Ingénierie sociale

Après avoir exploré le monde des logiciels malveillants, il est temps de nous pencher sur une autre forme de menace, tout aussi redoutable : l'ingénierie sociale.

L'ingénierie sociale ne repose pas sur des failles techniques, mais sur l'exploitation des faiblesses humaines. C'est l'art de manipuler les individus pour les amener à divulguer des informations confidentielles, à effectuer des actions compromettantes, ou à contourner les mesures de sécurité.

note

On dit souvent que l'utilisateur est le maillon faible de la sécurité. L'ingénierie sociale en est la preuve. Même le système le plus sécurisé du monde peut être compromis si un utilisateur est trompé par un cybercriminel habile.

Dans cette section, nous allons découvrir :

• Les différentes techniques d'ingénierie sociale (phishing, spear phishing, baiting, pretexting, etc.).
• Les mécanismes psychologiques exploités par les cybercriminels (confiance, peur, urgence, autorité, etc.).
• Des exemples concrets d'attaques d'ingénierie sociale.
• Les moyens de se protéger contre ces attaques, en développant sa vigilance et en adoptant les bonnes pratiques.

Préparez-vous à plonger dans l'esprit des cybercriminels et à découvrir comment ils utilisent la psychologie humaine pour atteindre leurs objectifs. Mais rassurez-vous : vous en ressortirez avec les armes pour déjouer leurs pièges !

Commençons par explorer les différentes techniques d'ingénierie sociale.

Phishing, Spear phishing, Whaling, Smishing, Vishing

L'ingénierie sociale regroupe un ensemble de techniques de manipulation, mais le phishing et ses variantes sont parmi les plus courantes et les plus dangereuses.

Phishing (hameçonnage)

Le phishing est une technique d'attaque qui consiste à envoyer un email frauduleux à un grand nombre de personnes, en se faisant passer pour une entité légitime (banque, administration, entreprise, fournisseur d'accès à Internet, etc.).

• Objectif : Tromper les destinataires pour les inciter à :

  • Cliquer sur un lien malveillant : Ce lien peut rediriger vers un faux site web (imitation du site légitime) qui collecte les identifiants et mots de passe, ou télécharger un malware sur l'ordinateur de la victime.
  • Ouvrir une pièce jointe infectée : La pièce jointe contient un malware (virus, cheval de Troie, ransomware, etc.).
  • Communiquer des informations personnelles : Numéro de carte bancaire, numéro de sécurité sociale, adresse, etc.
  • Effectuer un virement bancaire : Vers un compte contrôlé par les cybercriminels.

• Caractéristiques :

  • Envoi massif : Les emails de phishing sont envoyés à un très grand nombre de personnes, dans l'espoir que quelques-unes tomberont dans le piège.
  • Apparence légitime : Les emails et les sites web frauduleux imitent l'apparence des communications officielles (logos, charte graphique, etc.).
  • Prétextes variés : Les cybercriminels utilisent différents prétextes pour inciter les victimes à agir (problème de compte, facture impayée, remboursement, gain à un concours, etc.).
  • Urgence ou menace : Les emails de phishing jouent souvent sur l'urgence ou la peur pour inciter les victimes à agir rapidement, sans réfléchir (compte bloqué, amende à payer, etc.).

• Exemple : Un email prétendument de votre banque vous informe d'une activité suspecte sur votre compte et vous invite à cliquer sur un lien pour vérifier vos informations. Le lien mène à un faux site web qui ressemble trait pour trait au site de votre banque, mais qui est en réalité contrôlé par des cybercriminels.

Spear phishing (harponnage)

Le spear phishing est une forme plus ciblée de phishing. Au lieu d'envoyer un email à un grand nombre de personnes, l'attaquant vise une personne ou un groupe de personnes spécifique (employés d'une entreprise, membres d'une organisation, etc.). Les attaquants se servent très souvent des réseaux sociaux afin d'obtenir ces informations.

