Qu’est ce que l’Ingénierie Sociale ou Social Engineering ?

Qu’est ce que l’Ingénierie Sociale ou Social Engineering ?

L’ingénierie sociale est une forme de piratage qui tire parti de la nature humaine pour obtenir des informations confidentielles. Cette technique de manipulation psychologique des émotions humaines est de plus en plus utilisée par les cybercriminels.

Alors que faire pour se protéger contre les cyberattaques utilisant l’ingénierie sociale ? Découvrez dans cet article tout ce que vous devez savoir sur cette technique de piratage.

Quelle définition décrit le mieux l’ingénierie sociale ?

L’ingénierie sociale est une technique de manipulation qui exploite l’erreur et les émotions humaines pour obtenir des informations privées ; ainsi que des accès ou des objets de valeur. Dans le domaine de la cybercriminalité, ces escroqueries de « piratage humain » ont tendance à inciter des utilisateurs peu méfiants à exposer des données, à propager des infections par des logiciels malveillants ou à donner accès à des systèmes à accès restreint. Les attaques peuvent avoir lieu en ligne, en personne ou par le biais d’autres interactions.

Les escroqueries basées sur l’ingénierie sociale s’appuient sur la façon dont les gens pensent et agissent. En tant que telles, les attaques par ingénierie sociale sont particulièrement utiles pour manipuler le comportement d’un utilisateur. Lorsqu’un pirate comprend ce qui motive les actions d’un utilisateur, il peut le tromper et le manipuler efficacement.

En outre, les pirates tentent d’exploiter le manque de connaissances d’un utilisateur. Grâce à la rapidité de la technologie, de nombreux consommateurs et employés ne sont pas conscients de certaines menaces telles que les téléchargements à partir d’un ordinateur. Les utilisateurs peuvent également ne pas réaliser la valeur totale des données personnelles ; comme leur numéro de téléphone. Par conséquent, de nombreux utilisateurs ne savent pas comment se protéger au mieux, eux et leurs informations.

En général, les attaquants d’ingénierie sociale ont un des deux objectifs suivants :

  • Le sabotage : Perturber ou corrompre des données pour causer des dommages ou des désagréments.
  • Le vol : Obtenir des objets de valeur comme des informations, des accès ou de l’argent.

Cette définition de l’ingénierie sociale peut être approfondie si l’on sait exactement comment elle fonctionne.

Qu'est ce que l'Ingénierie Sociale ou Social Engineering

Quelle est l’utilité de l’ingénierie sociale ?

La plupart des attaques d’ingénierie sociale reposent sur une communication réelle entre les attaquants et les victimes. L’attaquant a tendance à inciter l’utilisateur à se compromettre ; plutôt que d’utiliser des méthodes de force brute pour accéder à vos données.

Le cycle d’attaque donne à ces criminels un processus fiable pour vous tromper. Les étapes des différentes techniques d’attaques utilisant l’ingénierie sociale sont généralement les suivantes :

  • Se préparer en recueillant des informations générales sur vous ou sur un groupe plus important dont vous faites partie.
  • Infiltrer en établissant une relation ou en initiant une interaction, en commençant par établir la confiance.
  • Exploiter la victime une fois que la confiance et une faiblesse sont établies pour faire progresser l’attaque.
  • Se désengager une fois que l’utilisateur a effectué l’action souhaitée.

Ce processus peut se dérouler dans un seul e-mail ou sur plusieurs mois dans une série de conversations sur les médias sociaux. Il peut même s’agir d’une interaction en face à face. Mais il se conclut finalement par une action que vous entreprenez ; comme partager vos informations ou vous exposer à un logiciel malveillant.

Il est important de se méfier de l’ingénierie sociale comme moyen de confusion. De nombreux employés et consommateurs ne réalisent pas que quelques informations seulement peuvent permettre aux pirates d’accéder à plusieurs réseaux et comptes.

En se faisant passer pour des utilisateurs légitimes auprès du personnel d’assistance informatique, ils s’emparent de vos données privées ; comme votre nom, votre date de naissance ou votre adresse. À partir de là, il leur est facile de réinitialiser les mots de passe et d’obtenir un accès presque illimité. Ils peuvent voler de l’argent, diffuser des logiciels malveillants d’ingénierie sociale ; et bien plus encore.

Caractéristiques des attaques d’ingénierie sociale

Les attaques d’ingénierie sociale en ligne sont centrées sur l’utilisation de la persuasion et de la confiance par l’attaquant. Lorsque vous êtes exposé à ces tactiques, vous êtes plus susceptible de faire des choses que vous ne feriez pas autrement.

