Qu’est-ce que l’ingénierie sociale ?

L’ingénierie sociale englobe diverses techniques de manipulation visant à tromper les utilisateurs afin de leur voler leurs informations personnelles, leur argent, leurs identifiants de connexion, etc. Au cœur de l’ingénierie sociale se trouve l’exploitation des bonnes intentions et des défauts humains, c’est pourquoi une attaque réussie nécessite une compréhension de la psychologie humaine. Les attaques d’ingénierie sociale utilisent l’inter­action humaine pour tromper les cibles.

Les particuliers et les organisations sont des cibles tentantes pour les attaques d’ingénierie sociale. Les employés des grandes entreprises et organisations sont souvent ciblés par les ingénieurs sociaux pour accéder aussi bien àdes informations commerciales confidentielles, des systèmes informatiques ou encore d’autres actifs précieux. Une seule erreur peut exposer l’ensemble de l’organisation à des attaques, c’est pourquoi la formation des employés et l’éducation à la cyber­conscience sont nécessaires pour protéger l’ensemble de l’organisation.

Comment fonctionne l’ingénierie sociale ?

La plupart des attaques d’ingénierie sociale suivent un schéma similaire :

1. Identifier la victime et recueillir des informations à son sujet.
2. Approcher la victime sous une fausse identité et un récit inventé.
3. Exécuter l’attaque après avoir gagné la confiance de la victime.
4. Mettre fin à l’attaque et nettoyer les traces qui pourraient permettre à l’attaquant de se faire prendre.

Les attaques d’ingénierie sociale visent notamment à obtenir l’accès à des informations confidentielles, à diriger l’utilisateur vers des sites Web malveillants, à amener la victime à télé­charger un virus ou à envoyer de l’argent au cyber­criminel. Pour amener leurs victimes à faire ce qu’ils veulent, les ingénieurs sociaux prétendent souvent être quelqu’un en qui la victime a confiance. Il peut s’agir de son patron, d’une entité gouvernementale ou d’une personne que la victime connaît dans la vie réelle. Certaines attaques d’ingénierie sociale sont utilisées pour accéder à un dispositif physique ou aux locaux de l’organisation ciblée.

Les ingénieurs sociaux s’appuient souvent sur un sentiment d’urgence, afin que leurs cibles n’aient pas le temps de réfléchir. Les cyber­criminels peuvent également menacer ou faire chanter la victime pour qu’elle fasse ce qu’on lui dit. Les attaques d’ingénierie sociale sont souvent des escroqueries bien planifiées. L’attaquant peut recueillir des informations sur sa victime avant d’établir le premier contact. Les attaques peuvent également viser plusieurs victimes simultanément.

Étant donné que toutes les techniques d’ingénierie sociale reposent en grande partie sur un comportement prévisible des personnes, l’ingénierie sociale a été qualifiée de piratage humain. En tirant les bonnes ficelles, les criminels en ligne et les escrocs peuvent faire faire à leurs victimes des choses que la plupart considéreraient comme improbables — jusqu’à ce qu’ils en deviennent eux-mêmes victimes.

Ingénierie sociale : comment s’en protéger?

L’ingénierie sociale reposant sur l’erreur humaine, les attaques ne peuvent être évitées uniquement en corrigeant les erreurs dans les logiciels. Heureusement, les utilisateurs particuliers et les organisations peuvent se protéger contre une attaque d’ingénierie sociale.

• Utilisez l’authentification multifactorielle pour protéger vos comptes.
• Ne cliquez pas sur des liens suspects et ne télé­chargez pas de fichiers douteux.
• Assurez-vous de l’identité des destinataires avant de donner des informations sensibles.
• Ne communiquez jamais à autrui vos identifiants, comme vos mots de passe ou vos codes de vérification.
• Ne connectez pas de supports physiques à votre appareil si vous n’êtes pas sûr de leur origine.
• Méfiez-vous des offres non sollicitées, surtout si elles semblent trop belles pour être vraies.
• S’il y a des enfants dans votre foyer, sensibilisez-les à la cyber­sécurité et aux meilleures pratiques d’utilisation de l’internet.
• Faites attention à ce que vous révélez sur les réseaux sociaux, car vos comptes peuvent être exploités pour obtenir des informations utilisées pour vous manipuler.
• Protégez vos appareils à l’aide d’une protection en ligne fiable.
• Utilisez un VPN sécurisé lorsque vous utilisez des réseaux Wi‑Fi publics.
• Restreignez les droits d’administration pour limiter les personnes qui peuvent modifier les paramètres du réseau ou installer de nouvelles applications. C’est un moyen d’empêcher les utilisateurs d’installer des logiciels nuisibles sur les appareils, tant à la maison que dans les grandes organisations.

