Le cybercriminel utilise des techniques avancées d’ingénierie sociale pour lancer des attaques et voler des données ou pour pirater des systèmes informatiques. Les utilisateurs et les entreprises doivent également être toujours prêts à faire face aux progrès des stratégies et des systèmes de sécurité contre la cybercriminalité.
L’ingénierie sociale est l’une des menaces les plus dangereuses et les plus courantes pour les entreprises. Il s’agit d’un ensemble de stratégies criminelles qui permettent d’obtenir par la ruse des mots de passe, des identifiants de connexion ou même des informations relatives à des comptes bancaires. L’objectif est de nuire à l’utilisateur.
Nous pouvons considérer l’ingénierie sociale comme une menace qui s’appuie sur la psychologie de la personne et qui doit être combattue à l’aide de technologies appropriées. Découvrons ce qu’est l’ingénierie sociale, comment elle fonctionne, quelles sont les attaques les plus courantes et quels comportements adopter pour garantir la protection des données.
Sommaire
- 1 Qu’est-ce que l’ingénierie sociale : signification
- 2 Types d’attaques de social engineering
- 3 Techniques numériques avancées ou persistantes
- 4 Quel est l’objectif de l’ingénierie sociale ?
- 5 Pourquoi l’ingénierie sociale est-elle si efficace ?
- 6 Comment fonctionnent les attaques de ce type ?
- 7 Exemples d’attaques de social engineering
- 8 Comment se protéger contre les attaques de social engineering
L’ingénierie sociale est un ensemble de techniques malveillantes (souvent utilisées dans le domaine numérique) visant à la manipulation psychologique. Ces solutions sont utilisées pour tromper les gens et les convaincre de révéler des informations, d’effectuer des actions risquées ou de violer les procédures de cybersécurité.
Les cybermenaces qui entrent dans cette catégorie s’appuient sur une étude minutieuse du comportement des personnes. Les cybercriminels analysent les utilisateurs et leurs habitudes de navigation ou d’utilisation des appareils afin de comprendre leur comportement et de lancer une attaque aussi efficace que possible.
Personne ne peut se considérer à l’abri d’une cyberattaque. La sécurité est un véritable objectif qui doit être poursuivi quotidiennement, avec une grande attention. Tout comme les techniques d’attaque ont évolué, les systèmes de sécurité ont été renforcés en fonction des changements dans la stratégie des attaquants.
L’ingénierie sociale prévoit différents canaux et modes d’attaque, grâce auxquels le criminel peut nuire à sa victime. Mais de nombreuses attaques se déroulent dans le monde réel, sans nécessiter l’utilisation d’appareils électroniques ou d’Internet, et ne relèvent donc pas du concept de cybercriminalité. Il existe de nombreux types d’attaques d’ingénierie sociale que le criminel peut mettre en œuvre : voyons quelles sont les plus courantes.
Techniques basées sur l’observation et l’interaction sociale
Avec ces options, on se fait passer pour quelqu’un d’autre (par exemple un cadre ou un technicien) afin d’obtenir un accès ou des données avec une facilité déconcertante. Il est également possible d’espionner le mot de passe ou le code PIN simplement en regardant le smartphone d’une personne peu attentive à la confidentialité.
Shoulder surfing
Le shoulder surfing est une technique d’ingénierie sociale où l’attaquant observe secrètement ce qu’une personne tape sur le clavier ou l’écran d’un smartphone, comme un mot de passe, un code PIN ou des données sensibles. Cela peut se faire de manière évidente (en regardant par-dessus l’épaule, d’où le nom) ou à l’aide de caméras.
Écoute clandestine
Écoute non autorisée de conversations privées, tant verbales que numériques. Elle peut se faire simplement en écoutant attentivement dans un environnement physique. Par exemple, on peut espionner un appel téléphonique au bureau. Mais on peut également utiliser des outils spécifiques et avancés, tels que des microphones cachés ou des interceptions de réseau.
Trashing ou dumpster diving
Une autre technique d’ingénierie sociale est le trashing : le criminel fouille les poubelles de la victime à la recherche de relevés bancaires, de factures et d’autres documents contenant des informations sensibles. Cette technique se déplace dans l’univers numérique lorsque le pirate trouve des systèmes inutilisés (anciens smartphones, tablettes, ordinateurs portables ou supports de stockage). Ces derniers, s’ils sont réinitialisés, peuvent être utilisés pour voler des données.
Tailgating ou piggybacking
Cette technique repose sur la familiarité entre l’attaquant et la victime. Dans ce cas, il s’agit d’une intrusion physique : le criminel s’introduit dans un espace où il n’a pas le droit d’entrer, en suivant une personne autorisée ou en se plaçant immédiatement derrière elle afin de découvrir les mots de passe d’accès aux zones interdites.
