L'ingénierie sociale est une pratique frauduleuse qui consiste à manipuler une personne pour l'inciter à partager et divulguer des informations personnelles, secrètes et sensibles. Cette attaque cybercriminelle est dangereuse à bien des égards puisqu'elle peut compromettre l'intégrité de la victime mais également ses informations confidentielles. Avec le développement d’Internet et des réseaux sociaux, cette pratique a tendance à devenir de plus en plus courante.

>> Téléchargement : Comment allier croissance de l'entreprise et respect de la  vie privée ?  

Voilà pourquoi il est aujourd'hui nécessaire d'accentuer la sensibilisation auprès du grand public.

 

L'ingénierie sociale : présentation

L'ingénierie sociale est un principe connu depuis le 19ème siècle, qui revient aujourd'hui sur le devant de la scène alors que la cybersécurité et la sécurité des informations sont des enjeux phares. En effet, cette technique de manipulation largement répandue chez les cybercriminels se fonde sur la capacité qu'a l'être humain de faire confiance à autrui et de baisser sa garde. Le but de la manœuvre est de récupérer des informations personnelles et corporatives pour commettre des délits tels que l'accès aux réseaux d'une entreprise ou aux comptes bancaires d'une personne. Il est difficile de se défendre face à ce phénomène car il possède un aspect imprévisible important. Il est également impossible de deviner à l'avance qui tombera dans le piège ou non.

 

Comment fonctionne l'ingénierie sociale ?

L'ingénierie sociale ne nécessite pas de compétences particulières de la part des cybercriminels. La technique se déroule très souvent de manière spontanée et naturelle avec un mail, un appel téléphonique ou un texto provenant d'apparence d'une personne proche. C'est là tout le problème de cette manipulation qui exploite la psychologie et les biais cognitifs de l'être humain. Le ton est souvent pressant pour prendre la victime au dépourvu et ne pas lui laisser le temps de réfléchir. Le cybercriminel peut notamment se faire passer pour un ami dans le besoin, demandant une certaine somme d'argent en urgence. Dans d'autres situations, ce dernier peut demander des informations de carte de crédit pour que la personne concernée puisse réclamer un prix. Le phénomène de l'ingénierie sociale a eu tendance à se développer davantage avec l'avènement des réseaux sociaux et la facilité d'entrer en contact avec des inconnus et de créer de faux profils.

 

Quelles sont les techniques utilisées par les cybercriminels ?

L'ingénierie sociale a recours à différentes techniques pour manipuler ses victimes. Les principales utilisées lors de ces attaques sont l'hameçonnage, le harponnage, l'appâtage, l'attaque au point d’eau, l'hameçonnage vocal, le prétexte, la contrepartie, le maliciel et le talonnage.

Comment allier croissance de l'entreprise et respect de la vie privée ?

Téléchargez cet e-book gratuit et découvrez comment développer une relation de confiance avec vos clients tout en maximisant vos performances marketing.

L'hameçonnage

La technique d'hameçonnage (ou phishing) utilise les mails, sites web et textos pour tromper la victime et lui extorquer des informations personnelles et confidentielles. Cette technique est très souvent efficace car les sites web et mails en question semblent familiers et de confiance pour la personne visée. Celle-ci peut alors facilement cliquer sur un lien sans se douter qu'il s’agit d'une arnaque et divulguer ainsi des informations compromettantes (mots de passe, coordonnées bancaires).

 

Le harponnage

Contrairement à l'hameçonnage, le harponnage est un cybercrime qui a recours uniquement aux courriers électroniques pour cibler les attaques sur des individus ou entreprises bien spécifiques. Une tactique est alors mise en place pour récolter les informations et envoyer des mails qui semblent totalement dignes de confiance. Ces spams sont généralement filtrés par les serveurs de messagerie mais certains mails dangereux peuvent franchir la barrière.

 

L'appâtage

L'appâtage est une autre technique utilisée fréquemment par les cybercriminels. Celle-ci se fonde sur la curiosité et l'envie de chacun de remporter une récompense. En effet, cela peut notamment être la promesse d'un gain ou d'un cadeau en échange d'une action de la personne visée. La personne malveillante peut par exemple demander à la victime de brancher une clé USB à son ordinateur ou de télécharger une pièce jointe et l'ordinateur se voit ensuite infecté par un logiciel qui peut, entre autres, récupérer des données d'accès ou envoyer de faux mails. Enfin, cela peut donner au pirate l'occasion d’avoir accès aux activités en ligne et hors-ligne de la personne ainsi qu'à ses fichiers.

