L'ingénierie sociale se réfère à des pratiques sociales, permettant de faire évoluer les actions individuelles et collectives, mais consiste aussi, dans le cadre de la sécurité de l'information, en une pratique visant à obtenir des informations confidentielles par la manipulation mentale. Nous nous attacherons à cette seconde définition en précisant le rôle de l'ingénierie sociale et en faisant le point sur les comportements et méthodes à adopter pour contrer les cyberattaques.
Qu'est-ce que l'ingénierie sociale ?
L'ingénierie sociale est une technique psychologique utilisée par les cybercriminels visant à manipuler les comportements, exploiter l'erreur humaine pour obtenir des données personnelles et inciter les victimes à agir contre leurs intérêts. Dans le domaine de la sécurité des informations, l'ingénierie sociale est considérée comme un cybercrime, dont l'objectif est le piratage de l'être humain, plutôt que celui visant la vulnérabilité technique des systèmes. Les individus sont encouragés à divulguer des informations confidentielles telles que des données financières ou des informations de connexion, en ligne, en personne ou par d'autres interactions. Ces techniques d'escroquerie reposent sur la façon dont l'individu réfléchit et agit. En étudiant l'environnement personnel et professionnel et en identifiant les motivations d'un individu, le cybercriminel dispose des informations pour le manipuler. Il cherche à nouer une relation de confiance, en lien direct avec sa victime, par téléphone, par courrier ou via les réseaux sociaux, en se faisant passer pour un contact connu ou une autorité. Les attaques malveillantes visent les faiblesses humaines, l'ignorance et la crédulité des individus. Les technologies évoluant rapidement, les individus sont face à des menaces dont ils n'ont pas conscience. Certaines personnes ne sont pas suffisamment vigilantes et n'accordent pas à leurs données personnelles l'importance indispensable.
Quel est le rôle de l'ingénierie sociale ?
Nombreuses sont les techniques utilisées pour obtenir la confiance de la victime. L'ingénierie sociale utilisée par les cybercriminels répond à deux objectifs :
le vol : obtenir de la personne des données privées relatives à un numéro de téléphone ou un numéro de compte ;
le sabotage : provoquer une altération des données pour causer des perturbations ou des dégâts.
Le fonctionnement de l'ingénierie sociale
Une communication réelle est souvent à la base des attaques d'ingénierie sociale. L'attaquant incite la victime à compromettre elle-même ses données confidentielles, plutôt qu'avoir à contourner les logiciels de cybersécurité. Découvrons les étapes du cycle d'une attaque :
La collecte des informations vous concernant ou celle d'un groupe plus large auquel vous appartenez.
L'établissement d'une relation de confiance ou d'une interaction.
L'identification des faiblesses et l'exploitation de la confiance de la victime.
Le passage à l'attaque.
L'abandon, une fois l'action réalisée par la victime.
Reposant sur des techniques étudiant la science de la motivation humaine, l'ingénierie sociale active des leviers comme les émotions ou les instincts des personnes pour les inciter à réaliser des actions contre leurs propres intérêts.
Confiance et persuasion sont les maitres-mots de la manipulation humaine. Les techniques sont nombreuses.
Manipuler les émotions
Les émotions sont utilisées pour vous faire prendre des décisions irrationnelles et risquées. Peur, curiosité, excitation, colère ou tristesse font partie de la panoplie du parfait attaquant, avec pour objectif de vous convaincre. En vous faisant miroiter la récompense d'un prix susceptible de disparaitre à tout moment faute d'une action rapide, l'individu perd son esprit critique. Il en est de même lorsque l'individu, sous pression, doit prendre une décision face à un problème grave.
Se faire passer pour une autorité ou à une marque réputée
En utilisant des messages semblant provenir des administrations, et en misant sur les instincts de respect ou de crainte suscités face à l'autorité, les attaques visent à vous faire suivre les instructions définies. De la même façon, en usurpant l'identité d'une marque à laquelle vous faites confiance et à laquelle vous avez recours, vous oubliez de vous méfier et de prendre les précautions nécessaires.
Faire appel à la cupidité
En se servant de l'identité d'une autorité et d'une situation d'urgence, soit une récompense financière importante, le destinataire est sollicité pour donner ses coordonnées bancaires.
Faire appel à votre bonne nature
En se servant de votre nature serviable, un e-mail provenant soi-disant d'un ami ou d'une relation de confiance peut inciter à utiliser un lien frauduleux vous dirigeant vers un faux site Web ou vers un logiciel malveillant.
Les différents types d'attaques d'ingénierie sociale
Pour pouvoir se protéger correctement contre les cyberattaques, il est recommandé de connaitre les méthodes les plus courantes utilisées.
Le phishing
Encore appelée « hameçonnage », cette technique consiste à manipuler les destinataires au moyen de messages numériques ou vocaux, semblant provenir d'une source fiable, pour pousser à partager des données privées, à télécharger des logiciels malveillants, ou encore à transférer de l'argent à des personnes malveillantes. Diverses catégories d'hameçonnage existent :
Les e-mails de phishing de masse : destinés à des millions d'utilisateurs, ils incitent à utiliser un lien frauduleux vers un faux site, sous couvert d'une banque ou d'un site d'e-commerce, pour y compléter vos coordonnées personnelles et bancaires.
