Qu’est-ce que l’ingénierie sociale ?

Un e-mail semblant provenir d’un collègue digne de confiance et demandant des informations sensibles, un message vocal menaçant prétendant provenir de l’administration fiscale et une fortune promise par un potentat étranger sont autant d’exemples d’ingénierie sociale. Comme l’ingénierie sociale s’appuie sur la manipulation psychologique et exploite les erreurs ou les faiblesses humaines plutôt que les vulnérabilités techniques ou numériques des systèmes, elle est parfois appelée « piratage humain » (« human hacking » en anglais).

Les cybercriminels utilisent fréquemment ce genre de méthodes dans le but d’obtenir des données personnelles ou des informations financières (identifiants de connexion et numéros de carte bancaire, de compte en banque et de sécurité sociale). Ils s’en servent ensuite pour usurper l’identité de leurs victimes et réaliser des achats, en espèces ou par carte bancaire, contracter des prêts en leur nom ou encore demander des allocations de chômage.

Cependant, l’ingénierie sociale peut également constituer la première étape d’une cyberattaque de plus grande envergure. Par exemple, un cybercriminel peut inciter une victime à lui communiquer son nom d’utilisateur et son mot de passe, puis utiliser ces identifiants pour installer un ransomware sur le réseau de son employeur.

L’ingénierie sociale séduit les cybercriminels car elle leur permet d’accéder à des réseaux, des appareils et des comptes en ligne sans avoir la lourde tâche de contourner les pare-feux, les logiciels antivirus et autres dispositifs de cybersécurité.

Cela explique en partie pourquoi l’ingénierie sociale est aujourd’hui la principale cause de compromission des réseaux, selon le State of Cybersecurity 2022 Report (Rapport sur l’état des lieux de la cybersécurité en 2022) de l’ISACA. Selon un rapport sur le coût d’une violation de données d’IBM, les violations causées par des tactiques d’ingénierie sociale (telles que le phishing et la compromission de la messagerie d’entreprise) comptent parmi les plus coûteuses.

Les tactiques et les techniques d’ingénierie sociale reposent sur la science de la motivation humaine. Elles manipulent les émotions et les instincts des victimes de manière à les pousser à prendre des mesures qui ne sont pas dans leur intérêt.

En règle générale, ces attaques font appel à une ou plusieurs des tactiques suivantes :

• Se faire passer pour une marque réputée : les escrocs usurpent souvent l’identité d’entreprises que les victimes connaissent, auxquelles elles font confiance et avec lesquelles elles font peut-être souvent ou régulièrement affaire, au point de suivre les instructions de ces marques par réflexe, sans prendre les précautions qui s’imposent. Certains escrocs se servent de kits très répandus afin de créer de faux sites Web imitant ceux de grandes marques ou entreprises.

• Se faire passer pour une administration ou une autorité : l’autorité suscite la confiance, le respect ou la crainte des gens (à des degrés divers). Les attaques d’ingénierie sociale jouent sur ces instincts à l’aide de messages qui semblent ou prétendent provenir d’administrations (par exemple l’administration fiscale ou le ministère de l’Intérieur), de personnalités politiques ou même de célébrités.

• Induire la peur ou un sentiment d’urgence : les individus ont tendance à agir de manière irréfléchie lorsqu’ils sont effrayés ou sous pression. Un grand nombre de techniques sont utilisées dans les escroqueries par ingénierie sociale afin de susciter la peur ou le sentiment d’urgence chez les victimes. À titre d’exemple, on peut citer le refus d’une transaction récente, l’infection de leur ordinateur par un virus, ou encore la violation d’un droit d’auteur par une image utilisée sur leur site Web. Les malfaiteurs ont également recours à la peur de rater quelque chose afin de générer un autre sentiment d’urgence.

• Faire appel à la cupidité : l’escroquerie du prince nigérian, un e-mail dans lequel une personne prétendant être un membre de la famille royale nigériane essayant de fuir son pays offre une énorme récompense financière en échange des coordonnées bancaires du destinataire ou d’une petite avance de frais, est l’un des exemples les plus connus d’ingénierie sociale faisant appel à la cupidité. Ce type d’attaque d’ingénierie sociale émane également d’une figure d’autorité présumée et crée un sentiment d’urgence, une combinaison redoutable. Cette escroquerie est aussi vieille que la messagerie électronique elle-même, néanmoins, en 2018, elle rapportait encore près de 600 000 EUR.

