L'ingénierie sociale manipule les personnes en les incitant à effectuer différentes actions : partager des informations qu'elles ne devraient pas divulguer, télécharger des logiciels dangereux ou non autorisés, visiter des sites Web déconseillés, envoyer de l'argent à des criminels ou commettre d'autres erreurs qui compromettent leur sécurité ou leurs actifs personnels ou organisationnels.
Un email semblant provenir d'un fournisseur de confiance qui vous demande de mettre à jour vos informations de carte de crédit, un message vocal menaçant d'un interlocuteur se faisant passer pour une administration fiscale, ou encore un potentat étranger qui vous propose de vous aider à vous enrichir : ce ne sont là que quelques exemples d'ingénierie sociale.
Comme l'ingénierie sociale exploite les faiblesses humaines plutôt que les vulnérabilités des systèmes techniques ou numériques, elle est parfois surnommée le "piratage humain".
Très souvent, les cybercriminels utilisent des tactiques d'ingénierie sociale pour obtenir un certain type de données personnelles (par exemple des identifiants de connexion ou des numéros de carte de crédit, de compte bancaire ou de sécurité sociale). Ces données leur permettent d'usurper des identités et ainsi d'utiliser les comptes bancaires ou les cartes de crédit ne leur appartenant pas, de solliciter des prêts en indiquant le nom d'autres personnes, de se faire verser frauduleusement les allocations de chômage d'un tiers, et ainsi de suite. Toutefois, une attaque d'ingénierie sociale peut aussi être la première étape d'une cyber-attaque de plus grande ampleur. Par exemple, un cybercriminel peut inciter une victime à partager un nom d'utilisateur et un mot de passe, puis mettre à profit ces informations pour implanter un ransomware dans le réseau de l'employeur de la victime.
L'ingénierie sociale a de quoi séduire les cybercriminels, car elle leur permet d'accéder à des réseaux, des appareils et des comptes numériques sans devoir se mesurer aux subtilités techniques du piratage nécessaires pour échapper aux pare-feu, aux logiciels antivirus et aux autres contrôles de la cyber-sécurité. C'est l'une des raisons pour lesquelles l'ingénierie sociale est la principale cause de compromission des réseaux aujourd'hui, selon le rapport State of Security 2021 de l'ISACA. C'est aussi l'un des fléaux les plus onéreux : selon le rapport Cost of a Data Breach 2021 d'IBM, les violations de données résultant des attaques d'ingénierie sociale coûtent en moyenne 4,47 millions de dollars aux entreprises.
Les tactiques et les techniques de l'ingénierie sociale reposent sur la science de la motivation humaine. Son principe consiste à manipuler les émotions et les instincts des victimes d'une manière dont on sait pertinemment qu'elle pousse les gens à agir dans un sens contraire à leur propre intérêt.
La plupart des attaques d'ingénierie sociale utilisent une ou plusieurs des tactiques suivantes :
Les attaques par hameçonnage sont des messages numériques ou vocaux qui tentent de convaincre les destinataires de partager des informations sensibles, de télécharger des logiciels malveillants, de transférer de l'argent ou des actifs à des destinataires frauduleux, ou d'effectuer une action quelconque qui, à terme, leur portera préjudice. Les escrocs créent des messages de hameçonnage qui semblent provenir d'une organisation ou d'un individu fiable ou crédible, parfois même d'une personne que le destinataire connaît personnellement.
Il existe plusieurs types d'arnaques à l'hameçonnage :
Selon le rapport Cost of a Data Breach 2021d'IBM, le hameçonnage est la méthode de diffusion de logiciels malveillants la plus courante et la deuxième cause des violations de données.
L'utilisation d'appâts incite les victimes à donner sciemment ou involontairement des informations sensibles ou à télécharger du code malveillant, en leur proposant une offre intéressante, voire un objet de valeur.
L'arnaque du prince nigérian est probablement l'exemple le plus connu de cette technique d'ingénierie sociale. Parmi les exemples plus récents, citons les téléchargements de jeux, de musique ou de logiciels gratuits mais infectés par des logiciels malveillants. Mais certaines formes d'appâts sont grossières. Par exemple, certains escrocs abandonnent simplement des clés USB infectées par des logiciels malveillants en espérant que des gens les trouveront, les ramassent et les utilisent en se disant "super, une clé USB gratuite".