Ingénierie sociale et recherche d’émotions exacerbées

La manipulation émotionnelle donne aux attaquants le dessus dans n’importe quelle interaction. Vous êtes beaucoup plus susceptible de prendre des mesures irrationnelles ou risquées lorsque vous êtes dans un état émotionnel exacerbé. Les émotions humaines suivantes sont toutes utilisées à parts égales pour vous convaincre.

  • Peur
  • Excitation
  • Curiosité
  • Colère
  • Culpabilité
  • Tristesse

Tromperie sociale et urgence

Les opportunités ou les demandes urgentes sont un autre outil fiable dans l’arsenal d’un cybercriminel. Vous pouvez être incité à vous compromettre sous le couvert d’un problème grave qui nécessite une attention immédiate. Ou bien, vous pouvez être exposé à un prix ou à une récompense qui risque de disparaître si vous n’agissez pas rapidement. L’une ou l’autre approche l’emporte sur votre esprit critique. Ne céder pas au sentiment d’urgence.

Ingénierie sociale et confiance

La crédibilité est inestimable et essentielle dans une attaque d’ingénierie sociale. Comme l’attaquant vous ment en fin de compte, la confiance joue un rôle important ici. Il a fait suffisamment de recherches sur sa victime pour élaborer un récit facile à croire et peu susceptible d’éveiller les soupçons.

Il existe quelques exceptions à ces caractéristiques. Dans certains cas, les escrocs utilisent des méthodes d’ingénierie sociale plus simples pour accéder à un réseau ou à un ordinateur. Par exemple, un pirate peut fréquenter l’aire de restauration publique d’un grand immeuble de bureaux et « épouiller » les utilisateurs travaillant sur leurs tablettes ou ordinateurs portables. Ce faisant, il peut obtenir un grand nombre de mots de passe et de noms d’utilisateur. Le tout sans envoyer de courriel ni écrire une ligne de code viral.

Besoin d’un antivirus professionnel ?
Un devis ?

Quelles méthodes font partie de l’ingénierie sociale ?

Presque tous les types d’attaques de cybersécurité contiennent une forme d’ingénierie sociale. Par exemple, les escroqueries classiques par courrier électronique et par virus sont chargées de connotations sociales.

L’ingénierie sociale peut vous toucher numériquement par le biais d’attaques mobiles en plus des appareils de bureau. Cependant, vous pouvez tout aussi bien être confronté à une menace en personne. Ces attaques peuvent se chevaucher et se superposer pour créer une escroquerie.

Voici quelques exemples de social engineering courants utilisés par les escrocs en ingénierie sociale :

Les attaques d’ingénierie sociale par action de hameçonnage

Les auteurs d’attaques par hameçonnage se font passer pour une institution ou un individu de confiance dans le but de vous persuader de divulguer des données personnelles ; et d’autres objets de valeur.

Les attaques par hameçonnage sont ciblées de deux manières :

  • Le spam phishing, ou courriel d’hameçonnage de masse, est une attaque généralisée visant de nombreux utilisateurs. Ces attaques par courriel d’hameçonnage ne sont pas personnalisées et tentent d’attraper toute personne sans méfiance. Le message peut par exemple imité celui des forces de l’ordre.
  • Le spear phishing et, par extension, le whaling, utilisent des informations personnalisées pour cibler des utilisateurs spécifiques. Les attaques de whaling visent spécifiquement des cibles de grande valeur comme les célébrités, les fonctions de directeurs, les cadres supérieurs et les hauts fonctionnaires. 

Qu’il s’agisse d’une communication directe via un appel téléphonique ou d’un faux formulaire sur un site web, tout ce que vous partagez va directement dans la poche de l’escroc. Vous pouvez même vous faire avoir en téléchargeant un logiciel malveillant contenant la prochaine étape de l’attaque de phishing. Les méthodes utilisées pour le hameçonnage ont chacune un mode de livraison unique ; notamment, mais pas exclusivement.

Les attaques d’ingénierie sociale par appâtage

L’appâtage abuse de votre curiosité naturelle pour vous inciter à vous exposer à un attaquant. En général, la possibilité d’obtenir quelque chose de gratuit ou d’exclusif est la manipulation utilisée pour vous tromper. L’attaque par appâtage consiste généralement à vous infecter avec un malware.

Les méthodes populaires de fraude par appâtage peuvent inclure :

  • Des clés USB laissées dans des espaces publics, comme les bibliothèques et les parkings.
  • Des pièces jointes à des courriels d’hameçonnage contenant des détails sur une offre gratuite ou un logiciel gratuit frauduleux.

Les attaques d’ingénierie sociale par intrusion physique

Les violations physiques impliquent que les attaquants se présentent en personne, se faisant passer pour une personne légitime afin d’accéder à des zones ou des informations non autorisées.

