Qu'est-ce que l'ingénierie sociale ?
"Illusion is everything" - Bernz
L'ingénierie sociale (social engineering en anglais) est une pratique qui consiste à manipuler des individus ou des groupes pour obtenir des informations ou un accès à des ressources, souvent sans que ces personnes ne se rendent compte qu'elles sont exploitées. Ce type de tromperie se base sur la confiance, les émotions, les biais cognitifs et les besoins humains fondamentaux. Les individus et les organisations qui pratiquent l'ingénierie sociale sont souvent appelés "ingénieurs sociaux". Ils utilisent un large éventail de techniques, allant des manipulations psychologiques subtiles aux pressions directes et aux menaces.
Contrairement aux autres attaques, elle ne nécessite pas de logiciel ni de compétences techniques. La seule force de persuasion est la clé de voûte de cette attaque.
Comment fonctionne l'ingénierie sociale ?
Les cybercriminels utilisent souvent des techniques de persuasion pour tromper leurs victimes. Ils peuvent prétendre être une autorité de confiance, un employé de votre entreprise, un futur client, ou un représentant du gouvernement, pour inciter les gens à leur donner des informations sensibles. Afin de rendre leur discours plus crédible, les cybercriminels n'hésitent pas à créer de faux profils sur Facebook et Linkedin, ou de faux documents, comme des fausses factures.
Les types d'ingénierie sociale
Il existe plusieurs types d'ingénierie sociale, chacun avec ses propres techniques et objectifs. Voici quelques-uns des types les plus courants :
Par mail de Phishing
Le
phishing est une technique d'ingénierie sociale qui implique l'envoi de courriels ou de messages texte frauduleux pour inciter les gens à divulguer des informations sensibles. Les messages peuvent sembler provenir d'une entreprise ou d'une organisation légitime, mais ils sont en fait conçus pour tromper les gens. Les
faux mails de
Catherine de Bolle, directrice exécutive d'Europol sont un bon exemple. Ils peuvent aussi utiliser la technique de
typosquatting sur le noms de domaines pour tromper leurs victimes. Certains cybercriminels peuvent aller encore plus loin et créer de fausses pages de connexion pour obtenir des noms d'utilisateur et des mots de passe, ou utiliser des e-mails de phishing pour inciter les gens à cliquer sur des liens malveillants.
Ingénierie sociale téléphonique
C'est la technique la plus facile et la plus rapide pour obtenir le renseignement recherché.
Les cybercriminels peuvent prétendre être un employé d'une entreprise ou un représentant du gouvernement pour inciter les gens à leur donner des informations. Un bon hacker aura préparé son personnage et son discours. Il sera sûr de lui. Il sera très persuasif dans le timbre de sa voix. Certains hackers ont quelques techniques pour parfaire leur crédibilité, comme jouer sur un magnétophone une cassette préalablement enregistrée de bruits de bureau, ou encore utiliser du matériel qui change le timbre de la voix pour imiter celle d'une secrétaire.
Ingénierie sociale en personne
L'ingénierie sociale en personne consiste à mettre en contact physique le hacker et sa victime. C'est la plus osée car le hacker est alors à découvert. Cette technique est directement inspirée des techniques d'espionage traditionnel, comme par exemple l'utilisation de la flatterie, la manipulation émotionnelle, la création de faux scénarios d'urgence, la création de fausses identités, la falsification de documents, la surveillance physique, l'utilisation de caméras cachées, entre autres.
La dangerosité excessive de l'ingénierie sociale
L'un des aspects les plus dangereux de l'ingénierie sociale est sa capacité à compromettre les systèmes de sécurité les plus sophistiqués. Même les organisations les mieux protégées peuvent être vulnérables à l'ingénierie sociale si les employés ne sont pas formés à reconnaître et à résister aux tentatives de manipulation. En effet, les ingénieurs sociaux sont souvent en mesure de contourner les mesures de sécurité en se concentrant sur les points faibles humains plutôt que sur les vulnérabilités techniques.
Que peux ont obtenir par ingénierie sociale ?
Il est possible d'obtenir énormément d'informations différentes, et utiles pour tout cybercriminel. Voici un petit échantillon qu'un cybercriminel peut récupérer :
- Parmi les objectifs que l'on peut atteindre par l'ingénierie sociale, l'accès à des informations confidentielles est l'un des plus courants. Les ingénieurs sociaux peuvent chercher à obtenir des mots de passe, des numéros de carte de crédit, des données personnelles ou d'autres informations sensibles pour commettre des fraudes, du vol d'identité, du cyberespionnage ou du sabotage. Par exemple, un ingénieur social pourrait se faire passer pour un employé d'une entreprise et persuader un collègue de lui donner les codes d'accès à un système informatique sécurisé.
