Qu'est-ce que l'ingénierie sociale ?

L'ingénierie sociale s'appuie sur la nature humaine, plutôt que sur le piratage technique, pour manipuler les personnes afin de les inciter à compromettre leur sécurité personnelle ou celle de l'entreprise.

Dessin isométrique montrant des employés de bureau utilisant tous IBM Security
Qu'est-ce que l'ingénierie sociale ?

L'ingénierie sociale manipule les personnes en les incitant à effectuer différentes actions : partager des informations qu'elles ne devraient pas divulguer, télécharger des logiciels dangereux ou non autorisés, visiter des sites Web déconseillés, envoyer de l'argent à des criminels ou commettre d'autres erreurs qui compromettent leur sécurité ou leurs actifs personnels ou organisationnels.

Un email semblant provenir d'un fournisseur de confiance qui vous demande de mettre à jour vos informations de carte de crédit, un message vocal menaçant d'un interlocuteur se faisant passer pour une administration fiscale, ou encore un potentat étranger qui vous propose de vous aider à vous enrichir : ce ne sont là que quelques exemples d'ingénierie sociale.

Comme l'ingénierie sociale exploite les faiblesses humaines plutôt que les vulnérabilités des systèmes techniques ou numériques, elle est parfois surnommée le "piratage humain".

Très souvent, les cybercriminels utilisent des tactiques d'ingénierie sociale pour obtenir un certain type de données personnelles (par exemple des identifiants de connexion ou des numéros de carte de crédit, de compte bancaire ou de sécurité sociale). Ces données leur permettent d'usurper des identités et ainsi d'utiliser les comptes bancaires ou les cartes de crédit ne leur appartenant pas, de solliciter des prêts en indiquant le nom d'autres personnes, de se faire verser frauduleusement les allocations de chômage d'un tiers, et ainsi de suite. Toutefois, une attaque d'ingénierie sociale peut aussi être la première étape d'une cyber-attaque de plus grande ampleur. Par exemple, un cybercriminel peut inciter une victime à partager un nom d'utilisateur et un mot de passe, puis mettre à profit ces informations pour implanter un ransomware dans le réseau de l'employeur de la victime.

L'ingénierie sociale a de quoi séduire les cybercriminels, car elle leur permet d'accéder à des réseaux, des appareils et des comptes numériques sans devoir se mesurer aux subtilités techniques du piratage nécessaires pour échapper aux pare-feu, aux logiciels antivirus et aux autres contrôles de la cyber-sécurité. C'est l'une des raisons pour lesquelles l'ingénierie sociale est la principale cause de compromission des réseaux aujourd'hui, selon le rapport State of Security 2021 de l'ISACA. C'est aussi l'un des fléaux les plus onéreux : selon le rapport Cost of a Data Breach 2021 d'IBM, les violations de données résultant des attaques d'ingénierie sociale coûtent en moyenne 4,47 millions de dollars aux entreprises.


Fonctionnement et causes de l'ingénierie sociale

Les tactiques et les techniques de l'ingénierie sociale reposent sur la science de la motivation humaine. Son principe consiste à manipuler les émotions et les instincts des victimes d'une manière dont on sait pertinemment qu'elle pousse les gens à agir dans un sens contraire à leur propre intérêt.

La plupart des attaques d'ingénierie sociale utilisent une ou plusieurs des tactiques suivantes :

  • Se faire passer pour une marque digne de confiance : Les escrocs usurpent souvent l'identité d'entreprises connues des victimes. Ce sont des marques auxquelles elles font confiance et avec lesquelles elles interagissent souvent ou régulièrement, au point qu'elles suivent les instructions de ces marques par réflexe, sans prendre les précautions nécessaires. Certains fraudeurs en ingénierie sociale utilisent des kits faciles à se procurer qui leur permettent de créer de faux sites Web ressemblant à s'y méprendre à ceux de marques ou entreprises connues.
  • Se faire passer pour une agence gouvernementale ou un représentant de l'autorité : Face aux autorités, nos réactions sont la confiance, le respect ou la crainte, à des degrés divers. Les attaques d'ingénierie sociale jouent sur ces instincts en envoyant des messages qui semblent ou prétendent provenir d'agences gouvernementales (par exemple la police, le fisc, etc.), de personnalités politiques ou même de célébrités.
  • Insuffler la peur ou un sentiment d'urgence : Les gens ont tendance à agir de manière irréfléchie lorsqu'ils ont peur ou sont pressés. L'ingénierie sociale utilise tout un éventail de techniques pour susciter la peur ou l'urgence. Parmi les scénarios courants, l'escroc prévient par exemple sa victime qu'une transaction de crédit récente n'a pas été approuvée, qu'un virus a infecté son ordinateur, qu'une image utilisée sur son site Web enfreint un droit d'auteur, et ainsi de suite. L'ingénierie sociale peut également jouer sur la peur de rater quelque chose, ce qui crée un autre type de sentiment d'urgence.
  • Faire jouer l'appât du gain  : L'arnaque du prince nigérian est un email dans lequel une personne, prétendant être un prince de sang royal nigérian tentant de fuir son pays, offre une énorme récompense financière en échange d'informations sur le compte bancaire du destinataire ou d'une petite avance de fonds. C'est l'un des exemples les plus connus d'ingénierie sociale jouant sur l'appât du gain. En outre, comme c'est une figure d'autorité présumée qui prétend être l'auteur de l'email, le tout crée un sentiment d'urgence : c'est une combinaison très efficace. Cette arnaque est aussi ancienne que l'invention de l'email lui-même, mais il n'en reste pas moins qu'en 2018, elle rapportait encore 700 000 USD par an.
  • Faire appel à la serviabilité ou à la curiosité : Les stratagèmes d'ingénierie sociale peuvent également faire appel au bon cœur des victimes. Par exemple, un message qui semble provenir d'un ami ou du site d'un réseau social peut proposer une assistance technique, demander la participation à une enquête, prétendre qu'une publication du destinataire est devenue virale, et fournir au passage un lien usurpé dirigeant vers un faux site Web ou le téléchargement d'un logiciel malveillant.