Dans le cas du talonnage (tailgating), également appelé "piggybacking", une personne non autorisée se faufile juste derrière une personne autorisée dans une zone contenant des informations sensibles ou des actifs précieux. Le talonnage peut être physique, par exemple une personne se glissant à la suite d'un employé par une porte laissée ouverte. Mais le talonnage peut également être numérique, par exemple lorsqu'une personne laisse un ordinateur sans surveillance tout en restant connectée à un compte privé ou à un réseau.
Le faux-semblant consiste pour l'escroc à créer une fausse situation qu'il présente à la victime et se faire passer pour la personne capable de résoudre le problème. Très souvent (ironie suprême), l'escroc prétend que la victime a été touchée par une faille de sécurité, puis propose de régler le problème si la victime lui fournit des informations importantes sur son compte ou lui cède le contrôle de son ordinateur ou de son appareil. Techniquement parlant, presque toutes les attaques d'ingénierie sociale impliquent un certain degré de recours à un faux-semblant.
Dans une arnaque de type "quid pro quo", les pirates font miroiter un bien ou un service convoité en échange des informations sensibles de la victime. Les gains à de faux concours ou des récompenses apparemment innocentes de la fidélité de l'usager ("nous vous remercions de votre paiement et nous avons un cadeau pour vous") sont des exemples de stratagèmes de type quid pro quo.
Également considéré comme une forme de logiciel malveillant, le logiciel alarmant ou scareware utilise la peur pour inciter les utilisateurs à partager des informations confidentielles ou à télécharger des logiciels malveillants. Ils prennent souvent la forme d'un faux avis des forces de l'ordre accusant la personne d'un délit, ou d'un faux message d'assistance technique avertissant l'utilisateur de la présence d'un logiciel malveillant sur son appareil.
S'inspirant de la phrase "quelqu'un a empoisonné le trou d'eau", les pirates informatiques injectent un code malveillant dans une page Web légitime fréquentée par leurs cibles. Les attaques du trou d'eau sont à l'origine de toutes sortes d'incidents, depuis le vol d'informations d'identification en passant par les téléchargements involontaires de ransomware.
Les attaques d'ingénierie sociale sont notoirement difficiles à empêcher, car elles reposent sur la psychologie humaine et non sur des stratagèmes technologiques. La surface d'attaque est également très importante : dans une grande organisation, il suffit de l'erreur d'un seul employé pour compromettre l'intégrité de l'ensemble du réseau de l'entreprise. Voici quelques-unes des mesures recommandées par les spécialistes pour atténuer le risque posé par les arnaques d'ingénierie sociale et brider leur succès :
Testez les employés en leur faisant faire des exercices de hameçonnage, de vishing et d'ingénierie sociale physique
Protégez votre organisation contre les menaces internes malveillantes ou involontaires.
Protégez vos utilisateurs, vos actifs et vos données en gérant et en prévenant la fraude avant qu'elle ne se produise.
Protégez vos employés contre les attaques par hameçonnage qui peuvent compromettre la sécurité de votre organisation.
Pénétration des applications, des réseaux, des matériels et hameçonnage des équipes pour découvrir et corriger les vulnérabilités.
Identifiez, hiérarchisez et gérez la correction des failles susceptibles d'exposer vos actifs stratégiques.
Solutions de renseignement sur les menaces mondiales comprenant des produits et une expertise de premier plan.
Les conclusions tirées de 537 violations de données réelles vous aident à comprendre le cyber-risque dans un monde en pleine mutation.
Les ransomware prennent en otage les appareils et les données des victimes jusqu'au paiement d'une rançon.
Les arnaques par hameçonnage présentent des risques financiers et de sécurité importants pour les particuliers et les entreprises.
Certaines formes de logiciel malveillant sont à l'origine de quasiment tous les types de cyberattaques.
La sécurité des données protège les informations numériques contre les accès non autorisés, la corruption ou le vol.
Le but des cyberattaques est de dérober, exposer, modifier, désactiver ou détruire des informations grâce à un accès non autorisé aux systèmes informatiques.
L'authentification multi-facteurs renforce la sécurité, répond aux exigences de conformité réglementaire et met en place une stratégie de sécurité à confiance zéro.