Fondamentaux Ingénierie sociale

L’ingénierie sociale est une méthode d’attaque utilisée par les cybercriminels pour parvenir à voler des données personnelles. Cette approche repose avant tout sur la psychologie humaine. Le pirate informatique mise sur la naïveté des utilisateurs d’Internet pour atteindre ses objectifs. Les victimes sont manipulées par des techniques d’attaques très bien construites, comme le hameçonnage. Les autorités et les institutions ont pour mission de prévenir et d’informer sur ces cyberattaques, afin d’en limiter l’impact.

Qu’est-ce que l’ingénierie sociale ?

L’ingénierie sociale, ou social engineering en anglais, est une tactique de piratage informatique destinée à soutirer les informations confidentielles de la victime. Pour ce faire, le pirate utilise différents moyens. Parmi les attaques d’ingénierie sociale, la technique du phishing est la plus connue. Le hacker envoie un mail à sa cible, contenant un lien ou un logiciel malveillant. Le contenu prend une forme officielle : cela peut être un message provenant de la banque, de la Poste, d’un service de livraison de colis, etc.

Le hacker reproduit à l’identique la charte graphique habituelle de ces organisations. Le mail stipule que l’utilisateur doit intervenir rapidement pour débloquer une situation ou retirer un lot gagné dans un concours. La victime est incitée à agir sous peine de perdre de l’argent, un colis, etc. Sous pression, la personne répond aux attentes du hacker et clique sur un lien frauduleux, prêt à communiquer ses données personnelles.

Quel est le rôle des attaques d’ingénierie sociale dans les cyberattaques ?

L’ingénierie sociale se montre particulièrement dangereuse dans les cyberattaques. Puisqu’elle est essentiellement basée sur l’humain, elle est difficilement prévisible. Les cyberattaques plus techniques sont détectables par des outils de sécurité informatique. 

Dans le cas de l’ingénierie sociale, l’humain est une cible facile. C’est donc par ce biais que les cyberattaquants peuvent infecter des réseaux informatiques personnels et professionnels. La manœuvre est finalement assez simple. L’utilisateur clique sur un lien malveillant, téléchargeant un ou plusieurs logiciels frauduleux. L’attaque se propage alors à l’ensemble du système informatique de l’entreprise.

L’ingénierie sociale, et donc l’erreur humaine, est une porte d’entrée commode pour les pirates. L’attaquant dispose ainsi d’un accès aux données sensibles de sa victime ou de l’entreprise ciblée.

Quelles sont les techniques couramment utilisées dans les attaques d’ingénierie sociale ?

Les techniques d’ingénierie sociale sont nombreuses pour cibler une victime. L’attaquant ne manque pas de ressources pour manipuler sa cible et parvenir à ses fins. Voici quelques méthodes courantes auxquelles font face les victimes.

Le hameçonnage : phishing, smishing et vishing pour voler des données ou de l’argent

Le phishing est la technique d’ingénierie sociale la plus utilisée par les cybercriminels. Si le hameçonnage par mail est le plus courant, vous pouvez désormais recevoir des SMS frauduleux. Il est alors question de smishing. Autre type d’attaque par téléphone, le vishing où le pirate se sert cette fois d’un appel ou d’un message vocal.

L’objectif principal des attaques d’hameçonnage est d’inciter les victimes à cliquer sur un lien ou à communiquer des informations sensibles.

Le baiting ou la technique de l’appât : une attaque directe sur le lieu de travail

La technique du baiting prend deux formes différentes. La première consiste à appâter une cible. L’attaquant lui fait miroiter un cadeau, une promotion sur des films en téléchargement, une offre commerciale impossible à refuser. En acceptant la promotion, les victimes s’inscrivent sur un site, entrent un mot de passe, des données personnelles, etc.

L’autre approche du baiting repose sur une méthode physique. L’attaquant a réussi à s’introduire dans un environnement professionnel et a laissé derrière lui une clé USB ou un disque dur externe à la vue de tous. Un employé le trouve et décide de le connecter à son ordinateur pour savoir à qui appartient ce dispositif. Des logiciels malveillants peuvent ainsi être téléchargés dans le système informatique des entreprises qui se retrouve infecté par un logiciel pirate.

Le spear phishing : l’usurpation d’identité pour donner confiance à la victime

Le spear phishing utilise la même technique que l’hameçonnage traditionnel, sauf qu’il s’agit ici d’envoyer un mail frauduleux à un employé d’une entreprise ciblée. La différence réside dans l’expéditeur du message. L’attaquant se fait passer par une personne connue de la victime. Le mail reprend l’identité d’un collaborateur, d’un responsable de service, du directeur de l’entreprise, etc. L’utilisateur a donc naturellement confiance dans l’expéditeur et n’a aucune raison de se méfier. 

Le tailgating : la technique d’attaque par compromission physique

Le tailgating est une autre attaque physique. L’attaquant se fait passer pour un livreur ou un réparateur. L’employé le laisse donc entrer dans l’entreprise. Le pirate peut ainsi faire ses recherches, explorer, voler des informations ou étudier la sécurité pour élaborer un autre plan d’action. Il peut également introduire un logiciel malveillant en accédant à un ordinateur non verrouillé et connecté au réseau de l’entreprise.

Le honeytrap, où comment jouer avec les sentiments de la victime

Cette attaque d’ingénierie sociale exploite la détresse et la solitude des utilisateurs de sites de rencontre. Elle peut aussi intervenir sur les réseaux sociaux. L’attaquant étudie les profils sur les groupes et cherche une cible célibataire, désireuse de faire une rencontre. Le pirate ou brouteur se fait passer par un candidat potentiel à l’aide d’un faux profil. Il tisse un contact avec sa victime et établit une relation de confiance. Une fois la relation établie, il peut passer à l’attaque en lui soutirant de l’argent, des informations personnelles, etc.

