Ingénierie sociale (social engineering) 🔴 Attaque

L’ingénierie sociale, ou « social engineering » en anglais, désigne l’ensemble des techniques de manipulation psychologique utilisées par les individus malveillants, souvent des cybercriminels, pour amener des personnes à divulguer des informations confidentielles ou à effectuer des actions compromettant la sécurité de leurs données personnelles ou celles de leur organisation.

Ces attaques ne ciblent pas directement les systèmes informatiques, mais exploitent les faiblesses humaines, en jouant sur des émotions et des biais cognitifs tels que la confiance (en se faisant passer pour une personne de confiance), la peur (d’une sanction ou d’un problème urgent), l’urgence (pour obtenir une réaction rapide), la curiosité (avec des appâts alléchants), l’appât du gain (promesses de gains financiers), l’altruisme (demande d’aide pour une cause), ou encore l’ignorance.

---

Types d’ingénieries sociales

1. Hameçonnage (phishing) : Envoi de courriels ou messages frauduleux imitant des sources légitimes (banques, réseaux sociaux, administrations, fournisseurs d’énergie…).
2. Hameçonnage ciblé (spear phishing) : version très ciblée et personnalisée du phishing,  utilisant des informations personnelles pour augmenter la crédibilité.
3. Chasse à la baleine (whaling) : attaque de type « spear phishing » qui ciblent des employés de haut niveau au sein d’une organisation.
4. Hameçonnage téléphonique (vishing) :  les attaquants appellent leurs victimes en se faisant passer pour des représentants de services officiels ou d’entreprises  (ex. faux support technique).
5. Hameçonnage par SMS (smishing) : phishing par SMS.
6. Usurpation d’identité : les attaquants se font passer pour une personne de confiance (collègue, ami, supérieur hiérarchique).
7. Appât (baiting) : offre d’un avantage (ex. logiciel ou musiques gratuites, réductions) à fournir ses identifiants de connexion ou à entreprendre d’autres actions comme télécharger un malware.
8. Prétexte (pretexting) : création d’un scénario inventé de toutes pièces pour amener la victime à divulguer des informations ou à effectuer une action.. Par ex. faux policier, faux agent d’un fournisseur d’électricité, faux enquêteur d’un institut de sondage, etc.
9. Shoulder surfing : observation discrète des actions d’une personne (saisie de mot de passe, lecture d’informations confidentielles)
10. Tailgating : accès physique à un lieu sécurisé en suivant un employé, à son insu ou non.
11. Quid pro quo : échange d’un service contre des données.

---

 Fonctionnement

Étapes clés :

1. 1. Reconnaissance et collecte d’informations : l’attaquant recueille des informations sur sa cible via les réseaux sociaux, les bases de données publiques (OSINT), les sites web d’entreprises, etc.
   2. Création d’un scénario crédible : l’attaquant élabore un scénario plausible et personnalisé, jouant sur l’urgence, l’autorité, la familiarité ou la rareté.
   3. Prise de contact et manipulation psychologique : l’attaquant contacte sa victime et met en œuvre des techniques de manipulation (pression, flatterie, peur, culpabilité, fausse urgence) pour la convaincre d’agir.
   4. Exploitation : la victime effectue l’action souhaitée par l’attaquant (divulgation d’informations, installation de malware, virement bancaire).

---

💥 Conséquences

• Financières : fraudes, vols d’argent, rançons, pertes commerciales.
• Sécurité des données : fuites de données personnelles ou professionnelles, atteinte à la vie privée.
• Réputation : perte de confiance des clients, partenaires et employés, atteinte à l’image de marque.
• Juridiques : amendes pour non-conformité aux réglementations sur la protection des données (RGPD), poursuites judiciaires.
• Opérationnelles : interruptions d’activité, indisponibilité des systèmes informatiques, perte de productivité.

---

Exemples notables

1. Attaque de Target (2013) : piratage massif via un fournisseur de systèmes de chauffage, ventilation et climatisation (HVAC), vol de 40 millions de numéros de cartes bancaires et de 70 millions d’adresses et d’informations personnelles.
2. Twitter Bitcoin Scam (2020) : piratage de comptes Twitter de personnalités célèbres (Barack Obama, Elon Musk, Bill Gates) via une attaque d’ingénierie sociale ciblant des employés de Twitter, diffusion de messages frauduleux incitant à envoyer des bitcoins.
3. RSA SecurID (2011) : vol de données sensibles après une attaque de phishing ciblant des employés de RSA, compromettant la sécurité des jetons d’authentification SecurID.
4. Campagne Clinton (2016) : compromission des e-mails de John Podesta, directeur de campagne d’Hillary Clinton, via une attaque de spear phishing.

---

💉 Protection et remèdes

• Formation et sensibilisation des utilisateurs : formation régulière des employés et du public aux techniques d’ingénierie sociale, simulations d’attaques de phishing.
• Vérification des sources et des informations : confirmer l’identité des interlocuteurs par des moyens alternatifs (appel téléphonique direct, consultation du site web officiel), ne jamais cliquer sur des liens suspects.
• Politiques de sécurité robustes : mise en place de politiques de sécurité claires (gestion des mots de passe, contrôle d’accès, gestion des périphériques), application du principe du moindre privilège.
• Authentification multifacteur (MFA) : activation de l’authentification à double facteur pour renforcer la sécurité des comptes en ligne.
• Outils techniques de sécurité : utilisation de filtres anti-spam, d’antivirus, de pare-feu, de systèmes de détection d’intrusion et de solutions de sécurité des courriels.
• Plan de réponse aux incidents : définir des procédures claires en cas d’incident de sécurité, mettre en place une équipe de réponse aux incidents.
• Méfiance face aux offres trop belles pour être vraies : se méfier des offres alléchantes, des gains faciles et des demandes urgentes.

---

📊 Statistiques et chiffres

• France :
  • 83 % des cyberattaques impliquent du phishing (ANDDI, 2022)
  • 54 % des entreprises françaises ont subi une tentative d’ingénierie sociale (ANSSI, 2021).
• Monde :
  • 82 % des violations de données utilisent de l’ingénierie sociale (Verizon DBIR 2022).
  • Pertes de 2,4 milliards de dollars aux États-Unis (FBI IC3, 2021).
  • 30 % des utilisateurs cliquent sur des liens phishing (Proofpoint, 2022).