Le harponnage : il vise des individus prévus ayant un accès privilégié à des informations confidentielles. À partir des informations obtenues sur les réseaux sociaux, les cybercriminels créent un message faisant croire à la cible qu'il émane d'une personne de confiance ou faisant référence à une situation connue. Le whaling, ou « chasse à la baleine », cible des personnes à forte valeur ajoutée, comme des dirigeants ou des célébrités. Difficile à détecter, cette technique repose sur le ton très professionnel utilisé ainsi que des connaissances du secteur.
Le vishing ou voice phishing est une technique d'hameçonnage par téléphone, pour passer des systèmes de messagerie automatisés, menaçant les destinataires, ou faisant croire qu'ils sont issus des forces de l'ordre.
Le smishing : cet hameçonnage utilise des SMS pour vous inviter à contacter un numéro de téléphone frauduleux.
Le phishing par moteur de recherche : il consiste à utiliser un site malveillant, créé par des pirates informatiques, et se positionnant en tête des résultats de recherche.
L'angler phishing est un hameçonnage utilisant de faux comptes de réseaux sociaux, usurpant l'identité du service assistance ou clientèle d'entreprises de confiance.
Le baiting ou technique de l'appât
Cette technique consiste à tromper les individus, avec une offre exclusive, gratuite, et se solde souvent par une infection des systèmes par un programme téléchargé malveillant. Se fondant sur la curiosité de l'utilisateur, des malfaiteurs abandonnent par exemple des clés USB infectées par des malwares dans des espaces publics.
Le pretexting
Le malfaiteur utilise un prétexte, une identité trompeuse pour gagner la confiance de la victime, en se faisant passer pour la personne la plus qualifiée pour résoudre une situation délicate.
L'attaque de Quid Pro Quo
Signifiant faveur contre faveur, cette technique consiste à donner des informations personnelles en échange d'une fausse récompense à un jeu-concours ou une participation à une étude.
L'attaque de scareware
Le scareware est un type de programme malveillant, suscitant la peur par l'utilisation de faux avis inquiétants, faisant référence aux forces de l'ordre, ou prétextant une infection de votre système informatique, ou le piratage de vos comptes.
Les attaques par point d'eau ou watering hole
Les pirates utilisent les faiblesses d'un site Web légitime pour l'infecter avec un programme malveillant, permettant de toucher plusieurs utilisateurs en même temps. Depuis les vols d'identifiants jusqu'aux téléchargements furtifs de ransomwares, l'éventail des violations est large.
Comment prévenir les attaques d'ingénierie sociale ?
Il convient d'identifier les attaques, d'être vigilant à tous les signaux d'alarme, et de prendre les mesures pour sécuriser votre compte, votre réseau et avoir les bonnes pratiques avec vos appareils.
Identifier les attaques
Se méfier des émotions fortes suscitées : peur, curiosité, excitation avant toute action.
Vérifier l'origine du message pour voir s'il est légitime : recherchez les caractères suspects ou les imitations proches des sites officiels.
Repérez les sites frauduleux aux logos anciens, aux images de qualité médiocre.
Méfiez-vous des offres trop belles pour être vraies dans les jeux-concours, excellent moyen de mener une attaque par ingénierie sociale.
Demandez la confirmation de l'identité de celui qui s'apparente à une organisation.
Sécurisez votre compte
Au-delà d'un mot de passe robuste, unique et complexe, utilisez l'authentification à plusieurs facteurs.
Ne partagez pas d'infos personnelles, même les plus banales, qui pourraient servir à identifier votre mot de passe.
Ne créez pas d'amitiés exclusives en ligne, vecteur souvent utilisé pour les attaques par ingénierie sociale.
Sécurisez vos réseaux
Conservez votre propre connexion sécurisée et protégée en créant une connexion wifi pour les invités.
Utilisez un réseau privé virtuel, pour vous connecter via un tunnel privé et chiffré, anonymisant les données.
N'oubliez pas de sécuriser tous les appareils et services connectés au réseau.
Ayez les bonnes pratiques avec vos appareils
Ne laissez pas vos appareils seuls dans un espace public et pensez à verrouiller votre ordinateur au bureau.
Utilisez une solution de sécurité internet de qualité, un logiciel antivirus de confiance, pour éviter les infections.
Ne reportez pas les mises à jour de logiciels, qui installent des correctifs de sécurité. Si vous attendez, entre deux mises à jour, les systèmes sont vulnérables.
Formation pour devenir ingénieur social
La formation en ingénierie sociale est accessible aux titulaires d'un Bac +3, qui ont de l'appétence pour les orientations stratégiques, la prise de décision et la prospective. Qualités relationnelles, capacités d'analyse sont les qualités indispensables pour faire de l'ingénierie sociale son métier.
Pour une formation complète en présentiel, le MBA innovation forme les étudiants aux méthodes de management de l'information et consacre un module à la vulnérabilité des entreprises et à la cybersécurité. Des formations en ingénierie sociale sont également disponibles en ligne. Les débouchés sont nombreux dans les grandes entreprises ou les banques : analyste ou responsable d'études en threat intelligence, chargé de mission en prospective sociale, consultant en intelligence économique… Le salaire est très variable en fonction de la structure et du contexte. Celui d'un débutant avoisine les 27 000 euros et peut atteindre, après quelques années d'expérience, plus de 60 000 euros. Le salaire moyen se situe aux environs de 40 000 euros.