Qu’est-ce que le pretexting ?

Date de mise à jour : 6 septembre 2024
Contributeurs : Jim Holdsworth, Matthew Kosinski

Qu'est-ce que le pretexting ?

Le pretexting est l’utilisation d’une histoire inventée, ou prétexte, pour gagner la confiance d’une victime et la tromper ou la manipuler afin qu’elle partage des informations sensibles, télécharge des logiciels malveillants, envoie de l’argent à des criminels ou se nuise d’une autre manière, à elle-même ou à l’organisation pour laquelle elle travaille.

« Confidence » (confiance) est le « con » de « con man » (escroc). L’histoire prétexte est la façon dont la confiance de la victime est gagnée dans les attaques d’ingénierie sociale ciblées telles que le phishing ciblé, le whaling et la compromission des e-mails professionnels (BEC). Mais les cybercriminels, et les criminels traditionnels, peuvent également utiliser le pretexting pour voler des informations ou des actifs précieux à des personnes ou à des organisations.

Planifier une présentation découverte avec l’équipe X-Force

Discutez des défis spécifiques de votre organisation en matière de sécurité et de la manière dont nous pouvons vous aider.

Comment fonctionne le pretexting : personnages et situations

Un acteur malveillant crée souvent une fausse situation pour la victime et se fait passer pour une personne fiable qui peut la résoudre. Dans le livre Social Engineering Penetration Testing, les auteurs observent que la plupart des prétextes sont composés de deux éléments principaux : un personnage et une situation.

Le personnage est le rôle que joue l’escroc dans l’histoire. Pour renforcer sa crédibilité auprès de la victime potentielle, l’escroc se fait souvent passer pour une personne qui a de l’autorité sur la victime, comme un patron, un cadre ou une personne en qui la victime a normalement confiance. Cette (fausse) personne peut être un collègue de travail, un informaticien ou un prestataire de services. Certains cybercriminels peuvent même tenter de se faire passer pour un ami ou un proche de la victime.

La situation est le scénario de l’histoire inventée par l’escroc, c’est-à-dire la raison pour laquelle la personne (l’escroc) demande à la victime d’agir. Les situations peuvent être génériques, telles que : « Vous devez mettre à jour les informations de votre compte. » Ou l’histoire peut être précise, surtout si l’escroc cible une victime en particulier : « J’ai besoin de ton aide mamie. »

Pour rendre crédibles leurs personnages et leurs situations, les acteurs de la menace font souvent des recherches en ligne sur leur personnage et leur cible. Et cette recherche n’est pas difficile. Selon certaines estimations, les pirates informatiques sont capables de préparer une histoire convaincante, sur la base d’informations provenant des réseaux sociaux et d’autres ressources publiques telles que Google ou LinkedIn, après seulement 100 minutes de recherche en ligne.

L’usurpation d’identité (la falsification d’adresses électroniques et de numéros de téléphone pour faire croire qu’un message provient d’une autre source) peut rendre les scénarios de pretexting plus crédibles. Les acteurs malveillants peuvent même aller plus loin et détourner le compte de messagerie ou le numéro de téléphone d’une personne réelle pour envoyer le message de pretexting. Il existe même des histoires de criminels qui utilisent l’intelligence artificielle pour cloner la voix des gens.

Techniques de pretexting et d’ingénierie sociale

Le pretexting est un élément clé de nombreux types de tactiques d’ingénierie sociale, notamment :

Hameçonnage
Baiting
Tailgating

Hameçonnage

Le prétexte est courant dans les attaques de phishing ciblées telles que le phishing ciblé, qui cible une personne en particulier, et le whaling, qui cible un dirigeant ou un employé ayant un accès privilégié à des informations ou des systèmes sensibles.

Mais le pretexting joue également un rôle dans les escroqueries par hameçonnage non ciblé, c’est-à-dire envoyé au plus grand nombre de personnes possible, que ce soit par e-mail, SMS ou appel vocal.

Par exemple, un escroc pourrait envoyer un SMS tel que « [NOM DE LA BANQUE MONDIALE ICI] : votre compte est à découvert » à des millions de personnes, en espérant qu’un certain pourcentage des destinataires soient clients de la banque, et qu’un certain pourcentage de ces clients répondront au message. Même un faible pourcentage de victimes peut représenter une grosse somme pour les escrocs.