• Caractéristiques :
  • Ciblage précis : L'attaquant se renseigne sur sa cible (identité, fonction, centres d'intérêt, relations professionnelles, etc.) pour personnaliser l'email et le rendre plus crédible.
  • Personnalisation : L'email est personnalisé avec des informations qui concernent la cible (nom, prénom, entreprise, etc.), ce qui le rend plus convaincant qu'un email de phishing générique.
  • Prétextes plus élaborés : Les prétextes utilisés sont adaptés à la cible (projet en cours, relation avec un collègue, etc.).
• Exemples : Un cybercriminel envoie un email à un employé du service financier d'une entreprise, en se faisant passer pour le PDG. L'email, rédigé dans un style professionnel et utilisant des informations précises sur l'entreprise, demande à l'employé d'effectuer un virement urgent vers un compte bancaire. "J'ai perdu plus de 350.000 euros" : après le "faux Brad Pitt", une Américaine se fait arnaquer par "un acteur" de Grey's Anatomy

Whaling (chasse à la baleine)

Le whaling est une forme de spear phishing qui cible les hauts dirigeants d'une entreprise (PDG, directeur financier, etc.).

• Caractéristiques :
  • Ciblage de très haut niveau : Les "baleines" sont des cibles de choix, car elles ont souvent accès à des informations sensibles et à des ressources financières importantes.
  • Préparation minutieuse : Les attaques de whaling nécessitent une préparation encore plus poussée que le spear phishing, car les enjeux sont plus élevés et les cibles plus difficiles à tromper.
  • Gains potentiels importants : Les cybercriminels peuvent espérer des gains très importants en compromettant un haut dirigeant (vol de données confidentielles, fraude financière, etc.).
• Exemple : Le CEO fraud (fraude au président) est une forme courante de whaling. Le cybercriminel se fait passer pour le PDG de l'entreprise et demande à un employé (généralement du service financier) d'effectuer un virement urgent et confidentiel.

Smishing (phishing par SMS)

Le smishing est une forme de phishing qui utilise les SMS (messages texte) plutôt que les emails.

• Caractéristiques :
  • Messages courts et incitatifs : Les SMS sont courts et incitent l'utilisateur à agir rapidement (cliquer sur un lien, appeler un numéro surtaxé, etc.).
  • Prétextes variés : Les cybercriminels utilisent différents prétextes (colis en attente, gain à un concours, alerte de sécurité, etc.).
  • Exploitation de la confiance : Les utilisateurs ont tendance à faire davantage confiance aux SMS qu'aux emails, ce qui rend le smishing particulièrement efficace.
• Exemple : Vous recevez un SMS prétendument de votre opérateur téléphonique, vous informant que vous avez gagné un prix. Le SMS contient un lien vers un site web qui vous demande de renseigner vos informations personnelles pour réclamer votre prix.

Vishing (phishing vocal)

Le vishing est une forme de phishing qui utilise la voix plutôt que les emails ou les SMS.

• Caractéristiques :
  • Appels téléphoniques frauduleux : Les cybercriminels appellent leurs victimes en se faisant passer pour un service client, un support technique, une administration, etc.
  • Utilisation de la voix et de l'émotion : Les cybercriminels utilisent des techniques de manipulation vocale (ton de la voix, vocabulaire, etc.) et jouent sur les émotions (peur, urgence, confiance, etc.) pour inciter leurs victimes à agir.
  • Ingénierie sociale : Les cybercriminels peuvent utiliser des informations préalablement collectées sur la victime pour rendre l'appel plus crédible.
• Exemple : Vous recevez un appel d'une personne se présentant comme un technicien de Microsoft, qui vous informe que votre ordinateur est infecté par un virus. La personne vous demande de lui donner accès à votre ordinateur à distance pour résoudre le problème. En réalité, il s'agit d'un cybercriminel qui cherche à installer un malware sur votre ordinateur ou à vous voler des informations.

warning

Le phishing et ses variantes sont des menaces omniprésentes et en constante évolution. Les cybercriminels adaptent leurs techniques en permanence pour contourner les mesures de sécurité et tromper la vigilance des utilisateurs. Il est donc crucial de rester informé et de développer ses réflexes de sécurité. Par exemple, il est maintenant beaucoup plus facile de créer un mail de phishing sans fautes d'orthographe, ou d'avoir une conversation téléphonique réaliste avec les intelligences artificielles.

