L’ingénierie sociale
L’ingénierie sociale est une technique de manipulation psychologique utilisée pour amener les individus à divulguer des informations confidentielles ou à effectuer des actions spécifiques qui peuvent compromettre la sécurité d’un système, d’une organisation ou d’une personne.
Les attaquants se basent souvent sur la confiance, l’autorité, l’urgence ou d’autres biais cognitifs pour inciter leurs victimes à baisser leur garde.
Quelques exemples de méthodes courantes d’ingénierie sociale :
Phishing : Les attaquants envoient des e-mails ou des messages qui semblent provenir d’une source fiable (comme une banque ou un collègue) pour inciter les victimes à cliquer sur un lien malveillant ou à divulguer des informations sensibles.
Pretexting : L’attaquant se fait passer pour une personne de confiance (comme un employé de la société) pour obtenir des informations confidentielles.
Baiting : L’utilisation d’un appât, comme une clé USB infectée laissée dans un lieu public, pour inciter quelqu’un à l’utiliser et infecter son système.
Quid pro quo : L’attaquant propose quelque chose en échange d’informations ou d’un accès, par exemple en se faisant passer pour un technicien offrant de l’aide.
Impersonation : L’attaquant se fait passer pour quelqu’un d’autre, souvent en utilisant des informations récupérées sur les réseaux sociaux, pour tromper les victimes.
Spear Phishing : Variante plus ciblée du phishing où l’attaquant personnalise son message en utilisant des informations spécifiques à la victime (comme son nom, son poste, ou des projets sur lesquels elle travaille). Cela augmente la crédibilité de l’attaque.
Vishing (Voice Phishing) : L’utilisation d’appels téléphoniques pour tromper les victimes et leur faire divulguer des informations sensibles. Par exemple, un attaquant pourrait se faire passer pour un employé de la banque ou du support technique d’une entreprise.
Smishing (SMS Phishing) : L’envoi de messages texte (SMS) frauduleux pour inciter les victimes à cliquer sur des liens malveillants ou à divulguer des informations personnelles.
Tailgating : Technique où l’attaquant suit de près une personne autorisée pour entrer dans un bâtiment sécurisé, profitant de son passage pour accéder à un endroit restreint sans avoir d’autorisation.
Watering Hole Attack : L’attaquant identifie un site web fréquemment visité par la cible (par exemple, un forum spécialisé ou un site d’entreprise) et y insère un code malveillant. Lorsque la victime visite ce site, son système est compromis.
Diversion Theft : Technique de détournement où l’attaquant redirige des livraisons ou des communications en se faisant passer pour une personne autorisée, par exemple, pour voler des colis ou accéder à des informations confidentielles.
Honey Trap : L’attaquant se fait passer pour une personne séduisante sur les réseaux sociaux ou les plateformes de rencontre pour gagner la confiance de la victime et obtenir des informations sensibles.
Rogue Access Point : Création d’un point d’accès Wi-Fi non autorisé (par exemple dans un café ou un aéroport) pour intercepter les informations transmises par les utilisateurs qui s’y connectent.
Scareware : Technique consistant à effrayer la victime avec de faux messages d’alerte de sécurité (comme des messages de virus ou de ransomware) pour la pousser à installer un logiciel malveillant ou à payer une somme d’argent.
Pretext Calls : Appels téléphoniques répétés où l’attaquant recueille des petites informations sur plusieurs appels, puis les assemble pour obtenir une image complète des informations sensibles.
Shoulder Surfing : L’attaquant observe discrètement par-dessus l’épaule de la victime pendant qu’elle tape des informations sensibles, comme un mot de passe ou un code PIN. Cela peut se produire dans des lieux publics comme les guichets automatiques, les cafés ou les aéroports.
Dumpster Diving : Les attaquants fouillent les poubelles d’une organisation ou d’un individu pour récupérer des documents jetés qui pourraient contenir des informations confidentielles, comme des mots de passe, des factures, des listes de clients ou des informations de cartes bancaires.
Reverse Social Engineering : L’attaquant se positionne comme une figure d’autorité ou d’expertise, amenant les victimes à le contacter pour obtenir de l’aide. Par exemple, il peut prétendre être un technicien informatique offrant de l’aide, et ainsi, obtenir un accès direct à des informations confidentielles.
Eavesdropping : L’écoute passive des conversations, des appels téléphoniques ou des communications électroniques non protégées pour recueillir des informations sensibles. Cette technique est souvent utilisée dans des lieux publics ou sur des réseaux Wi-Fi non sécurisés.
Befriending : L’attaquant développe lentement une relation d’amitié avec la victime, souvent sur les réseaux sociaux, en se présentant comme quelqu’un de sympathique ou partageant les mêmes centres d’intérêt. Au fil du temps, il gagne la confiance de la victime et finit par obtenir des informations confidentielles.
Harvesting Information from Social Media : Les attaquants collectent des informations librement accessibles sur les réseaux sociaux pour construire des profils détaillés de leurs cibles, qu’ils utilisent ensuite pour créer des attaques plus personnalisées et convaincantes.
Quizzing : Les attaquants créent des sondages ou des quiz en ligne apparemment anodins, mais qui peuvent en réalité être conçus pour recueillir des informations personnelles ou des réponses à des questions de sécurité (par exemple, « Quel était le nom de votre premier animal de compagnie ? »).
Deepfake Attacks : Utilisation de technologies de manipulation audio et vidéo avancées (comme les deepfakes) pour créer des contenus convaincants. Par exemple, un attaquant pourrait créer une vidéo d’un PDG donnant de fausses instructions ou demander un transfert d’argent.
Fake Job Offers : Les attaquants contactent des cibles potentielles avec de fausses offres d’emploi, les amenant à divulguer des informations personnelles (par exemple, des copies de passeports ou des coordonnées bancaires) lors du processus de recrutement fictif.
Help Desk Impersonation : L’attaquant se fait passer pour un membre du service informatique ou du support technique de l’entreprise et contacte les employés pour leur demander leurs identifiants de connexion ou des informations confidentielles sous prétexte de « réinitialiser » ou de « vérifier » des accès.
Sextortion : L’attaquant prétend avoir des images ou des vidéos compromettantes de la victime et menace de les divulguer à moins que la victime ne verse une somme d’argent ou ne fournisse d’autres informations.
Social Engineering via Open Source Intelligence (OSINT) : L’utilisation d’outils OSINT pour collecter des informations disponibles publiquement sur une personne ou une entreprise, afin de planifier des attaques ciblées plus efficaces.
Consensus/Social Proof : L’attaquant prétend qu’un comportement est courant ou attendu en citant de faux exemples ou en donnant l’impression que d’autres personnes se conforment à la demande, ce qui incite la victime à faire de même.
Psychological Manipulation with Scarcity : L’utilisation de tactiques de rareté ou d’urgence (« Cette offre est valable seulement pour les 10 prochaines minutes ! ») pour pousser la victime à prendre des décisions rapides et irréfléchies.
Ces techniques démontrent que l’ingénierie sociale est un champ en constante évolution, car elle repose sur la psychologie humaine et les interactions sociales, qui sont des éléments profondément enracinés et parfois difficiles à contrer par des moyens purement techniques. La vigilance, l’éducation et la sensibilisation sont les meilleures armes pour s’en protéger.
Pour se protéger contre l’ingénierie sociale, il est essentiel de sensibiliser les utilisateurs, d’utiliser des mesures de sécurité (comme la vérification à deux facteurs) et d’être vigilant face aux demandes d’informations inhabituelles ou urgentes.