L’ingénierie sociale au service de la cybercriminalité

L’ingénierie sociale (ou « social engineering » en anglais) est l’art de manipuler une personne pour contourner un dispositif de sécurité, en exploitant les failles humaines et sociales (tromperie ou usurpation d’identité). L’attaquant se sert de la naïveté de sa victime et de sa force de persuasion pour arriver à son but. Concrètement, il peut notamment s’agir d’obtenir des informations personnelles par téléphone, email, chat, face à face…

Vous en êtes victime tous les jours

Lorsque vous recevez un email de phishing, vous faisant croire que vous devez mettre à jour vos coordonnées bancaires pour un quelconque service auquel vous pourriez être abonné (EDF, centre des impôts, opérateur mobile, PayPal…), c’est un aperçu d’ingénierie sociale. On compte sur votre naïveté pour vous arnaquer, en vous prétextant une clôture de compte imminente ou un impayé qui vous sera prélevé immédiatement, pour vous faire peur et vous faire agir dans la précipitation.

L’arnaque par scam nigérian est un autre exemple : on vous envoie un email vous faisant croire qu’un proche est en difficulté, que vous pourriez bénéficier d’une belle somme d’argent en rendant un tout petit service à un inconnu, ou que vous avez enfin trouvé l’amour… Les escrocs sont extrêmement habiles et savent manipuler la conversation pour vous amener à croire à leurs histoires si vous n’êtes pas un minimum averti.

Les entreprises sont particulièrement visées par l’ingénierie sociale

La cible de l’attaque est toujours un individu, souvent une nouvelle recrue plus facile à duper. Les objectifs, en ciblant les entreprises, sont les mêmes que pour n’importe quel piratage informatique : dérober des données, de l’argent, des informations confidentielles, installer un malware pour nuire à l’entreprise… Mais cela peut aussi être motivé par un désir de vengeance ou la recherche d’informations concurrentielles.

Les techniques d’ingénierie sociale prennent plusieurs formes :

• Usurper l’identité d’un collaborateur par téléphone pour soutirer des informations confidentielles (par exemple : se faire passer pour un administrateur système pour récupérer des logins et mots de passe).
• Usurper l’identité d’un collaborateur ou d’un dirigeant en utilisant par exemple les informations disponibles sur LinkedIn, pour ordonner un virement frauduleux. Cette technique s’appelle la « fraude au président ».
• Envoyer un email de phishing.
• Renvoyer vers un site frauduleux en envoyant un email à la victime ou via les réseaux sociaux.

Ces attaques ont un coût qui n’est pas négligeable : entre 25 000 et plus 100 000$ selon les entreprises visées. Cela prend en compte les interruptions d’activité engendrées, la perte de revenus, la détérioration de l’image de l’entreprise…

Les terminaux mobiles mal sécurisés, les mauvaises pratiques ou la non-sensibilisation à ces techniques sont autant de facteurs augmentant les risques de se faire piéger. D’autant que plus d’un tiers des entreprises n’auraient pas mis en place de formation des salariés, ou de politique de sécurité, pour contrer ces attaques.