Usurpation d’identité
Un type d’attaque d’ingénierie sociale en constante expansion : le criminel prend la place de quelqu’un d’autre, en se faisant passer pour une personne physique (généralement, la personne choisie a un rôle institutionnel) ou numérique. Le pirate informatique se fait passer pour une personne influente, avec laquelle la victime a une relation, afin de pouvoir accéder au réseau de l’entreprise (par le biais de courriels frauduleux, d’appels téléphoniques ou d’autres moyens de communication).
Techniques basées sur la tromperie directe
Nous avons ici des solutions qui vont de l’envoi de faux e-mails ou messages pour voler des identifiants ou installer des logiciels malveillants à la falsification de l’identité personnelle pour mettre en place de véritables escroqueries à l’encontre de l’individu.
Hameçonnage
L’une des méthodes les plus utilisées dans le monde entier : cette technique d’ingénierie sociale utilise le courrier électronique pour voler des données personnelles et des informations, en les extorquant par la tromperie à l’utilisateur. Le criminel, par le biais d’un e-mail, escroque la victime en la convainquant de cliquer sur un lien frauduleux.
Spear phishing
Variante ciblée du phishing, personnalisée pour la victime. Il s’agit d’une attaque de phishing qui nécessite une étude minutieuse de la victime, de ses habitudes et de ses préférences. Le spear phishing est certainement l’une des techniques les plus difficiles à mettre en œuvre avec succès, mais aussi l’une des plus complexes à déjouer.
Vishing ou voice phishing
Il s’agit d’escroqueries par téléphone visant à obtenir des données sensibles. Il s’agit d’une variante de l’attaque de phishing. Dans ce cas, avec le vishing, il s’agit d’une attaque basée sur la voix personnelle, éventuellement falsifiée à l’aide de l’IA. Ce type d’attaque se produit par le biais d’un appel ou d’une communication vocale et relève des escroqueries téléphoniques.
Smishing ou SMS phishing
Hameçonnage par SMS ou messages instantanés. Outre le courrier électronique, l’un des canaux les plus utilisés ces dernières années pour lancer des attaques de hameçonnage est également le SMS (dans ce cas, il s’agit de smishing), ou les canaux de messagerie instantanée tels que Telegram et WhatsApp. Comme toujours, il est difficile d’identifier les messages malveillants.
Pretexting
Le criminel contacte la victime par téléphone, en créant un prétexte (en se faisant passer, par exemple, pour un employé d’un service public ou d’une banque) afin d’établir une relation empathique avec la victime. Le but de cette technique d’ingénierie sociale est d’obtenir des données personnelles et des identifiants de la part de la victime.
Baiting
Le criminel utilise un appât pour attirer la curiosité de l’utilisateur. Le pirate informatique exploitera un support de stockage (de la clé USB au disque dur) pour diffuser un logiciel malveillant, un ransomware ou un code malveillant au sein du réseau, en incitant la victime à insérer le périphérique dans son PC.
Quid Pro Quo
Une technique sophistiquée, qui prévoit une sorte d’échange : le criminel offre un support pratique à la victime en échange d’un avantage. Par exemple, en se faisant passer pour un technicien informatique, le criminel contacte un ou plusieurs employés de l’entreprise et leur demande, en échange d’une assistance professionnelle, des informations telles que leurs mots de passe. Il peut également leur demander de désactiver temporairement leur antivirus afin d’installer librement un programme.
Techniques numériques avancées ou persistantes
Il s’agit de stratégies utilisées pour cibler les victimes de manière ciblée. Elles combinent souvent des logiciels malveillants, l’exploitation de vulnérabilités et l’analyse comportementale pour infecter les appareils, voler des données et obtenir un accès à long terme aux systèmes.
Attaque par watering hole
L’attaquant compromet un site web que la victime cible visite souvent (par exemple, des forums spécialisés, des portails d’entreprise) en y introduisant un logiciel malveillant. Lorsque la victime visite le site, son appareil est infecté sans qu’elle s’en aperçoive.
Malvertising
Il s’agit de publicités en ligne apparemment légitimes mais infectées, utilisées pour diffuser des virus ou collecter des données. Quelques clics suffisent, parfois même moins, pour compromettre le système et devenir une nouvelle victime du social engineering.
Exploitation des réseaux sociaux
Il s’agit d’un travail de harcèlement, visant des situations particulièrement délicates. L’agresseur recueille des informations personnelles à partir de profils sociaux publics afin de mettre au point des attaques sur mesure : e-mails crédibles, messages manipulateurs ou même usurpations d’identité.