Baiting

Dans ce type d’attaques, un criminel incite les victimes à télécharger des logiciels malveillants en les attirant avec un appât alléchant, mais compromis. L’appât peut être physique, comme une clé USB contenant un code malveillant et laissée bien en vue dans un lieu public. L’appât peut également être numérique, comme la publicité de téléchargements gratuits de films qui s’avèrent être des logiciels malveillants. 

Les escrocs utilisent souvent des techniques de pretexting pour rendre l’appât plus attrayant. Par exemple, un escroc pourrait apposer des étiquettes sur une clé USB compromise pour suggérer qu’elle appartient à une entreprise particulière et contient des fichiers importants.

Tailgating

Le pretexting peut également être utilisé pour les escroqueries en personne, telles que le tailgating. Le tailgating (ou « talonnage ») (voir aussi la variante appelée « piggybacking ») désigne le fait qu’une personne non autorisée suive de près une personne autorisée dans un lieu physique nécessitant une autorisation, comme un immeuble de bureaux sécurisé. Les escrocs utilisent le pretexting pour améliorer la réussite de leurs tentatives de tailgating, par exemple en se faisant passer pour un livreur et en demandant à un employé peu méfiant de lui ouvrir une porte fermée à clé.

Exemples de pretexting

Les escroqueries par usurpation d’identité, telles que le pretexting, sont le type de fraude le plus courant selon la Federal Trade Commission, avec des pertes déclarées de 2,7 milliards de dollars pour ces escroqueries l’année dernière.² Voici quelques-uns des types d’escroqueries par pretexting les plus courants :

Escroqueries liées à la mise à jour des comptes
Escroqueries par compromission des e-mails professionnels (BEC)
Escroqueries aux cryptomonnaies
Escroqueries aux grands-parents
Escroqueries sur les factures
Escroqueries fiscales et gouvernementales
Escroqueries liées aux offres d’emploi
Escroqueries sentimentales et escroqueries sociales
Escroqueries par scareware

Escroqueries liées à la mise à jour des comptes

Dans cette cyberattaque, l’escroc se fait passer pour un représentant d’une entreprise alertant la victime d’un problème avec son compte, comme des informations de facturation expirées ou un achat suspect. L’escroc inclut un lien qui conduit la victime vers un faux site Web qui dérobe ses identifiants de connexion, ses informations de carte de crédit, son numéro de compte bancaire ou son numéro de sécurité sociale.

Escroqueries par compromission des e-mails professionnels (BEC)

La compromission des e-mails professionnels (BEC) est un type d’attaque d’ingénierie sociale ciblée qui repose largement sur le pretexting. 25 % des attaques BEC (lien externe à ibm.com) commencent désormais par du pretexting.

Dans ce type d’escroquerie, le personnage est un cadre d’entreprise réel ou un associé de haut niveau ayant de l’autorité ou de l’influence sur la cible. Comme l’escroc se fait passer pour une personne en position de pouvoir, de nombreuses cibles se contenteront d’obtempérer.

La situation est le besoin d’aide du personnage pour une tâche (presque toujours) urgente. Par exemple, « Je suis coincé dans un aéroport et j’ai oublié mon mot de passe pour le système de paiement. Pouvez-vous me le rappeler ? » ou « Pouvez-vous virer XXX,XXX USD sur le compte bancaire N° YYYYY pour payer la facture ci-jointe ? Vite, avant qu’ils ne résilient notre service. »

En se faisant passer pour un patron par le biais de SMS, d’e-mails, d’appels téléphoniques et même de vidéos générées par l’IA, les escrocs peuvent souvent inciter les employés à exposer des informations sensibles ou même à commettre des délits.

Dans un cas célèbre, une conférence en ligne préenregistrée (et générée par l’IA) s’est terminée par des instructions données par de faux cadres supérieurs qui ont convaincu un employé de transférer 200 millions de dollars de Hong Kong aux attaquants.⁴

Année après année, la BEC se classe parmi les cybercrimes et les techniques d’ingénierie sociale les plus coûteux. Selon le rapport 2023 sur le coût d’une violation de données d’IBM, les violations de données causées par des attaques BEC coûtent en moyenne 4,88 millions de dollars aux victimes.

Selon les données de l’Internet Crime Complaint Center du FBI, les pertes totales subies par les victimes de BEC s’élèveront à près de 2,9 milliards de dollars en 2023.³

Escroqueries aux cryptomonnaies

Le fraudeur se fait passer pour un investisseur prospère ayant une opportunité infaillible en matière de cryptomonnaies et dirige la victime vers une fausse bourse de cryptomonnaies, où les informations financières ou l’argent de la victime sont dérobés.