Les attaques d’Ingénierie sociale physique de cette nature sont plus courantes dans les environnements d’entreprise, les gouvernements ou d’autres organisations. Les attaquants peuvent se faire passer pour un représentant d’un fournisseur connu et fiable de l’entreprise. Certains attaquants peuvent même être des employés récemment licenciés qui ont une dent contre leur ancien employeur.

Ils rendent leur identité obscure mais suffisamment crédible pour éviter les questions. Cela demande un peu de recherche de la part de l’attaquant et comporte un risque élevé. Par conséquent, si quelqu’un tente cette méthode, il a clairement identifié le potentiel d’une récompense de grande valeur en cas de succès.

Les attaques d’ingénierie sociale par prétexte

Le « pretexting » utilise une identité trompeuse comme « prétexte » pour établir la confiance. Par exemple en se faisant passer directement pour un fournisseur ou un employé de l’établissement. Cette approche oblige l’attaquant à interagir avec vous de manière plus proactive. L’exploitation suit une fois qu’il vous a convaincu de sa légitimité.

Les attaques d’ingénierie sociale de suivi d’accès

Le « tailgating », ou « piggybacking », consiste à suivre un membre du personnel autorisé dans une zone à accès restreint. Les agresseurs peuvent jouer sur la courtoisie sociale pour vous amener à leur tenir la porte ; ou vous convaincre qu’ils sont également autorisés à se trouver dans la zone. Le prétexte peut également jouer un rôle dans ce cas.

Les attaques d’ingénierie sociale de type quid pro quo

Quid pro quo, dans le contexte du phishing, signifie un échange de vos informations personnelles contre une récompense ou une compensation. Les cadeaux ou les offres de participation à des études de recherche peuvent vous exposer à ce type d’attaque imaginées par des pirates informatique.

Ces tactiques d’ingénierie sociale consistent à vous enthousiasmer pour quelque chose de précieux qui ne demande qu’un faible investissement de votre part. Cependant, l’attaquant s’empare tout simplement de vos données sensibles sans aucune récompense pour vous.

Attaques d’ingénierie sociale par usurpation de DNS et empoisonnement du cache

L’usurpation de DNS manipule votre navigateur et vos serveurs Web pour les diriger vers des sites web malveillants lorsque vous saisissez une URL légitime. Une fois infecté par cet exploit, la redirection se poursuit tant que les données de routage inexactes ne sont pas effacées des systèmes concernés.

Les attaques par empoisonnement du cache DNS infectent spécifiquement votre appareil avec des instructions de routage pour l’URL légitime ou plusieurs URL pour se connecter à des sites web frauduleux.

Attaques d’ingénierie sociale par scareware

Un scareware est une forme de logiciel malveillant utilisé pour vous effrayer et vous inciter à agir. Ces logiciels malveillants trompeurs utilisent des avertissements alarmants qui signalent de fausses infections par des logiciels malveillants ou affirment que l’un de vos comptes a été compromis.

En conséquence, les scarewares vous poussent à acheter des logiciels de cybersécurité frauduleux ou à divulguer des informations privées ; comme vos coordonnées bancaires, vos identifiants de connexion, numéros de carte de crédit, numéro de sécurité sociale, etc.

Attaques d’ingénierie sociale de type « Watering Hole »

Les attaques par trou d’eau, watering hole, infectent des pages web populaires avec des logiciels malveillants afin de toucher de nombreux utilisateurs à la fois. Leur mise en place nécessite une planification minutieuse de la part de l’attaquant pour trouver les faiblesses de sites spécifiques. Ils recherchent des vulnérabilités existantes qui ne sont pas connues et qui n’ont pas été corrigées ; ces faiblesses sont considérées comme des exploits du jour zéro.

D’autres fois, ils peuvent constater qu’un site n’a pas mis à jour son infrastructure pour corriger les problèmes connus. Les propriétaires de sites Web peuvent choisir de retarder les mises à jour logicielles pour conserver des versions de logiciels qu’ils savent stables. Ils changeront de version une fois que la nouvelle version aura fait ses preuves en matière de stabilité du système. Les pirates abusent de ce comportement pour cibler les vulnérabilités récemment corrigées.

Méthodes d’ingénierie sociale inhabituelles

Dans certains cas, les cybercriminels ont utilisé des méthodes complexes pour mener à bien leurs cyberattaques, notamment :

  • Hameçonnage par télécopie : Lorsque les clients d’une banque ont reçu un faux message ou courriel prétendant provenir de la banque et demandant au client de confirmer ses codes d’accès. La méthode de confirmation ne passait pas par les voies habituelles du courriel et de l’internet. Au lieu de cela, le client était invité à imprimer le formulaire contenu dans l’e-mail, puis à remplir ses coordonnées et à faxer le formulaire au numéro de téléphone du cybercriminel.
  • Distribution traditionnelle de logiciels malveillants par courrier : Au Japon, des cybercriminels ont utilisé un service de livraison à domicile pour distribuer des CD infectés par un logiciel espion de type Trojan. Les disques ont été livrés aux clients d’une banque japonaise. Les adresses des clients avaient été préalablement volées dans la base de données de la banque.