• Faire appel à la serviabilité ou à la curiosité : les stratagèmes d’ingénierie sociale peuvent également faire appel à la bonne nature des victimes. Par exemple, un message qui semble provenir d’un ami ou d’un réseau social peut proposer une aide technique, solliciter la participation à une enquête, prétendre que la publication du destinataire est devenue virale, puis fournir un lien frauduleux vers un faux site Web ou un logiciel malveillant.

Le phishing repose sur des messages numériques ou vocaux qui visent à manipuler les destinataires pour les amener à partager des informations sensibles, à télécharger des logiciels malveillants, à transférer de l’argent ou des actifs à des personnes mal intentionnées ou à prendre d’autres mesures préjudiciables. Les escrocs conçoivent ces messages de manière à ce qu’ils aient l’air de provenir d’une entreprise ou d’un individu de confiance ou crédible, parfois même d’une personne que le destinataire connaît personnellement.

Le phishing revêt de nombreuses formes :

• Les e-mails de phishing en masse sont envoyés à des millions de destinataires à la fois. Ils semblent émaner d’une grande entreprise ou d’une organisation bien connue (une banque nationale ou internationale, une grande enseigne d’e-commerce, un fournisseur de services de paiement en ligne populaire, etc.), et contiennent une demande standard telle que « nous avons des difficultés à traiter votre achat, veuillez mettre à jour vos coordonnées bancaires ». Or, ces messages renferment souvent un lien malveillant qui dirige le destinataire vers un faux site Web l’invitant à saisir son nom d’utilisateur, son mot de passe, ses coordonnées bancaires et bien d’autres informations.

• Le phishing ciblé vise des individus précis, qui ont généralement un accès privilégié aux informations des utilisateurs, au réseau informatique ou aux fonds de l’entreprise. Les escrocs effectuent des recherches sur la cible, souvent sur LinkedIn, Facebook ou d’autres réseaux sociaux, en vue d’élaborer un message qui semble provenir d’une personne que la cible connaît et en qui elle a confiance, ou qui fait référence à des situations qui lui sont familières. Le whale phishing est un type de phishing ciblé qui vise une personne très en vue, telle qu’un PDG ou une personnalité politique. Dans le cas de la compromission de la messagerie d’entreprise (BEC), les pirates informatiques utilisent des identifiants compromis pour envoyer des messages électroniques à partir de la véritable messagerie d’une personnalité, ce qui rend l’escroquerie d’autant plus difficile à détecter.

• Le voice phishing ou vishing (ou « hameçonnage par téléphone ») est un type de phishing effectué par appel téléphonique. Généralement, les malfaiteurs téléphonent aux victimes et leur passent des enregistrements menaçants prétendant provenir des forces de l'ordre.

• Le smishing, ou phishing par SMS, consiste cette fois à lancer l’hameçon par SMS.

• Le phishing par moteur de recherche désigne la création par des pirates informatiques de sites Web malveillants qui se classent en tête des résultats de recherche pour des termes populaires.

• L'angler phishing (littéralement « hameçonnage du pêcheur ») est une forme de phishing utilisant de faux comptes de réseaux sociaux qui se font passer pour le compte officiel des équipes de service ou de support à la clientèle d'entreprises de confiance.

Selon l’IBM X-Force Threat Intelligence Index, le phishing est le principal vecteur d’infection par des logiciels malveillants, représentant 41 % de tous les incidents. Selon le rapport sur le coût d’une violation de données, le phishing est le vecteur d’attaque initial entraînant les violations de données les plus coûteuses.

Le baiting (ou « technique de l'appât » ou « appâtage ») consiste à leurrer les victimes pour qu'elles donnent, sciemment ou non, des informations sensibles ou téléchargent du code malveillant, en les tentant avec une offre alléchante ou un objet de valeur.

L’arnaque du prince nigérian est probablement l’exemple le plus connu de cette technique d’ingénierie sociale. Plus récemment, on a vu des jeux, de la musique ou des logiciels en téléchargement gratuit infectés par des logiciels malveillants. Toutefois, certaines formes de baiting n’ont rien de sorcier. Par exemple, certains malfaiteurs laissent simplement des clés USB infectées par des logiciels malveillants à la libre disposition du public, qui profite de l’aubaine pour s’en emparer et les utiliser.