Deepfake ou médias synthétiques
Technologie utilisée pour créer des vidéos ou des fichiers audio falsifiés extrêmement réalistes, utiles pour usurper l’identité de dirigeants ou d’autorités et manipuler la victime avec des contenus falsifiés. Grâce à l’intelligence artificielle, cette solution semble beaucoup plus simple à mettre en œuvre avec un bon niveau de réussite. Surtout pour la création de vidéos et de photos falsifiées.
Dans de nombreux cas, les attaques d’ingénierie sociale visent à convaincre les gens de fournir des informations confidentielles telles que des mots de passe, des données bancaires et personnelles. Mais les attaques d’ingénierie sociale peuvent également être lancées dans le but d’accéder au réseau de l’entreprise, à l’ordinateur ou à tout autre appareil, en installant des logiciels malveillants et autres logiciels nuisibles. Comme, par exemple, ceux qui permettent d’activer des actions de ransomware.
En termes simples, on ne pirate pas les systèmes informatiques des entreprises ou des particuliers, mais on trompe les personnes qui gèrent les machines et les programmes. L’efficacité des attaques d’ingénierie sociale réside dans leur capacité à tromper les défenses technologiques en exploitant l’erreur humaine : les pare-feu et les antivirus ne suffisent pas si l’individu ne reconnaît pas la menace ou néglige les règles de sécurité les plus élémentaires.
Il faut ajouter que les cybercriminels exploitent des leviers psychologiques très efficaces, qui ont également été étudiés par divers psychologues comportementaux et experts en psychologie sociale de la persuasio. Par exemple, parmi les outils des experts en ingénierie sociale, on trouve différentes techniques de persuasion :
- Urgency – Un sentiment d’urgence ou de peur (votre compte sera bloqué !) pousse la victime à réagir sans réfléchir, en cliquant ou en fournissant des données de manière impulsive.
- Authority – L’attaquant se fait passer pour une figure d’autorité telle qu’un patron, un technicien ou un agent ayant certaines qualifications afin de gagner la confiance du destinataire du message.
- Rareté – Une situation limitée dans le temps ou avec des ressources rares (uniquement aujourd’hui, dernière chance) est simulée pour forcer une décision rapide et peu réfléchie.
- Familiarité/Confiance – L’attaquant exploite la confiance déjà existante : il se fait passer pour un collègue, un ami ou un fournisseur que la victime connaît bien afin d’obtenir des informations.
- Ingénierie sociale inversée – L’attaquant crée un problème, puis se présente comme un technicien afin d’être contacté directement par la victime et d’obtenir un accès.
L’ingénierie sociale est l’une des techniques les plus insidieuses et les plus répandues dans le paysage des menaces informatiques. Contrairement aux attaques techniques, telles que les botnets ou les DDoS, l’ingénierie sociale exploite la psychologie humaine et les émotions des personnes pour obtenir l’accès à des données confidentielles ou effectuer des actions malveillantes.
Comment fonctionnent les attaques de ce type ?
Cela dépend en grande partie du type de technique utilisée, mais en général, l’ingénierie sociale exploite les vulnérabilités de la victime, sa tendance à faire confiance et son manque de compétences/connaissances dans l’utilisation des appareils. Les attaques d’ingénierie sociale reposent sur la manipulation psychologique des victimes afin de les pousser à effectuer des actions qui vont à l’encontre de la logique et de la sécurité :
- Partager des informations confidentielles ;
- Cliquer sur des liens ou des pièces jointes malveillants ;
- Télécharger des logiciels inconnus ;
- Visiter des sites pièges (sites de phishing) ;
- Envoyer de l’argent vers des comptes inconnus.
La confiance ou l’autorité perçue est exploitée pour amener la victime à accomplir des actions qu’elle éviterait normalement. Pour y parvenir, le cybercriminel spécialisé en ingénierie sociale étudie la victime et les relations qu’elle entretient en ligne et hors ligne, qu’il s’agisse d’un utilisateur individuel ou d’une entreprise.
Le criminel approfondit son analyse du comportement de l’entreprise en effectuant une analyse des employés. Une fois le travail préparatoire terminé, le criminel étudie une stratégie adaptée pour atteindre son objectif : voler l’identité d’une personne, extorquer de l’argent, dérober des données ou s’emparer du réseau informatique.
L’une des meilleures stratégies pour se défendre contre les attaques de social engineering consiste à les prévenir, en connaissant leur fonctionnement. Il est donc essentiel de connaître les modèles de comportement typiques d’un pirate informatique qui a choisi le social engineering pour lancer une attaque. Voyons quelques exemples concrets :
Vol des identifiants d’accès à Office 365
Avec une attaque de phishing, les pirates peuvent escroquer la victime en prétendant travailler pour le service clientèle d’Office. La communication peut contenir une fausse offre à durée limitée ou une demande de modification du mot de passe. Dans les deux cas, lorsque l’utilisateur clique sur le lien frauduleux, il est redirigé vers une page malveillante qui est utilisée pour voler les identifiants d’accès à Office 365.