 

L'attaque par point d'eau

L'attaque par point d'eau (de son nom anglais “watering hole”) vise un groupe d'utilisateurs précis et les sites internet qu'ils fréquentent. Ce type d'attaque implique de rechercher ensuite une faille de sécurité dans l'un de ces sites, pour l'infecter avec un maliciel. Cette technique d'ingénierie sociale est particulièrement dangereuse car difficile à détecter.

 

L'hameçonnage vocal

Cette technique également appelée “Vishing” utilise un autre procédé pour traquer sa victime. Effectivement, il s'agit là d'usurper le numéro de téléphone d'une personne et d'utiliser sa messagerie vocale. L'idée est alors d'inventer de toutes pièces une histoire pour lui faire peur et lui faire croire qu'elle doit agir rapidement, sous peine d'être en danger. L'hameçonnage vocal s'appuie sur la crainte et la panique que chacun pourrait ressentir dans ce genre de situation.

L'hameçonnage par SMS (en anglais “smishing”) comporte quant à lui un numéro de téléphone et/ou un lien et utilise l'urgence de la situation pour faire tomber la victime ciblée dans le piège.

 

Le prétexte

Cette technique d'ingénierie sociale (en anglais « pretexting ») a recours à l'usurpation d'identité et à la création d'un scénario défini à l'avance pour amener la personne à accorder sa confiance et partager des informations confidentielles. Par exemple, si la victime a acheté un produit sur un site internet, le cybercriminel peut s'en rendre compte et se faire passer pour une personne du service client qui a besoin de ses informations bancaires pour valider la commande.

 

La contrepartie

Cette arnaque s'appuie sur un échange d'informations pour gagner la confiance de la victime et la faire agir au plus vite. Le cybercriminel offre ici un service à la personne pour obtenir en échange un bénéfice. Il peut notamment feindre de venir en aide à des personnes ayant un problème technique informatique tout en leur demandant de désactiver leur logiciel antivirus ou de partager leurs données d'accès à leur espace personnel.

 

Le maliciel

La technique du maliciel (ou malware) est utilisée fréquemment pour obliger la victime à payer une somme d'argent puisqu'elle est persuadée que son ordinateur a été infecté par un virus et souhaite s'en débarrasser au plus vite. Cette manière de procéder peut aller du vol des informations bancaires de la victime à l'installation d'un véritable maliciel sur son ordinateur.

 

Le talonnage

La dernière technique de l'ingénierie sociale mise une nouvelle fois sur la confiance. Cependant, cette fois-ci, c'est physiquement que le cybercriminel envisage de rentrer dans un bâtiment et/ou une zone sécurisée. Pour cela, il peut suivre la personne et profiter d'une porte ouverte pour rentrer ou encore prétexter d'avoir oublié son badge d'accès.

 

L'ingénierie sociale touche au quotidien de chacun

Les techniques de l'ingénierie sociale touchent aux gestes du quotidien, qu'il s'agisse d'envoyer un mail ou un texto ou encore d'effectuer des appels téléphoniques. Ces réflexes appartiennent à une certaine routine et la vigilance peut alors être moins élevée. Voilà pourquoi il est indispensable de repérer les signes annonciateurs de l'arnaque et de l'éviter avant qu'il ne soit trop tard.

 

Pourquoi l'ingénierie sociale est dangereuse et comment se protéger efficacement ?

L'ingénierie sociale est particulièrement dangereuse à l'heure où le numérique prend de plus en plus de place dans la vie de chacun. Celle-ci a recours à des techniques insidieuses qui peuvent atteindre tout le monde, aussi bien dans la sphère privée que professionnelle. Dans un système de sécurité, le maillon faible reste généralement l'humain et son côté imprévisible. En effet, il est plus facile à duper qu'une machine. Dans la plupart des cas, les victimes se rendent compte trop tard de la manipulation, alors que le cybercriminel a déjà récupéré les informations désirées. Ces attaques qui proviennent bien souvent de sources en apparence dignes de confiance s'avèrent être difficiles à repérer.

 

Quels sont les risques pour les victimes ?

Les cybercriminels qui utilisent comme moyen de pression l'ingénierie informatique jouent sur le manque de connaissances d'un utilisateur lambda. En effet, nombreuses sont les personnes qui ne prennent pas conscience de l'importance de protéger leurs données personnelles.

