tous vos employés doivent être sensibilisés aux cybermenaces et à la cybersécurité. Ils doivent être capables d’identifier les tactiques de manipulation employées dans les attaques de type quid pro quo, ou d’autres types de techniques d’ingénierie sociale. Ils doivent également s’abstenir de transmettre des données sensibles par téléphone ou par courrier électronique ;
  • Adoptez des outils de cybersécurité pour protéger vos systèmes informatiques, comme un pare-feu et un logiciel antivirus ;
  • Utilisez des outils sécurisés pour stocker vos informations. N’oubliez pas votre email: une messagerie sécurisée par un chiffrement de bout en bout garantit que seuls les destinataires que vous avez validés pourront lire les messages que vos collaborateurs enverront ;
  • Veillez à sauvegarder régulièrement vos données sur différents supports, dont l’un sera conservé à l’extérieur de votre entreprise. Si vous le pouvez, mettez également en place un plan de reprise des activités après sinistre (PRA). Si vos données sont compromises, il vous sera plus facile de maintenir vos activités, et d’éviter des pertes financières.

Conclusion

Une attaque de type quid pro quo est une cybermenace basée sur un échange de bons procédés. Cela la rend plus insidieuse car, en tant qu’humains, nous pensons devoir rendre tout service fourni d’une manière ou d’une autre. Enfin, on peut utiliser une attaque de ce type pour obtenir des informations d’identification qui peuvent être exploitées dans un acte malveillant beaucoup plus dangereux, comme une attaque par ransomware. Comme toujours, vous devez rester prudent et vérifier toute entrée de contact inattendue. Enfin, utilisez des services sécurisés tels qu’une suite de messagerie électronique comme Mailfence.

Get your secure email

Vous souhaitez avoir plus d’information ? Écrivez-nous à support@mailfence.com.

– L’Équipe Mailfence

Avatar for M Salman Nadeem

M Salman Nadeem

Salman travaille comme analyste de la sécurité de l'information pour Mailfence. Ses domaines d'intérêt incluent la cryptographie, l'architecture et la conception de la sécurité, le contrôle d'accès et la sécurité des opérations. Vous pouvez le suivre sur LinkedIn @mohammadsalmannadeem

Vous aimerez aussi...