Baiting, Pretexting

Si le phishing et ses variantes sont les formes les plus connues d'ingénierie sociale, d'autres techniques existent, exploitant d'autres biais psychologiques.

Baiting (appâtage)

Le baiting consiste à appâter la victime avec une offre alléchante ou un objet trouvé, afin de l'inciter à effectuer une action compromettante.

• Principe : L'attaquant utilise un appât (physique ou numérique) pour attirer l'attention de la victime et la pousser à l'action.

• Exemples :

  • Clé USB infectée : Une clé USB "trouvée" dans un lieu public (parking, café, etc.) ou laissée à la vue dans un bureau. La clé contient un malware qui s'installe automatiquement lorsque la victime la connecte à son ordinateur, par curiosité ou par appât du gain (en espérant trouver des informations intéressantes).
  • Logiciel ou film gratuit : Un logiciel ou un film alléchant proposé en téléchargement gratuit sur un site web peu fiable. Le fichier téléchargé contient en réalité un malware.
  • Offre promotionnelle trop belle pour être vraie : Une publicité en ligne ou un email proposant une offre exceptionnelle (réduction importante, produit gratuit, etc.). L'offre redirige vers un site web malveillant ou incite la victime à communiquer des informations personnelles.

• Facteurs psychologiques exploités :

  • Curiosité : L'envie de savoir ce que contient la clé USB trouvée.
  • Appât du gain : L'espoir de faire une bonne affaire ou d'obtenir quelque chose gratuitement.
  • Confiance : La croyance que l'offre est légitime.

Pretexting (prétextage)

Le pretexting consiste à inventer un scénario (un prétexte) pour inciter la victime à divulguer des informations confidentielles ou à effectuer une action compromettante.

• Principe : L'attaquant se fait passer pour une personne de confiance (un collègue, un technicien, un représentant d'une administration, etc.) ou invente une situation d'urgence pour manipuler la victime.

• Exemples :

  • Faux support technique : Un cybercriminel appelle une entreprise en se faisant passer pour un technicien informatique. Il prétexte un problème de sécurité ou une mise à jour logicielle pour demander à un employé de lui donner accès à son ordinateur ou de lui communiquer son mot de passe.
  • Fausse enquête : Un cybercriminel contacte une personne en se faisant passer pour un enquêteur (police, administration fiscale, etc.). Il prétexte une enquête en cours pour demander à la victime de lui communiquer des informations personnelles (identité, adresse, numéro de sécurité sociale, etc.).
  • Fausse urgence familiale : Un cybercriminel envoie un email à une personne en se faisant passer pour un proche (ami, membre de la famille, etc.) en difficulté. Il prétexte une situation d'urgence (accident, arrestation, etc.) pour demander à la victime de lui envoyer de l'argent rapidement.

• Facteurs psychologiques exploités :

  • Confiance : La victime fait confiance à l'attaquant, qui se fait passer pour une personne de confiance.
  • Autorité : La victime obéit à l'attaquant, qui se fait passer pour une personne ayant autorité (technicien, policier, etc.).
  • Peur : La victime agit sous le coup de la peur (peur d'un problème de sécurité, peur des conséquences d'une enquête, etc.).
  • Empathie : La victime est touchée par la situation d'urgence présentée par l'attaquant et cherche à l'aider.

tip

Le baiting et le pretexting, comme le phishing, reposent sur la manipulation psychologique. La meilleure défense est de développer son esprit critique, de se méfier des offres trop alléchantes et des situations inhabituelles, et de vérifier systématiquement l'identité de son interlocuteur et la véracité des informations présentées.

Techniques de manipulation psychologique

Les attaques d'ingénierie sociale, quelles que soient leurs formes (phishing, baiting, pretexting, etc.), reposent sur l'exploitation de biais cognitifs et de mécanismes psychologiques pour manipuler les victimes. Comprendre ces techniques est essentiel pour s'en protéger.