Suite à une attaque, les risques pour les victimes sont multiples :

  • Les pertes financières,
  • La perte d'estime et de confiance en soi,
  • La mise à mal de la réputation auprès des proches et/ou des collègues,
  • La mise en danger de la bonne santé de l'entreprise où travaille la victime,
  • La fraude à l'identité,
  • L'extorsion d’argent et d'informations sensibles.

 

Les attaques d'ingénierie sociale qui ont marqué ces dernières années

Une attaque d'ingénierie peut avoir des conséquences désastreuses sur une personne mais aussi de graves retombées financières lorsqu'elle vise une entreprise.

 

La cyberattaque de 2014 chez Sony Pictures

En 2014, un chercheur en sécurité a détecté que les réseaux informatiques de Sony Pictures Entertainment avaient été pénétrés suite à des e-mails de phishing envoyés entre autres au PDG de l'entreprise, Michael Lynton. Plus d'un mois après le cybercrime, les pirates en ligne ont publié un lien vers une collection de documents volés, des dossiers financiers et médicaux ainsi que des clés privées des serveurs. Le gouvernement nord-coréen a ensuite été reconnu coupable du piratage en question.

 

Le piratage des mails du parti démocrate des États-Unis en 2016

En 2016, douze agents russes ont été accusés d'avoir piraté informatiquement le parti démocrate et d'avoir publié de nombreux e-mails de responsables politiques durant la campagne présidentielle aux États-Unis.

 

Le piratage de la cryptomonnaie Ethereum Classic en 2017

En 2017, des cybercriminels se sont fait passer pour le propriétaire de Classic Ether Wallet et ont réussi à extorquer 32 millions de dollars en cryptomonnaie. Lors de ce piratage de grande ampleur, les criminels en ligne ont agi discrètement pour ne pas laisser de traces.

 

Comment se prémunir de ces attaques ?

Tout le monde peut être victime de l'ingénierie sociale et de ses attaques à répétition. Certaines personnes sont tout de même plus vulnérables que d'autres. C'est le cas notamment des personnes âgées, qui sont moins au fait des dernières technologies que la jeune génération. Pour tous, il est indispensable d'accentuer la prévention et la formation des risques liés à l'ingénierie sociale et de rester vigilant (sources des e-mails, des appels et SMS ou encore profils inconnus sur les réseaux sociaux).

 

Au-delà de la prévention et de la formation aux risques liés à l'ingénierie sociale en ligne, il est recommandé de mettre en place des outils informatiques pour créer un barrage face aux attaques en ligne. En effet, cela diminue considérablement le risque d'infection par des programmes malveillants.

 

Installer un logiciel antivirus de confiance

Le logiciel antivirus est une protection de confiance permettant à son utilisateur de reconnaître et de détecter immédiatement les messages et sites internet suspects. C'est une manière de gagner du temps dans la vérification des sources et de la fiabilité des données. Le logiciel antivirus permet également de repérer les attaques de phishing avant qu'elles ne puissent nuire.

 

Modifier les paramètres de gestion des spams

Modifier les paramètres de la messagerie peut aider considérablement à renforcer les filtres antispam et éviter de recevoir des e-mails inappropriés et indésirables dans sa boîte de réception. La marche à suivre diffère selon la messagerie utilisée.

 

Changer régulièrement les mots de passe internet et vérifier les sources

Pour lutter contre l'ingénierie sociale au quotidien, cela passe par des gestes simples comme changer régulièrement ses identifiants de connexion afin de brouiller les pistes des cybercriminels et augmenter la sécurité par la même occasion. Vérifier les sources d'un e-mail est également une forme de prudence recommandée avant d'ouvrir un courrier.

 

Les attaques d'ingénierie sociale font partie des attaques de cybersécurité les plus répandues et efficaces dans le milieu informatique. Il est aujourd'hui devenu nécessaire de prendre connaissance de l'existence de ce type de manipulation et d'agir en conséquence pour déjouer les ruses employées par les cybercriminels. La formation, la prévention et l'intuition sont autant d'armes pour lutter contre l'ingénierie sociale. Enfin, il est également indispensable de communiquer largement sur le sujet autour de soi, qu'il s'agisse de clients, de connaissances ou de l'environnement proche. C'est le meilleur moyen pour réduire le nombre de victimes liées à l'ingénierie sociale !

 

Pour aller plus loin, téléchargez cet e-book gratuit et découvrez comment développer une relation de confiance avec vos clients tout en maximisant vos performances marketing.Comment allier croissance de l'entreprise et respect de la vie privée ?

Publication originale le Jul 18, 2022 3:14:00 AM, mise à jour le 18 juillet 2022

Sujet(s):

Cybersécurité