Les risques de la manipulation : l’ingénierie sociale

Ingénierie sociale : définition

L’ingénierie sociale est une stratégie de fraude utilisée par les cybercriminels et est l'une des principales luttes des autorités. Elle ne requiert pas de compétences techniques en matière de piratage, comme des attaques informatiques, puisqu’elle s’appuie sur les interactions sociales et la confiance humaine : il s’agit ici d’un piratage psychologique.

Les fraudes les plus renseignées seront les plus dommageables pour les entreprises. La reconnaissance de la cible passe en premier lieu par le cyberstalking et la surveillance de ses fréquentations informatiques : les sites qu’elle visite, les réseaux sociaux – qui constituent un puit d’informations, les blogs, les plateformes de recrutement, la messagerie instantanée. D’autres approches peuvent être employées par les criminels : faux sondage téléphonique, entretien commercial ou d’embauche, ou encore une écoute classique. Toute cette stratégie assure la dégradation de la réputation, de la marque ou de l’honneur de la victime.

Elle s’établit donc selon le schéma suivant :

  • Le renseignement
  • Le contact : à travers la mise en confiance – mimétisme de langage, contexte ordinaire, l’échange de l’aide – proposer ou demander
  • L’exploitation des vulnérabilités : en s’adaptant à la cible, le ton peut changer (sympathie ou non, urgence ou impératif). Le stress devient alors une ressource exploitable pour le criminel.

Les types d'ingénierie sociale

L’erreur humaine est l’une des causes de la plupart des cyberattaques. Dans le cas de l’ingénierie sociable, cette faille est particulièrement exploitée. Les attaques par ingénierie sociale sont divisées en deux catégories : la fraude massive ou la fraude ciblée.

On retrouve ainsi plusieurs schémas types :

  • La fraude au président : cette fraude passe par l’usurpation d’identité d’une figure d’autorité pour encourager la victime à céder.
  • Le phishing : l’hameçonnage consiste à faire passer pour légitime un mail/appel/sms frauduleux afin de tromper la cible et déployer d’autres types d’attaque sur son SI tels que les malwares – dont les conséquences peuvent être désastreuses, en témoignent ces attaques.
  • L’attaque au point d’eau : cette attaque fait référence à un prédateur qui attend sa proie à endroit où elle ira sans aucun doute.

Comment se défendre contre l’ingénierie sociale ?

L’ingénierie sociale est un fléau qui touche autant les consommateurs particuliers que les entreprises pourvus de dispositifs de sécurité. La prévention et la vigilance sont deux bons moyens pour se prémunir contre l’ingénierie sociale, toute autre forme de cyber-arnaque et de cybercriminalité d'une manière générale.

Premièrement, méfiez-vous des appels téléphoniques, des visites ou des e-mails non sollicités d’individus cherchant des renseignements internes. Ne donnez pas de renseignements personnels sans être certain de l’identité de la personne qui les reçoit.

Ne révélez aucune information personnelle ou financière par e-mail et ignorez les messages qui exigent ces informations. Ne cliquez pas sur les liens contenus dans les e-mails non sollicités.

Par ailleurs, ne fournissez pas vos informations confidentielles sur internet, sauf si vous avez vérifié la sécurité du site.

Vérifiez l’orthographe de l’URL : un i majuscule peut être confondu avec un L minuscule.

Vérifiez les coordonnées des expéditeurs de mails qui paraissent légitimes en apparence auprès de l’entreprise directement concernée si vous avez des doutes.

Enfin, protégez votre appareil avec une solution de sécurité.