Attaque contre les ressources humaines de l’entreprise
Le pirate se fait passer pour un employé des ressources humaines et envoie un e-mail critique dans lequel il évoque la possibilité d’un licenciement. Effrayé, l’utilisateur clique sur le lien frauduleux qui peut déclencher directement le téléchargement d’un logiciel malveillant. Ou, dans le cas réel qui a touché plus de 50 000 utilisateurs, la victime est redirigée vers un faux site Zoom dans le but de voler ses mots de passe.
Un cas classique de transfert d’argent
Le cybercriminel peut usurper l’identité d’un employé important de l’entreprise. Par exemple, le directeur général ou le directeur commercial. En se faisant passer pour une personnalité importante, il enverra une demande urgente de transfert d’argent : l’employé escroqué, croyant faire son travail et suivant les instructions de son supérieur, transférera l’argent directement sur le compte du criminel. FACC, une entreprise spécialisée dans la fabrication d’avions, a été victime d’une escroquerie BEC (Business E-mail Compromise) et a perdu pas moins de 42 millions d’euros.
Accès à l’ordinateur de la victime sans autorisation
Dans ce cas, un levier important est utilisé : l’ignorance. Une communication verbale ou écrite peut convaincre la personne de céder ses identifiants d’accès, en l’alertant de la présence d’un virus dans son appareil. La victime effectue l’action indiquée par le criminel (appeler un numéro, fournir des mots de passe, cliquer sur un lien) en croyant pouvoir supprimer le virus. En réalité, elle offre inconsciemment un accès à l’ordinateur ou au réseau de l’entreprise.
Pour pouvoir reconnaître une attaque de social engineering, il est important d’être très attentif à toutes les interactions possibles avec les utilisateurs (connus et inconnus). Lorsque votre interlocuteur tente d’obtenir des mots de passe, des données financières ou personnelles, il s’agit probablement d’une tentative d’escroquerie.
Les institutions et organismes légitimes ne fonctionnent pas de cette manière : ils ne demandent pas de données par e-mail ou par téléphone. Une autre méthode pour déjouer une attaque d’ingénierie sociale consiste à vérifier les expéditeurs des e-mails reçus, en vérifiant les adresses pour comprendre s’il s’agit d’une adresse légitime ou non.
Le maillon faible de l’entreprise est l’homme : c’est lui qui permet de mener à bien une attaque d’ingénierie sociale. Pour préserver l’entreprise des risques liés à l’ingénierie sociale et à la cybercriminalité, il est important d’offrir une formation continue aux employés, en les sensibilisant à la sécurité informatique.
L’utilisateur doit être conscient des risques et des méthodes d’action d’un cybercriminel. La naïveté d’un seul individu peut causer des dommages inimaginables à l’ensemble de l’organisation. Il est nécessaire de suivre certains modèles de comportement pour prévenir l’ingénierie sociale et se protéger contre une attaque :
- N’acceptez pas les offres non sollicitées.
- Ne cliquez jamais sur des liens fournis par des utilisateurs inconnus ou des e-mails non certifiés.
- N’acceptez pas et ne téléchargez pas de fichiers provenant d’adresses illégitimes.
- Vérifiez toujours l’identité des expéditeurs qui vous envoient des e-mails.
- Ne fournissez pas d’informations sensibles (mots de passe, identifiants, coordonnées bancaires).
- Installez un logiciel antivirus, qui doit être mis à jour.
- Utilisez les correctifs de sécurité dès leur publication.
Ce sont là les conseils de base. À un niveau avancé, en particulier lorsqu’il s’agit d’entreprises disposant d’une grande quantité de données sensibles à protéger, il existe un protocole avancé que nous recommandons toujours à nos clients les plus attentifs :
- Sensibiliser les employés grâce à des cours de cyber-sensibilisation.
- Mettre en œuvre des politiques de vérification pour les demandes de paiement ou d’accès.
- Utiliser l’authentification multifactorielle (MFA).
- Signaler rapidement les e-mails suspects ou les anomalies dans les processus.
- Surveiller les accès et suivre les communications critiques de l’entreprise.
Pour se défendre contre ces menaces, il est essentiel d’adopter une combinaison de mesures techniques et de formation du personnel : nous pouvons vous aider à atteindre un niveau de sécurité important contre les menaces externes et les menaces internes. Demandez conseil pour éviter les problèmes liés à l’ingénierie sociale.