Comment les cybercriminels utilisent-ils la manipulation psychologique dans l’ingénierie sociale ?

Les cybercriminels sont des maîtres de la manipulation psychologique. Ils exploitent les sentiments humains, tels que la peur, l’inquiétude, l’envie ou encore le plaisir. Ils disposent d’outils et savent se montrer persuasifs pour arriver à leurs fins.

La force de persuasion de l’attaquant indispensable en ingénierie sociale

La première étape consiste à instaurer une relation de confiance. Le cyberattaquant se fait soit passer pour quelqu’un de connu par la cible, soit pour un représentant d’une institution. Il peut donc jouer le rôle d’un conseiller bancaire, d’un gendarme ou d’un inspecteur des impôts. Aujourd’hui, un appel frauduleux peut reprendre le même numéro de téléphone que votre agence bancaire grâce aux outils des cybercriminels.

Les messages frauduleux, par mail ou par SMS, reprennent souvent le logo exact et la charte graphique d’une marque. Un faux site Web est identique visuellement à celui qu’il copie. Tout est mis en œuvre pour que les victimes ne perçoivent pas de différence et succombe à l’escroquerie.

La manipulation psychologique des cibles du cyberattaquant

L’attaquant installe ensuite des scénarios d’attaques. Il peut s’agir de : 

  • faire croire à la compromission du compte bancaire de l’utilisateur, nécessitant la création d’un nouveau compte pour réaliser le transfert de l’argent de la victime ;
  • évoquer des amendes non réglées ;
  • faire croire à un gain exceptionnel ou un trop perçu des impôts qu’il faut récupérer rapidement, sinon quoi ce sera perdu, etc.

Dans tous les cas, les cibles sont poussées à intervenir dans les plus brefs délais. Sous l’effet de la pression et de l’urgence, la crainte de perdre de l’argent ou de passer à côté d’une bonne affaire, les victimes n’ont pas le recul nécessaire pour éviter l’arnaque. L’attaque par ingénierie sociale consiste à insuffler la peur ou un sentiment d’urgence auprès des cibles visées.

Comment les entreprises ou les individus peuvent-ils être impactés par ces attaques ?

L’objectif pour un cyberattaquant est de soutirer des données sensibles et personnelles. Les employés d’une entreprise, victimes d’une attaque par ingénierie sociale, mettent en péril le système informatique de leur société. En téléchargeant un logiciel via un mail frauduleux, le malware ou maliciel entre directement dans le réseau. Il compromet ensuite l’ensemble de l’infrastructure. Un malware peut ainsi mener à un vol de données massif, mais il peut également mettre à l’arrêt l’activité d’une entreprise.

Dans le cas d’attaques personnelles, les victimes livrent des informations clés. Les attaquants ont alors accès à leur compte bancaire ou au numéro de carte de crédit, et peuvent réaliser des opérations bancaires et virements sur d’autres comptes. Toutes les données volées peuvent être revendues sur le Dark Web et être utilisées à des fins criminelles.

Comment reconnaître une tentative d’attaque d’ingénierie sociale ?

La première étape pour reconnaître une tentative d’ingénierie sociale est de vérifier l’URL du lien proposé. Pour cela, rien de plus simple, il suffit de poser votre souris dessus sans cliquer. L’adresse s’affiche et vous pouvez constater qu’elle ne mentionne pas le nom de la marque ou de l’institution. L’absence de cadenas à côté de l’adresse du site web peut également indiquer un site non sécurisé et donc potentiellement dangereux. 

Dans le cas d’appels téléphoniques frauduleux, interrogez votre interlocuteur sur son nom, son poste, son agence, l’entreprise, l’adresse de celle-ci, etc. Vous pourrez ensuite vérifier en rappelant l’entreprise concernée.

Toutes les institutions bancaires ou étatiques le rappellent constamment : aucune information personnelle n’est demandée par téléphone ou par mail. Dès qu’il s’agit de communiquer vos données (bancaire, numéro de sécurité sociale, etc.), méfiez-vous. 

Comment réagir efficacement en cas de suspicion d’attaque ?

En cas de suspicion d’attaque, ne donnez pas suite à l’appel ou message frauduleux, raccrochez. Vous avez cliqué sur un lien malveillant ? Changez vos mots de passe. Vous pouvez également contacter votre agence bancaire pour prévenir de l’usage contre votre gré de votre compte bancaire. Réaliser ensuite le signalement d’une tentative de phishing auprès des autorités.

N’oubliez pas de réaliser vos mises à jour de sécurité. Elles vous aident à vous protéger des intrusions par malware ou virus dans votre système informatique.

Comment prévenir les attaques par ingénierie sociale ?

Pour éviter les attaques d’ingénierie sociale, l’information et la prévention restent les meilleures solutions pour limiter les risques. Les entreprises doivent former leurs employés en leur expliquant notamment toutes les techniques utilisées par les cyberattaquants. La sensibilisation et la formation à la sécurité informatique sur son lieu de travail est essentielle pour protéger l’ensemble des données sensibles d’une organisation et, par extension, apprendre à se protéger soi-même.

Les services de cybersécurité doivent, de leur côté, répondre aux risques de ces attaques, pouvant survenir à tout instant. Des politiques de sécurité bien conduites, des outils de détection et un paramétrage d’accès aux données sont essentiels pour garantir l’intégrité des informations.

À la Cyber Management School, nos cursus de bachelor et master en cyberdéfense dotent nos étudiants des compétences nécessaires pour reconnaître une attaque d’ingénierie sociale. Mieux formés sur ces enjeux humains, nos futurs experts en cybersécurité peuvent apporter des solutions et accompagner employés et entreprises dans la prévention.