Dans une variante à long terme de cette escroquerie, appelée « pig butchering » (boucherie de porcs), le fraudeur cultive une relation avec la victime et gagne sa confiance grâce aux médias sociaux. Ensuite, l’escroc présente une « opportunité commerciale » à la victime, qui est dirigée vers un site de cryptomonnaie pour effectuer des dépôts. Le site peut même déclarer à tort des gains de valeur de l’investissement, mais la devise ne peut jamais être retirée.⁵

Escroqueries aux grands-parents

Comme beaucoup d’escroqueries d’ingénierie sociale, elles s’adressent souvent à des personnes âgées. Le cybercriminel se fait passer pour le petit-fils ou la petite-fille de la victime et prétend être en difficulté (par exemple, il/elle a eu un accident de voiture ou a été arrêté[e]) et a besoin que ses grands-parents lui envoient de l’argent pour payer les frais d’hospitalisation ou la caution.

Escroqueries sur les factures

La victime ciblée reçoit une facture pour un service ou un produit qu’elle n’a pas commandé ou utilisé. L’escroc veut souvent que la victime clique sur un lien dans un e-mail pour demander plus d’informations ou se plaindre des frais. On demande ensuite à la victime de fournir des données personnelles (PII) pour vérifier son compte. Ces informations privées sont ce que l’escroc recherchait dès le début.

Escroqueries fiscales et gouvernementales

L’escroc se fait passer pour des responsables de l’Internal Revenue Service (IRS), des agents de l’application de la loi ou d’autres représentants du gouvernement, prétendant que la cible est en difficulté. Il peut s’agir d’un défaut de paiement d’impôts ou d’un mandat d’arrêt. En général, l’escroc demande à la personne visée d’effectuer un paiement pour éviter une arrestation, un privilège hypothécaire ou une saisie de salaire. Bien sûr, le paiement est versé sur le compte de l’escroc. 

Escroqueries aux offres d’emploi

Un demandeur d’emploi pourrait être prêt à divulguer des informations normalement sensibles à un employeur potentiel. Mais si la description du poste est fausse et publiée par un escroc, le candidat risque d’être victime d’une usurpation d’identité.

Escroqueries sentimentales et escroqueries sociales

L’escroc prétend chercher une relation amoureuse avec la victime. Après avoir conquis le cœur de la victime, l’escroc lui demande généralement de l’argent qui supprimera un dernier obstacle à leur (ré)union. Cet obstacle peut être une dette paralysante, une obligation légale ou même le coût d’un billet d’avion pour rendre visite à la victime.

Escroqueries par scareware

Les scarewares (ou « logiciels alarmants ») sont une escroquerie d’ingénierie sociale qui se sert de la peur pour pousser les gens à télécharger des logiciels malveillants, à dépenser de l’argent ou à transmettre des données personnelles. 

Le prétexte effrayant peut être une fausse alerte de virus, une fausse offre d’assistance technique ou une escroquerie des forces de l’ordre. Une fenêtre contextuelle peut avertir la victime que du « matériel illégal » a été trouvé sur son appareil numérique, ou un « test de diagnostic » en ligne peut lui indiquer que son appareil est compromis et qu’elle doit télécharger un (faux) logiciel antivirus pour le réparer.

Mesures de cybersécurité pour prévenir le pretexting

Comme pour toute autre forme d’ingénierie sociale, les tentatives de pretexting peuvent être difficiles à arrêter, car elles exploitent la psychologie humaine plutôt que des vulnérabilités techniques qui peuvent être corrigées. Mais il existe plusieurs mesures que les organisations peuvent prendre.

DMARC
Formation de sensibilisation à la sécurité
Autres technologies de cybersécurité

Rapports et conformité relatifs à l’authentification des messages par domaine (DMARC)

Le DMARC est un protocole d’authentification des e-mails qui aide à empêcher l’usurpation d’identité. En analysant le texte et les métadonnées des messages à la recherche d’indicateurs courants de compromission, le DMARC vérifie si un e-mail a été envoyé par le domaine dont il prétend provenir. Si un e-mail est usurpé, il peut être automatiquement redirigé vers un dossier spam ou supprimé.