Principaux biais et mécanismes exploités

Voici les principaux biais cognitifs et mécanismes psychologiques utilisés par les cybercriminels :

Confiance

La confiance est un élément fondamental des relations humaines. Les cybercriminels l'exploitent en se faisant passer pour des personnes ou des entités de confiance :

• Usurpation d'identité : Se faire passer pour un collègue, un supérieur hiérarchique, un ami, un membre de la famille, un représentant d'une entreprise ou d'une administration connue, etc.
• Utilisation de logos et de chartes graphiques : Imiter l'apparence des communications officielles (emails, sites web, etc.) pour inspirer confiance.
• Références à des connaissances communes : Mentionner des informations connues de la victime (nom, prénom, entreprise, projets en cours, etc.) pour renforcer la crédibilité.

Autorité

Les individus ont tendance à obéir aux personnes qu'ils perçoivent comme ayant une autorité légitime. Les cybercriminels exploitent ce biais en :

• Se faisant passer pour une figure d'autorité : Un supérieur hiérarchique, un policier, un agent du fisc, un technicien informatique, etc.
• Utilisant un ton et un vocabulaire autoritaires : Donner des ordres, utiliser des termes techniques, etc.
• Invoquant des règles ou des lois : Pour justifier une demande ou une action.

Urgence

Le sentiment d'urgence pousse les individus à agir rapidement, sans prendre le temps de réfléchir ou de vérifier l'information. Les cybercriminels créent souvent un sentiment d'urgence en :

• Fixant des délais courts : "Offre valable 24 heures", "Compte bloqué si vous ne réagissez pas immédiatement", etc.
• Menaçant de conséquences négatives : "Amende à payer", "Perte de données", "Suspension de service", etc.
• Invoquant un problème urgent : "Fuite de données", "Attaque informatique", "Colis en attente", etc.

Peur

La peur est une émotion puissante qui peut altérer le jugement et pousser à l'action. Les cybercriminels exploitent la peur en :

• Menaçant la sécurité de la victime : "Votre ordinateur est infecté", "Votre compte a été piraté", etc.
• Menaçant la sécurité de proches : "Votre enfant a eu un accident", "Votre ami est en difficulté", etc.
• Invoquant des risques financiers : "Amende à payer", "Perte d'argent", etc.

Cupidité (appât du gain)

L'espoir de gagner quelque chose (argent, cadeau, réduction, etc.) peut inciter à prendre des risques ou à négliger la prudence. Les cybercriminels exploitent la cupidité en :

• Proposant des offres trop belles pour être vraies : "Vous avez gagné à la loterie", "Produit gratuit", "Réduction exceptionnelle", etc.
• Faisant miroiter des gains faciles : "Investissement miracle", "Travail à domicile très bien rémunéré", etc.

Empathie et altruisme

Le désir d'aider les autres peut être exploité par les cybercriminels, qui se font passer pour des victimes ou des personnes en détresse :

• Appels à la générosité : "Aidez une association caritative", "Soutenez une personne malade", etc. (souvent après une catastrophe naturelle ou un événement médiatisé).
• Demandes d'aide personnelle : "Je suis un ami en difficulté", "Je suis bloqué à l'étranger", etc.

Réciprocité

Le principe de réciprocité est la tendance à se sentir obligé de rendre un service ou une faveur à quelqu'un qui nous en a rendu un. Les cybercriminels peuvent l'exploiter en :

• Offrant un cadeau : Un cybercriminel envoie un petit cadeau à un employé d'une entreprise ciblée, puis le contacte quelques jours plus tard en se faisant passer pour un partenaire commercial et en lui demandant une faveur (par exemple, de lui communiquer des informations).

Engagement et cohérence

Les gens ont tendance à vouloir se montrer cohérents avec leurs actions et leurs engagements passés. Les cybercriminels peuvent exploiter ce biais en :

• Faisant une petite demande initiale : Par exemple, demander à une personne de signer une pétition en ligne, puis lui envoyer un email de phishing en lien avec la pétition.

tip

La meilleure défense contre l'ingénierie sociale est de développer sa conscience de ces biais et mécanismes psychologiques, et d'apprendre à les reconnaître dans les situations de la vie quotidienne, en ligne comme hors ligne.

Exemples concrets et études de cas

Pour illustrer la puissance et la diversité des attaques d'ingénierie sociale, rien de tel que d'examiner des cas réels, qu'il s'agisse d'incidents célèbres ou de scénarios plus courants.