Types d'attaques d'ingénierie sociale

Hameçonnage

Les attaques par hameçonnage sont des messages numériques ou vocaux qui tentent de convaincre les destinataires de partager des informations sensibles, de télécharger des logiciels malveillants, de transférer de l'argent ou des actifs à des destinataires frauduleux, ou d'effectuer une action quelconque qui, à terme, leur portera préjudice. Les escrocs créent des messages de hameçonnage qui semblent provenir d'une organisation ou d'un individu fiable ou crédible, parfois même d'une personne que le destinataire connaît personnellement.

Il existe plusieurs types d'arnaques à l'hameçonnage :

  • Les emails de hameçonnage en masse sont envoyés à des millions de destinataires à la fois. Ils semblent être envoyés par une entreprise ou une organisation importante et bien connue, par exemple une banque nationale ou internationale, une grande enseigne en ligne, etc. Ils contiennent une demande à caractère général, par exemple en indiquant à la victime potentielle que des problèmes se sont produits lors du traitement de son achat et qu'elle doit mettre à jour ses informations de carte de crédit.
  • Le harponnage cible une personne bien précise, en général celle qui dispose d'un accès privilégié aux informations des utilisateurs, au réseau informatique ou aux fonds de l'entreprise. Un escroc se renseigne sur la cible, souvent via les médias sociaux, pour créer un message qui semble provenir d'une personne que la cible connaît et en qui elle a confiance, ou qui fait référence à des situations dont la cible est au courant. La chasse à la baleine (whaling) est un harponnage qui cible une personne très en vue, tel qu'un PDG ou une personnalité politique. Dans le cas du courrier électronique frauduleux (BEC), le pirate utilise des informations d'identification compromises pour envoyer des messages électroniques à partir du vrai compte de messagerie d'un représentant de l'autorité, ce qui rend l'arnaque encore plus difficile à détecter.
  • Le hameçonnage vocal (ou vishing) est un hameçonnage par téléphone. Il prend souvent la forme d'appels enregistrés menaçants prétendant provenir de la police. IBM X-Force a récemment déterminé que l'ajout du vishing à une campagne de hameçonnage ciblée peut parfois tripler le succès de la campagne.
  • Le hameçonnage par SMS, ou smishing, est un autre forme de hameçonnage.
  • Le hameçonnage par moteur de recherche consiste pour les pirates à créer des sites Web malveillants qui se classent bien dans les résultats de Google correspondant à des termes de recherche populaires.
  • L"angler phishing", littéralement hameçonnage du pêcheur, est un hameçonnage qui utilise de faux comptes de médias sociaux qui se font passer pour le compte officiel des équipes du service ou du support clients d'entreprises de confiance.

Selon le rapport Cost of a Data Breach 2021d'IBM, le hameçonnage est la méthode de diffusion de logiciels malveillants la plus courante et la deuxième cause des violations de données.

La technique des appâts

L'utilisation d'appâts incite les victimes à donner sciemment ou involontairement des informations sensibles ou à télécharger du code malveillant, en leur proposant une offre intéressante, voire un objet de valeur.

L'arnaque du prince nigérian est probablement l'exemple le plus connu de cette technique d'ingénierie sociale. Parmi les exemples plus récents, citons les téléchargements de jeux, de musique ou de logiciels gratuits mais infectés par des logiciels malveillants. Mais certaines formes d'appâts sont grossières. Par exemple, certains escrocs abandonnent simplement des clés USB infectées par des logiciels malveillants en espérant que des gens les trouveront, les ramassent et les utilisent en se disant "super, une clé USB gratuite".