Formation de sensibilisation à la sécurité

Dans la mesure où le pretexting manipule les gens pour qu’ils compromettent leur propre sécurité, la formation des employés à la détection et à la réponse adéquate aux escroqueries par pretexting peut contribuer à protéger une organisation. Les experts recommandent de réaliser des simulations basées sur des exemples concrets de pretexting pour aider les employés à faire la différence entre le pretexting et les demandes légitimes de leurs collègues.

La formation peut également inclure des protocoles clairs pour des mesures d’authentification strictes telles que l’authentification à étapes (MFA), le traitement d’informations précieuses, l’autorisation de paiements et la vérification des demandes auprès de leurs sources supposées avant d’y donner suite. 

La vérification peut consister tout simplement à envoyer un SMS à l’expéditeur présumé : « M’avez-vous envoyé ceci ? » ou un message au service d’assistance : « Est-ce que cela ressemble à un pirate informatique ? » Les procédures relatives aux transactions financières peuvent inclure l’obligation de valider les demandes entrantes en personne ou par le biais d’un contact personnel direct.

Lois contre le pretexting

Plusieurs lois sectorielles visent explicitement le pretexting.La loi Gramm-Leach-Bliley de 1999 criminalise le pretexting à l’égard des institutions financières, rendant illégal l’obtention des informations financières d’un client sous des prétextes. La loi exige également que les institutions financières forment leurs employés à détecter et à prévenir le pretexting. 

La loi américaine de 2006 sur les enregistrements téléphoniques et la protection de la vie privée interdit explicitement l’utilisation du pretexting pour accéder aux informations clients détenues par un fournisseur de télécommunications.

La Commission fédérale du commerce (FTC) a récemment adopté une règle qui interdit formellement l’usurpation de l’identité d’une agence gouvernementale ou d’une entreprise.⁵ Cette règle permet à la FTC d’interdire les tactiques de prétextation courantes, telles que l’utilisation du logo d’une entreprise sans autorisation, la création d’un faux site Web imitant un site légitime et l’usurpation d’e-mails professionnels.

Solutions connexes

IBM X-Force

Infraction de pirates informatiques. Une défense orientée recherche. Une protection basée sur les renseignements.

Découvrir IBM X-Force

Services de gestion des menaces

Prévoyez, prévenez et répondez aux menaces modernes pour accroître la résilience de l’entreprise.

Découvrir les services de gestion des menaces

Solutions de protection contre les ransomwares

Gérez de manière proactive vos risques liés à la cybersécurité en temps quasi réel et minimisez l’impact des attaques de ransomware grâce à un logiciel de protection anti-ransomware.

Découvrir les solutions contre les ransomwares

Ressources

Rapport sur le coût d’une fuite de données

Préparez-vous aux violations en comprenant comment elles se produisent et en vous renseignant sur les facteurs qui augmentent ou réduisent vos coûts.

X-Force Threat Intelligence Index

Donnez à votre entreprise les moyens de réussir en vous inspirant des défis et des réussites rencontrés par les équipes de sécurité à travers le monde.

Qu’est-ce que l’ingénierie sociale ?

Les attaques d’ingénierie sociale s’appuient sur la nature humaine plutôt que sur le piratage technique pour manipuler les personnes afin de compromettre leur sécurité personnelle ou la sécurité d’un réseau d’entreprise.

Passer à l’étape suivante

L’équipe internationale d’IBM X-Force Red propose une gamme complète de services de sécurité offensive, notamment des tests de pénétration, une gestion des vulnérabilités et une simulation d’adversaires, afin d’identifier, de hiérarchiser et de corriger les failles de sécurité pour tout votre écosystème numérique et physique.

Découvrir les services X-Force Red

Notes de bas de page

Tous les liens sont externes au site IBM.com.

¹ Social Engineering Penetration Testing (lien externe à ibm.com), Syngress, 2014.

²Think you know what the top scam of 2023 was? Take a guess (lien externe à ibm.com), Federal Trade Commission, 9 février 2024.

³ Internet Crime Report 2023 (lien externe à ibm.com), Federal Bureau of Investigation, 2024.

⁴ Hong Kong sees three deepfake video scams since last year, says security chief (lien externe à ibm.com), The Standard, 26 juin 2024.

⁵ FTC Announces Impersonation Rule Goes into Effect Today (lien externe à ibm.com), Federal Trade Commissio, 1er avril 2024.