Le piratage du compte Twitter de personnalités (2020)

En juillet 2020, les comptes Twitter de nombreuses personnalités (Barack Obama, Joe Biden, Elon Musk, Bill Gates, Jeff Bezos, etc.) ont été piratés et utilisés pour publier des messages frauduleux incitant les utilisateurs à envoyer des bitcoins.

• Technique utilisée : Ingénierie sociale (spear phishing) ciblant des employés de Twitter.

• Déroulement :

  1. Les cybercriminels ont d'abord obtenu des informations sur des employés de Twitter (identité, fonction, etc.).
  2. Ils ont ensuite contacté certains de ces employés, en se faisant passer pour des collègues ou des membres du support technique.
  3. Ils ont réussi à convaincre ces employés de leur communiquer leurs identifiants de connexion à des outils internes de Twitter.
  4. Grâce à ces identifiants, ils ont pu accéder aux comptes Twitter de personnalités et publier des messages frauduleux.

• Impact :

  • Plus de 100 000 dollars en bitcoins ont été dérobés aux utilisateurs crédules.
  • L'incident a mis en lumière les risques liés à la sécurité interne des plateformes en ligne, même les plus importantes.
  • Il a également souligné l'importance de la sensibilisation des employés aux techniques d'ingénierie sociale.

L'arnaque au faux support technique

Cette arnaque est très courante et cible principalement les particuliers, souvent les personnes âgées.

• Technique utilisée : Ingénierie sociale (pretexting et vishing).

• Déroulement :

  1. La victime reçoit un appel téléphonique d'une personne se présentant comme un technicien de Microsoft, de Google, ou d'un autre fournisseur de services informatiques.
  2. Le "technicien" informe la victime que son ordinateur est infecté par un virus ou présente un problème de sécurité.
  3. Il propose à la victime de résoudre le problème à distance, en lui demandant de télécharger un logiciel de prise de contrôle à distance (comme TeamViewer ou AnyDesk) ou de lui communiquer ses identifiants de connexion.
  4. Une fois qu'il a accès à l'ordinateur de la victime, le cybercriminel peut :
     • Installer un malware (ransomware, spyware, etc.).
     • Voler des informations personnelles (mots de passe, numéros de carte bancaire, etc.).
     • Demander un paiement pour la "réparation" (souvent en cartes cadeaux ou en cryptomonnaie).

• Impact :

  • Pertes financières pour les victimes (paiement du "support technique", vol de données bancaires, etc.).
  • Infection de l'ordinateur par des malwares.
  • Vol de données personnelles.

Le "CEO fraud" (fraude au président)

Cette arnaque cible les entreprises et peut entraîner des pertes financières considérables.

• Technique utilisée : Ingénierie sociale (whaling et spear phishing).

• Déroulement :

  1. Le cybercriminel se renseigne sur l'entreprise ciblée (organigramme, projets en cours, etc.).
  2. Il se fait passer pour le PDG ou un autre haut dirigeant de l'entreprise et contacte un employé (généralement du service financier) par email ou par téléphone.
  3. Il demande à l'employé d'effectuer un virement bancaire urgent et confidentiel vers un compte étranger, en invoquant une opération financière importante, un problème juridique, etc.
  4. Il insiste sur l'urgence et la confidentialité de la demande, pour empêcher l'employé de vérifier l'information auprès d'autres sources.

• Impact :

  • Pertes financières importantes pour l'entreprise (les montants des virements frauduleux peuvent atteindre plusieurs millions d'euros).
  • Atteinte à la réputation de l'entreprise.

L'affaire FACC (2016)

FACC, un équipementier aéronautique autrichien, a été victime d'une fraude au président qui lui a coûté plus de 50 millions d'euros.

• Déroulement :

  1. Une employée du service financier a reçu un email prétendument du PDG de FACC, lui demandant d'effectuer un virement urgent et confidentiel dans le cadre d'une acquisition.
  2. L'employée, trompée par l'apparence légitime de l'email et par le ton utilisé, a effectué le virement.
  3. L'argent a été transféré vers un compte bancaire contrôlé par les cybercriminels.