Talonnage (tailgating)

Dans le cas du talonnage (tailgating), également appelé "piggybacking", une personne non autorisée se faufile juste derrière une personne autorisée dans une zone contenant des informations sensibles ou des actifs précieux. Le talonnage peut être physique, par exemple une personne se glissant à la suite d'un employé par une porte laissée ouverte. Mais le talonnage peut également être numérique, par exemple lorsqu'une personne laisse un ordinateur sans surveillance tout en restant connectée à un compte privé ou à un réseau.

Faux-semblant

Le faux-semblant consiste pour l'escroc à créer une fausse situation qu'il présente à la victime et se faire passer pour la personne capable de résoudre le problème. Très souvent (ironie suprême), l'escroc prétend que la victime a été touchée par une faille de sécurité, puis propose de régler le problème si la victime lui fournit des informations importantes sur son compte ou lui cède le contrôle de son ordinateur ou de son appareil. Techniquement parlant, presque toutes les attaques d'ingénierie sociale impliquent un certain degré de recours à un faux-semblant.

Attaque de type quid pro quo

Dans une arnaque de type "quid pro quo", les pirates font miroiter un bien ou un service convoité en échange des informations sensibles de la victime. Les gains à de faux concours ou des récompenses apparemment innocentes de la fidélité de l'usager ("nous vous remercions de votre paiement et nous avons un cadeau pour vous") sont des exemples de stratagèmes de type quid pro quo.

Logiciel alarmant (scareware)

Également considéré comme une forme de logiciel malveillant, le logiciel alarmant ou scareware utilise la peur pour inciter les utilisateurs à partager des informations confidentielles ou à télécharger des logiciels malveillants. Ils prennent souvent la forme d'un faux avis des forces de l'ordre accusant la personne d'un délit, ou d'un faux message d'assistance technique avertissant l'utilisateur de la présence d'un logiciel malveillant sur son appareil.

Attaque du trou d'eau

S'inspirant de la phrase "quelqu'un a empoisonné le trou d'eau", les pirates informatiques injectent un code malveillant dans une page Web légitime fréquentée par leurs cibles. Les attaques du trou d'eau sont à l'origine de toutes sortes d'incidents, depuis le vol d'informations d'identification en passant par les téléchargements involontaires de ransomware.


Dispositifs de défense contre d'ingénierie sociale

Les attaques d'ingénierie sociale sont notoirement difficiles à empêcher, car elles reposent sur la psychologie humaine et non sur des stratagèmes technologiques. La surface d'attaque est également très importante : dans une grande organisation, il suffit de l'erreur d'un seul employé pour compromettre l'intégrité de l'ensemble du réseau de l'entreprise. Voici quelques-unes des mesures recommandées par les spécialistes pour atténuer le risque posé par les arnaques d'ingénierie sociale et brider leur succès :

 

  • Formation de sensibilisation à la sécurité : De nombreux utilisateurs ignorent comment identifier les attaques d'ingénierie sociale. A une époque où ils échangent fréquemment des informations personnelles contre des biens et des services, ils ne se rendent pas compte que communiquer des informations apparemment anodines, telles qu'un numéro de téléphone ou une date de naissance, peut permettre aux pirates de violer un compte. Une formation de sensibilisation à la sécurité, associée à des politiques de sécurité des données, peut aider les employés à comprendre comment protéger leurs données sensibles et comment détecter les attaques d'ingénierie sociale en cours et y réagir.
  • Politiques de contrôle des accès : Les politiques et technologies sécurisées de contrôle des accès, y compris l'authentification multifactorielle, l'authentification adaptative et une approche de sécurité de type confiance zéro, peuvent limiter l'accès des cybercriminels aux informations et aux actifs sensibles du réseau d'entreprise, même s'ils obtiennent les identifiants de connexion des utilisateurs.
  • Technologies de cybersécurité : Les filtres anti-spam et les passerelles de messagerie sécurisées peuvent empêcher certaines attaques de hameçonnage d'arriver jusqu'aux employés. Les pare-feu et les logiciels antivirus peuvent atténuer l'ampleur des dégâts causés par les attaquants qui accèdent au réseau. Le fait de mettre à jour régulièrement les systèmes d'exploitation en appliquant les derniers correctifs permet également de remédier à certaines vulnérabilités exploitées par les attaquants par le biais de l'ingénierie sociale. Enfin, les solutions avancées de détection et de réponse, notamment la détection et la réponse des nœuds finaux (EDR) et la détection et la réponse étendues (XDR), aident les équipes de sécurité à détecter et à neutraliser rapidement les menaces de sécurité qui infectent le réseau suite aux tactiques de l'ingénierie sociale.