Types d’attaques d’ingénierie sociale

Les tactiques d’ingénierie sociale varient et sont adaptées en fonction de la cible et des objectifs de l’attaquant. Comprendre les différentes techniques utilisées par les criminels en ligne est au cœur de la prévention des attaques d’ingénierie sociale.

Hameçonnage

L’un des types d’attaques d’ingénierie sociale les plus courants est le phishing (ou hameçonnage), qui consiste à tromper la victime pour qu’elle donne des informations personnelles ou financières qui peuvent être exploitées par le cyber­criminel. L’objectif peut également être d’amener la victime à télé­charger un fichier ou un logiciel infecté par un malware. Bien que le phishing se fasse souvent par l’envoi d’un e‑mail à la cible, il existe d’autres méthodes pour mener à bien une attaque de phishing.

• Vishing : Le terme vishing est dérivé des mots voice et phishing. Il s’appuie donc sur des formats vocaux, comme les appels téléphoniques, pour tromper les gens et recueillir des informations précieuses. Par exemple, de nombreuses arnaques se font par le biais d’appels téléphoniques. Le fraudeur séduit sa cible au téléphone après avoir trouvé des informations sur elle en ligne. En réalité, l’escroc n’en veut qu’à l’argent de sa victime, qui l’envoie à son prétendu nouvel amour.
• Smishing : L’utilisation de messages textuels et de services de messagerie instantanée pour escroquer les gens est appelée smishing. Comme la plupart des téléphones disposent d’une connexion internet, les messages de phishing envoyés par SMS peuvent contenir des liens qui dirigent l’utilisateur vers des sites web malveillants.
• Spear phishing : Les ingénieurs sociaux peuvent mener des attaques de phishing en ciblant plusieurs victimes à la fois. Le spear phishing, quant à lui, désigne une cyber­attaque dans laquelle une cible spécifique est désignée. Les messages envoyés aux victimes d’une attaque de spear phishing sont hautement personnalisés et sont plus difficiles à repérer que les attaques de phishing de masse habituelles. L’escroquerie au PDG est une forme de spear phishing dans laquelle l’attaquant se fait passer pour le PDG d’une entreprise afin de tromper ses employés. C’est une façon d’utiliser l’autorité d’une personne de confiance pour gagner la confiance de la victime.

Pretexting

Dans une attaque d’ingénierie sociale connue sous le nom de pretexting, l’attaquant fabrique une situation, ou un prétexte, pour tromper la victime et l’amener à donner des informations ou à effectuer une certaine action. Il s’agit ici de se faire passer pour une figure d’autorité, un collègue de travail de la victime ou quelqu’un d’autre en qui la cible du faux-semblant aurait confiance. Une fois que le criminel a établi la confiance de la cible, il est plus susceptible de l’amener à révéler des informations sensibles, à cliquer sur un lien ou à envoyer de l’argent. En matière de prétextage, la création d’une histoire convaincante est essentielle pour ne pas éveiller les soupçons.

Appât

L’appâtage implique souvent une sorte de support physique infecté par un logiciel malveillant. Il peut s’agir d’une clé USB ou d’un CD, par exemple, que le criminel laisse dans un lieu public ou dans les locaux de l’organisation ciblée. Ici, les ingénieurs sociaux comptent sur la curiosité des gens, qui peut être poussée encore plus loin en incluant un logo ou une étiquette alléchante dans le morceau de support physique infesté de malwares.