Le tailgating (ou « talonnage ») (voir aussi la variante appelée « piggybacking ») désigne le fait qu'une personne non autorisée suive de près une personne autorisée dans une zone contenant des informations sensibles ou des actifs de grande valeur. Le talonnage peut être effectué en personne, par exemple si un malfaiteur se faufile derrière un employé après que celui-ci a déverrouillé une porte. Il peut également avoir lieu par voie informatique, par exemple lorsqu'une personne laisse un ordinateur sans surveillance alors qu'elle est toujours connectée à un compte ou à un réseau privé.

Dans le cas du pretexting (ou « prétexte »), le malfaiteur génère une fausse situation pour la victime et se fait passer pour la personne la mieux placée pour la résoudre. Très souvent (et de manière très ironique), l'escroc prétend que la victime a été touchée par une violation de la sécurité, puis lui propose de régler le problème si elle lui fournit des informations importantes sur son compte ou si elle prend le contrôle de son ordinateur ou de son appareil. Sur le plan technique, presque toutes les attaques d'ingénierie sociale impliquent un certain degré de prétexte.

Les attaques de type « quid pro quo » consistent à faire miroiter aux victimes un bien ou un service intéressant en échange de leurs informations confidentielles. À titre d’exemple, on peut citer de faux prix de concours ou des récompenses de fidélité en apparence anodines (« merci pour votre paiement, nous avons un cadeau pour vous »).

Classés dans la catégorie des malwares, les scarewares (ou « alarmiciels ») désignent des logiciels qui utilisent la peur pour inciter les utilisateurs à partager des informations confidentielles ou à télécharger des logiciels malveillants. Ils se caractérisent souvent par un faux avis des forces de l’ordre accusant l’utilisateur d’un délit, ou par un faux message de l’assistance technique avertissant l’utilisateur de la présence d’un malware sur son appareil.

Les attaques de type watering hole (ou « point d'eau ») sont inspirées de l'expression « somebody poisoned the watering hole » (quelqu'un a contaminé le point d'eau), où les pirates informatiques injectent du code malveillant dans une page Web légitime fréquentée par leurs cibles. Cette technique permet tout un éventail de violations, depuis le vol d'identifiants jusqu'au téléchargement furtif de ransomwares.

Les attaques d’ingénierie sociale sont notoirement difficiles à combattre dans la mesure où elles s’appuient sur la psychologie humaine plutôt que sur des moyens technologiques. La surface d’attaque est également significative : dans une grande entreprise par exemple, il suffit qu’un seul employé commette une erreur pour compromettre l’intégrité de l’ensemble du réseau. Voici quelques mesures recommandées par les spécialistes pour limiter les risques et les chances de réussite des escroqueries par ingénierie sociale :

• Sensibilisation à la sécurité : de nombreux utilisateurs sont incapables de reconnaître les attaques d’ingénierie sociale. À une époque où ils troquent fréquemment des informations personnelles en échange de biens et de services, ils ne se rendent pas compte que le fait de communiquer des informations en apparence banales, telles qu’un numéro de téléphone ou une date de naissance, peut permettre à des pirates informatiques de s’introduire dans un compte. Une formation à la sécurité, associée à des politiques rigoureuses de sécurité des données, permet aux employés d’une part de comprendre comment protéger leurs données sensibles, et d’autre part de détecter les attaques d’ingénierie sociale en cours et d’y répondre.

• Politiques de contrôle d’accès : des politiques et des technologies de contrôle d’accès sécurisé, notamment l’authentification à étapes, l’authentification adaptative et la sécurité Zero Trust, permettent de limiter l’accès des cybercriminels aux informations et aux actifs sensibles du réseau des entreprises, même s’ils parviennent à mettre la main sur des identifiants de connexion.

• Technologies de cybersécurité : les filtres anti-spam et les passerelles de messagerie sécurisées peuvent empêcher certaines attaques par phishing de parvenir aux employés en premier lieu. Les pare-feux et les logiciels antivirus limitent l’ampleur des dégâts causés par les attaquants qui accèdent au réseau. Le maintien à jour des systèmes d’exploitation avec les derniers correctifs contribue également à résorber certaines vulnérabilités que les assaillants exploitent par le biais de l’ingénierie sociale. Enfin, les solutions de détection et de réponse avancées, notamment la détection et réponse des terminaux (EDR) et la détection et réponse étendues (XDR), permettent aux équipes de sécurité de détecter et de neutraliser rapidement les atteintes à la sécurité qui infectent le réseau par le biais de tactiques d’ingénierie sociale.