L'ingénierie sociale consiste à inciter des personnes à révéler des informations sensibles ou à entreprendre une action spécifique. Cette façon de tromper quelqu'un en lui fournissant des données ou en l'incitant à faire quelque chose joue sur les tendances naturelles et les réactions émotionnelles des gens.
Les cybercriminels utilisent des tactiques d'ingénierie sociale car il est généralement plus facile d'exploiter la tendance naturelle d'une personne à faire confiance que de rechercher les failles techniques et les vulnérabilités des logiciels. Par exemple, il est beaucoup plus facile de tromper quelqu'un pour qu'il vous donne son mot de passe que d'essayer de le pirater vous-même. L'ingénierie sociale peut prendre la forme d'appels téléphoniques, d'e-mails ou de SMS. Il existe une grande variété de méthodes pour persuader les utilisateurs de divulguer des informations sensibles. Les cybercriminels se font souvent passer, par exemple, pour des employés de banque ou de service d'assistance.
Comment fonctionne une telle attaque ?
Si les criminels font constamment évoluer leurs tactiques et leurs méthodes, la plupart des attaques suivent un certain schéma. Tout d'abord, l'attaquant recueille des informations générales, ce que l'on appelle également le profilage de la victime. Il choisit ensuite le moyen de contacter cette dernière et tente de créer une relation de confiance afin de s'assurer que la victime partage ses informations sensibles sans trop de suspicion. Une fois que ces données sont en sa possession, le criminel peut les utiliser pour mener à bien son attaque. Il peut, par exemple, accéder à des systèmes en utilisant des mots de passe obtenus, réaliser un cas classique d'usurpation d'identité ou utiliser les informations à des fins personnelles ou politiques.
Qui sont les victimes de l'ingénierie sociale ?
Les attaques d'ingénierie sociale sont très dangereuses pour les particuliers comme pour les entreprises, car d'importantes sommes d'argent peuvent être volées à la victime dans les deux cas. Par exemple, Toyota Boshoku Corporation, un fournisseur de Toyota, a été victime d'une attaque par ingénierie sociale en 2019 qui lui a coûté 37 millions de dollars. Les attaquants ont ciblé des employés du département financier et se sont fait passer pour des cadres supérieurs. Les cybercriminels ont envoyé des e-mails à partir d'un faux compte de messagerie professionnelle (mais ayant l'air authentique), afin de demander un changement de compte. De cette manière, les employés du département financier ont été incités à transférer d'importantes sommes d'argent sur des comptes gérés par les cybercriminels, ce qu'ils ont fait.
Comment reconnaître l'ingénierie sociale ?
En connaissant les façons dont les gens peuvent être influencés, il est plus facile de repérer les signaux d'alarme de l'ingénierie sociale. Les demandes de certains types d'informations sensibles, comme les identifiants ou les coordonnées bancaires, doivent toujours vous alerter. Même les offres qui semblent trop belles pour être vraies doivent vous alarmer. Bien entendu, vous ne devez jamais cliquer sur les liens contenus dans un e-mail provenant d'un expéditeur inconnu, mais vous devez également vous méfier des expéditeurs qui vous semblent familiers.
L'ingénierie sociale est un terme général qui désigne une grande variété de tactiques de manipulation que les cybercriminels utilisent pour obtenir des informations. Lorsque vous vous familiarisez avec ces différentes méthodes, vous êtes plus méfiant et moins susceptible de vous laisser prendre au piège par leur discours. Cela vaut également pour les employés de votre entreprise. Veillez à ce que tout le monde ait connaissance de l'ingénierie sociale, ses dangers et la manière de la reconnaître.
1. Appâter
Il s'agit d'une attaque où le criminel attire la victime avec quelque chose de gratuit pour l'inciter à cliquer sur un lien. Pensez par exemple à un téléchargement gratuit de musique ou de film qui correspond aux intérêts de la victime. Avec cette forme d'ingénierie sociale, la victime doit mordre à l'appât de l'attaquant pour que l'attaque réussisse.
2. Hameçonnage (phishing)
L'hameçonnag (phishing) est un moyen bien connu de voler des informations à une victime à son insu. Bien que de plus en plus de personnes connaissent la technique de l'hameçonnage, il reste un outil efficace pour les cybercriminels. Ces derniers envoient généralement un e-mail ou une application à la cible, à la recherche d'informations qui pourraient les aider à commettre un crime plus important. Lorsque ces informations sont prises par téléphone, on parle aussi de « vishing », avec le « v » de « voice » (voix). Dans cette catégorie, on distingue également le « whaling » (chasse à la baleine) et le « spear phishing » (harponnage), ce dernier étant une attaque d'hameçonnage visant une personne spécifique (pour laquelle les cybercriminels s'efforcent d'établir un profil). Lorsqu'il s'agit d'une personne haut placée, par exemple un manager ou un cadre, on parle de « whaling » (car après tout, ce sont les gros poissons).
3. Piratage de messagerie et spamming de contacts
C'est la base d'une grande partie de la fraude sur WhatsApp. Il est dans la nature humaine de prêter attention aux messages des personnes que l'on connaît. Certains criminels en profitent pour voler des comptes de messagerie ou des répertoires dans votre téléphone et envoyer des spams à vos contacts.
4. Prétexting
Dans le cas du prétexting, un criminel se fait passer pour un représentant d'une organisation de confiance dans le but d'obtenir des informations sensibles. Cette forme d'attaque est largement utilisée pour recueillir des informations avant le lancement de l'attaque proprement dite.
5. Quid pro quo
C'est une variante de l'appâtage, dans laquelle il semble y avoir un échange : je te donne quelque chose, tu me donnes quelque chose. Par exemple, le cybercriminel promet un service ou un avantage si la victime clique sur un certain lien en échange (et ce lien installe un logiciel malveillant). Cela ressemble à un échange équitable, mais bien sûr, ce n'est jamais le cas.
6. Ingénierie sociale inversée
Dans cette forme d'attaque, l'attaquant persuade la victime qu'elle a un problème. Bien entendu, l'attaquant a la solution. Il essaie d'amener la victime à le contacter de sa propre initiative pour l'aider à résoudre son problème.
Comment protéger mon entreprise contre l'ingénierie sociale?
Le meilleur moyen de prévenir ces attaques est de former tous les employés de votre entreprise. Lorsque chacun sait comment repérer les tactiques d'ingénierie sociale, il est plus facile de les éviter. Voici quelques conseils qui peuvent vous aider :
- Recherchez la source de tous les appels téléphoniques, e-mails et messages suspects. Ne cliquez jamais sur des liens ou n'ouvrez jamais de pièces jointes provenant d'expéditeurs que vous ne connaissez pas ou auxquels vous ne faites pas confiance.
- Alertez-vous immédiatement lorsque des données sensibles sont demandées ou lorsque des transactions importantes doivent être exécutées sous haute pression.
- Méfiez-vous également des demandes d'aide inattendues.
- Veillez à ce que vos systèmes informatiques soient dotés d'une solide solution de sécurité et tenez vos logiciels à jour.
- Utilisez toujours des mots de passe forts et un gestionnaire de mots de passe. Demandez à tous les employés de l'entreprise de faire de même.
- Utilisez le moins possible le WiFi public et, si nécessaire, utilisez un VPN.
- Utilisez les filtres anti-spam de votre programme de messagerie électronique.
- Si vous avez des doutes, demandez de l'aide à un spécialiste de la sécurité ou à votre fournisseur de services informatiques.