Méthodes d'ingénierie sociale

Comment repérer les tentatives d’attaques d’ingénierie sociale ?

Pour se défendre contre l’ingénierie sociale, il faut être conscient de soi. Ralentissez et réfléchissez toujours avant de faire quoi que ce soit ou de répondre. Les attaquants s’attendent à ce que vous agissiez avant de considérer les risques ; ce qui signifie que vous devez faire le contraire. Pour vous aider, voici quelques questions à vous poser si vous soupçonnez une attaque :

Exemples de questions à se poser pour repérer ce type d’escroquerie

Mes émotions sont-elles exacerbées ? Lorsque vous êtes particulièrement curieux, craintif ou excité, vous êtes moins susceptible d’évaluer les conséquences de vos actions. En fait, vous ne considérerez probablement pas la légitimité de la situation qui vous est présentée. Considérez ceci comme un drapeau rouge si votre état émotionnel est élevé.

  • Ce message provient-il d’un expéditeur légitime ?
  • Mon ami m’a-t-il réellement envoyé ce message ?
  • Le site web sur lequel je me trouve présente-t-il des détails étranges ?
  • Cette offre semble-t-elle trop belle pour être vraie ?
  • Des pièces jointes ou des liens suspects ?
  • Cette personne peut-elle prouver son identité ? 

Comment lutter contre l’ingénierie sociale ?

Au-delà de la détection d’une attaque, vous pouvez également être proactif en ce qui concerne votre vie privée et votre sécurité. Savoir comment prévenir les attaques par ingénierie sociale est incroyablement important pour tous les utilisateurs de mobiles et d’ordinateurs.

Voici quelques moyens importants de se protéger contre tous les types de cyberattaques et pratiques de manipulations :

Communication sécurisée et habitudes de gestion des comptes

La communication en ligne est un domaine dans lequel vous êtes particulièrement vulnérable. 

  • Ne cliquez jamais sur les liens contenus dans les e-mails de votre boîte de réception ou les messages texte.
  • Utilisez l’authentification multifactorielle ou authentification forte.
  • Utilisez des mots de passe forts (et un gestionnaire de mots de passe).
  • Évitez de partager les noms de vos écoles, de vos animaux domestiques, de votre lieu de naissance ou d’autres détails personnels.
  • Soyez très prudent lorsque vous liez des amitiés uniquement en ligne. 

Habitudes d’utilisation sûre des réseaux

Les réseaux en ligne compromis peuvent être un autre point de vulnérabilité exploité pour la recherche d’antécédents. Pour éviter les risques d’infection et que vos données sensibles soient utilisées contre vous, prenez des mesures de protection pour tout réseau auquel vous êtes connecté.

  • Ne laissez jamais des inconnus se connecter à votre réseau Wi-Fi principal.
  • Utilisez un VPN.
  • Sécurisez tous les appareils et services connectés au réseau. 

Habitudes d’utilisation sûre des appareils

La protection de vos appareils est tout aussi importante que tous vos autres comportements numériques. Protégez votre téléphone portable, votre tablette et vos autres appareils informatiques de la meilleure façon possible grâce aux conseils ci-dessous :

  • Utilisez un logiciel de sécurité internet complet.
  • Ne laissez jamais vos appareils non sécurisés en public.
  • Maintenez tous vos logiciels à jour dès qu’ils sont disponibles.
  • Vérifiez les violations de données sensibles connues de vos comptes en ligne.

Social engineering et formation de sensibilisation à la cybersécurité

La protection contre l’ingénierie sociale commence par l’éducation et donc une formation de sensibilisation à la cybersécurité.. Si tous les utilisateurs sont conscients des menaces, disposent d’une culture de la sécurité, alors notre sécurité en tant que société collective s’améliorera.

Assurez-vous de sensibiliser davantage à ces risques en partageant ce que vous avez appris avec vos collègues, votre famille et vos amis.

DEVIS EXTER GRATUIT
Recevez votre devis personnalisé dans la journée

Dites-nous ce qu'il vous faut, on s'occupe de tout !

Demander un devis
Mathieu CARLIER
Mathieu CARLIER
CMO

Spécialiste des télécommunications, de l'informatique et de la cybersécurité depuis 2005, Mathieu CARLIER a travaillé pour plusieurs opérateurs télécoms B2B et des éditeurs de logiciels.

Related Posts