- L'ingénierie sociale peut également être utilisée pour gagner un accès physique à des zones sécurisées. Un ingénieur social peut prétendre être un technicien, un livreur ou un autre professionnel pour tromper le personnel de sécurité et accéder à des locaux fermés. Une fois à l'intérieur, il peut installer des dispositifs d'écoute, voler des biens, compromettre des systèmes informatiques ou commettre d'autres actes malveillants.
- Outre le vol d'informations et l'accès à des zones protégées, l'ingénierie sociale peut également être utilisée pour influencer les décisions et les actions des autres. Par exemple, un ingénieur social peut persuader une personne de prendre une décision financière défavorable, de soutenir un certain candidat politique ou de participer à des activités illégales. Dans certains cas, les ingénieurs sociaux peuvent même manipuler des groupes entiers de personnes pour atteindre leurs objectifs, en exploitant des biais de groupe, des normes culturelles et des techniques de persuasion.
Quelques exemples d'ingénierie sociale qui ont réussi
- Un exemple de ce que peut faire un ingénieur social avec un téléphone et un enregistrement de bébé qui pleure (en anglais).
Un exemple de social engineering en 2 minutes
- Des escrocs ont réussi à récupérer beaucoup d'argent, par ingénieurie sociale, en donnant de faux ordres de virement internationnaux (FOVI). C'est le cas par exemple de l’entreprise de travaux publics ETPM, ou de la société Sefri-Cime qui a perdu 33 millions d'euros, ou encore de l'association de comptables CDER, qui a été délesté, en 2021, de 14,7 millions d’euros.
Aucun individut, aucune PME, aucune grande entreprise n'est à l'abrit d'une attaque d'ingénierie sociale
Comment contrer l'ingénierie sociale ?
Voici quelques conseils pour contrer l'ingénierie sociale :
- Éducation et sensibilisation : Sensibilisez-vous et formez vos employés, collègues et proches aux méthodes d'ingénierie sociale et aux risques associés. Cela peut inclure des formations, des ateliers ou des simulations. Le cybercriminel s'attaquera à la personne la plus faible de l'entreprise, à savoir le personnel non technique (secrétaires, comptables, personel administratif, personnel d'entretient des locaux, ...) et les personnes récemment recrutées qui connaissent encore mal le fonctionnement internes et les procédures de l'entreprise.
- Établir des politiques de sécurité : Mettez en place des politiques de sécurité claires et strictes pour protéger les informations sensibles et les systèmes informatiques. Assurez-vous que ces politiques sont respectées et mises à jour régulièrement.
- Vérification de l'identité : Toujours vérifier l'identité de la personne avec qui vous communiquez, en particulier si elle demande des informations sensibles. Ne partagez pas d'informations personnelles ou d'entreprise sans vous assurer de l'identité de la personne concernée.
- Prudence avec les liens et les pièces jointes : Soyez prudent lorsque vous recevez des e-mails ou des messages contenant des liens ou des pièces jointes, surtout s'ils proviennent d'expéditeurs inconnus. Vérifiez l'adresse e-mail de l'expéditeur et ne cliquez pas sur les liens ou n'ouvrez pas les pièces jointes avant d'être sûr qu'ils sont légitimes.
- Mots de passe forts et authentification à deux facteurs : Utilisez des mots de passe complexes et uniques pour tous vos comptes et activez l'authentification à deux facteurs lorsque c'est possible.
- Gérer les droits d'accès : Limitez l'accès aux informations sensibles et aux systèmes informatiques en attribuant des droits d'accès en fonction des besoins de chaque utilisateur.
- Signaler les incidents : Encouragez vos employés, collègues et proches à signaler rapidement toute tentative d'ingénierie sociale ou tout comportement suspect.
- Plan de réponse aux incidents : Élaborez un plan de réponse aux incidents pour réagir rapidement et efficacement en cas de compromission de la sécurité.
- Mise à jour régulière : Assurez-vous que vos sensibilisations, vos réponses à incident et votre politique de sécurité sont régulièrement mis à jour pour faire face aux techniques de plus en plus élaborées des ingénieurs sociaux.
Le futur de l'ingénierie sociale
Avec le Deepfake ou le Deepvoice, la supercherie des ingénieurs sociaux sera encore plus dure à déceler.
Le Deepfake permet de remplacer son visage par celui de sa victime, le Deepvoice permet de remplacer sa voix par celle de sa victime. Si la victime est un chef d'entreprise, alors il est facile, et à peu de frais de se faire passer pour lui.
Autrement dit, même un contact en video ne permet pas de savoir si la personne est véritablement la bonne.
Le Deepfake et le Deepvoice sont donc deux technologies pouvant être mises à profit par les cybercriminels dans le cadre d'une attaque par ingénierie sociale.
Tags
INGÉNIERIE SOCIALE
CYBERCRIMINALITÉ
ESPIONNAGE
PIRATAGE
Inscription à notre lettre d'information
Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.