• Conséquences :

  • FACC a perdu plus de 50 millions d'euros.
  • Le PDG et le directeur financier de l'entreprise ont été licenciés.
  • L'affaire a mis en lumière les risques liés à la fraude au président et l'importance de la sensibilisation des employés.

Le piratage de Sony Pictures (2014)

Le piratage de Sony Pictures est une attaque complexe qui a combiné des techniques d'ingénierie sociale et des malwares.

• Techniques utilisées : Spear phishing et malwares.

• Déroulement (simplifié) :

  1. Les pirates ont envoyé des emails de spear phishing à des employés de Sony Pictures, contenant des malwares.
  2. Une fois les systèmes de Sony Pictures compromis, les pirates ont pu :
     • Voler des données confidentielles (films, scripts, emails, informations personnelles d'employés, etc.).
     • Publier ces données en ligne.
     • Détruire des données sur les serveurs de Sony Pictures.

• Impact :

  • Divulgation de données confidentielles et sensibles.
  • Dommages financiers importants pour Sony Pictures.
  • Atteinte à la réputation de l'entreprise.

Ces exemples montrent que l'ingénierie sociale peut être utilisée dans des contextes très variés, contre des particuliers comme contre des grandes entreprises, et qu'elle peut avoir des conséquences désastreuses. Ils soulignent l'importance de la sensibilisation et de la vigilance pour se protéger contre ces attaques.

Testez vos connaissances !

Qu'est-ce que l'ingénierie sociale ?

Une technique de piratage informatique utilisant des failles logicielles.

L'art de manipuler les individus pour obtenir des informations ou actions compromettantes.

Une méthode de sécurisation des réseaux informatiques.

Un type de logiciel malveillant.

Parmi les techniques suivantes, lesquelles sont des formes d'ingénierie sociale ? (Plusieurs réponses possibles)

Phishing

Spear phishing

Baiting

Pretexting

DDoS (Déni de service distribué)

Whaling

Qu'est-ce qui différencie le spear phishing du phishing classique ?

Le spear phishing utilise des SMS, tandis que le phishing utilise des emails.

Le spear phishing cible des individus spécifiques, tandis que le phishing est une attaque de masse.

Le spear phishing est plus facile à détecter que le phishing.

Il n'y a pas de différence, ce sont des synonymes.

Qu'est-ce que le whaling ?

Une technique de phishing qui utilise la voix.

Une forme de spear phishing ciblant les hauts dirigeants d'une entreprise.

Une technique d'appâtage utilisant des clés USB infectées.

Un synonyme de smishing.

Vrai ou Faux : Le smishing utilise des appels téléphoniques pour tromper les victimes.

Vrai

Faux

Le 'vishing' est une forme de phishing qui utilise :

Les emails

Les SMS

La voix (appels téléphoniques)

Les réseaux sociaux

Quelle est la principale caractéristique du baiting ?

Inventer un faux scénario pour tromper la victime.

Utiliser un appât (physique ou numérique) pour attirer la victime.

Envoyer des SMS frauduleux.

Cibler les hauts dirigeants.

Quel est le principe du pretexting ?

Appâter la victime avec une offre alléchante.

Se faire passer pour une personne de confiance ou inventer une situation d'urgence.

Envoyer des emails de phishing en masse.

Utiliser des clés USB infectées.

Quels mécanismes psychologiques les cybercriminels exploitent-ils dans les attaques d'ingénierie sociale ? (Plusieurs réponses possibles)

La confiance

L'autorité

L'urgence

La peur

La cupidité

L'empathie

La réciprocité

L'engagement et la cohérence

La gentillesse

Comment se protéger de l'ingénierie sociale? (Plusieurs réponses possibles)

Avoir un bon antivirus

Développer son esprit critique

Se méfier des offres trop alléchantes

Vérifier l'identité de ses interlocuteurs.

Ne jamais ouvrir les pièces jointes d'expéditeurs inconnus.

Vrai ou Faux : Les attaques d'ingénierie sociale sont en déclin grâce aux avancées technologiques en matière de sécurité.

Vrai

Faux