Boite à outils

Qu’est-ce que le social engineering ?

Le social engineering est une technique de piratage consistant à manipuler un individu dans le but de l’inciter à télécharger un malware ou à fournir ses données.

Qu’est-ce que le social engineering ?
Contenu mis à jour le

Actuellement, les programmes antivirus modernes peuvent bloquer la majorité des malwares. Cependant, l’humain reste un maillon faible dans la chaîne de la sécurité de l’information. En effet, il n’existe pas encore de logiciel capable de prévenir la tromperie et la manipulation. C’est exactement pour cette raison que les cybercriminels se servent de l’ingénierie sociale, couramment appelée Social Engineering. Zoom sur le sujet. 

Social engineering : de quoi s’agit-il exactement ?

Le social engineering ou ingénierie sociale est un procédé qui consiste à profiter de la psychologie humaine pour entrer sur les systèmes informatiques ou avoir accès aux informations confidentielles. Pour les pirates informatiques, la technique est une alternative aux méthodes de hacking.

À titre d’exemple, au lieu de trouver une faille à exploiter dans un programme, un hacker peut appeler un salarié et usurper l’identité d’un collaborateur du service informatique. De cette manière, il peut piéger la personne afin de le contraindre à donner son mot de passe.

Le mot ingénierie sociale a été rendu célèbre par Kevin Mitnick dans les années 1990. Néanmoins, cette méthode existe certainement depuis très longtemps, lors des premières escroqueries.

Ainsi, l’investissement dans des solutions de cybersécurité et la solution physique d’une organisation ne suffirent plus. Même avec une politique de cyberdéfense robuste, un hacker pourra toujours utiliser des techniques innovantes pour piéger un employé. C’est pour cette raison qu’il est important d’apprendre l’effectif aux bonnes pratiques de la sécurité de l’information.

Qu’est-ce que le social engineering ?

Vous souhaitez travailler dans la cybersécurité ?
2 FORMATIONS DE POST BAC À BAC+5 100% dédiées à la cybersécurité
Nos programmes de formation sont pensés avec les entreprises du secteur de la cybersécurité et du digital pour maximiser l’employabilité de nos étudiants. Le Bachelor a été construit pour transmettre de solides bases de développement informatique tout en parcourant progressivement les notions clés de la cybersécurité. Le MSc est à 100% dédié à la cyber et spécialise dans un métier de la cybersécurité. Nos diplômes sont reconnus par les entreprises et par l’Etat, ils délivrent en fin de cursus un titre RNCP de niveau 6 (Bac+3) ou 7 (Bac+5).
bachelor
logo-bachelor
BACHELOR (BAC+3)
DÉVELOPPEUR INFORMATIQUE OPTION CYBERSÉCURITÉ
master-of-science
logo-mos
MASTER OF SCIENCE (BAC+5)
EXPERT
CYBERSÉCURITÉ

Comment fonctionne le social engineering ?

La notion de social engineering implique plusieurs méthodes qui ont un seul objectif commun : exploiter les vulnérabilités universelles de l’humain comme la politesse, la cupidité, le respect de l’autorité ou encore la curiosité.

Le social engineering est capable de prendre place dans l’univers réel. À titre d’exemple, un attaquant déguisé en uniforme de livreur peut s’infiltrer dans un local professionnel.

Néanmoins, la majorité des interactions sociales se déroulent actuellement en ligne. Ainsi, la plupart de ces attaques ont lieu sur internet.

Parmi les attaques les plus courantes, on peut citer le smishing et le phishing. Ces cyberattaques sont totalement créées sur l’usurpation d’identité et la tromperie, car elles ont pour objectif de persuader la cible d’installer un malware sur son appareil.

En général, l’ingénierie sociale est la première phase d’une cyberattaque d’une ampleur plus importante. Par exemple, un pirate informatique peut se servir du phishing et voler l’identité du proche de la cible pour que cette dernière télécharge le malware. Ensuite, il pourra contrôler l’appareil infecté et l’exploiter grâce à ses compétences techniques.

Qu’est-ce que le social engineering ?

Qu’est-ce qui rend le social engineering aussi dangereux ?

Le social engineering est particulièrement dangereux, car les humains font des erreurs. Même si les cibles sont conscientes qu’elles doivent faire très attention aux courriels qui proposent des rabais ou encore des appels téléphoniques les obligeant à fournir leurs données fiscales sous peine d’être incarcérés immédiatement, elles peuvent être prises au dépourvu.

La réussite de l’ingénierie sociale dépend de la nature humaine : être occupé, complaisant, être trop confiant, ne pas faire attention ou tout simplement oublier les fondamentaux de la sensibilisation à la cybersécurité. D’ailleurs, c’est la raison pour laquelle une personne peut être la cible de ce type d’attaque à plusieurs reprises.

Pour un hacker, un être humain est plus facile à pirater qu’un réseau d’entreprise. Ainsi, il est important de bien former les salariés sur les techniques de la sécurité de l’information. Cela leur permet d’avoir les ressources et les outils essentiels pour maintenir leur vigilance face à cette attaque.

Qu’est-ce que le social engineering ?

Que peut-on obtenir du social engineering ?

On peut obtenir de nombreuses informations indispensables à partir d’une attaque social engineering. Voici quelques exemples de données qu’un cybercriminel peut soustraire à l’aide de ce type de cyberattaque :

Des informations confidentielles

L’un des objectifs que l’on peut atteindre à partir de l’ingénierie sociale est l’accès à des données confidentielles. Les ingénieurs sociaux peuvent essayer de récupérer :

  • des mots de passe ;
  • des données personnelles ;
  • des numéros de carte de crédit ;
  • des informations sensibles pour réaliser un sabotage, un vol d’identité, des fraudes ou encore du cyberespionnage.

 

Pour accéder à des zones sécurisées

Le social engineering peut être utilisé pour accéder de manière physique à des zones sécurisées. Le cybercriminel peut se faire passer pour un livreur, un technicien ou pour tout autre professionnel afin d’escroquer le responsable de sécurité et accéder à des locaux fermés.

Une fois sur place, il peut poser des dispositifs d’écoute, voler des biens, réaliser d’autres actes malveillants et compromettre des systèmes informatiques.

Qu’est-ce que le social engineering ?

Influencer les décisions et les actions d’autrui

Le social engineering est une attaque efficace pour inciter une personne à prendre une décision ou à réaliser une action. À titre d’exemple, l’ingénieur social peut influencer une personne à prendre une décision financière fatale. Il peut même aller jusqu’à persuader une personne à collaborer à des activités illégales et de soutenir un candidat politique. Dans certains cas, il peut également influencer des groupes de personnes pour arriver à ses fins, en exploitant des biais de groupes, des méthodes de persuasion ou encore des normes culturelles.

Les différents canaux du social engineering

On distingue plusieurs types d’attaques de social engineering. Certains d’entre eux existent depuis très longtemps. En effet, les pirates n’ont pas attendu l’évolution des technologies pour pratiquer. Voici les méthodes les plus utilisées dans le cadre des cyberattaques :

Qu’est-ce que le social engineering ?

Contact direct

Les attaques par social engineering peuvent se réaliser par contact direct avec la cible. Cette dernière sera souvent plus fragile et plus confiante pendant un échange physique.

Ce type d’attaque peut être associée à des échanges à partir d’autres canaux : mail, téléphone, SMS, etc. pour rendre encore plus crédible l’identité de l’individu.

Une personne malveillante peut s’immiscer dans les locaux d’une entreprise en prétendant réaliser un entretien d’embauche ou en volant l’identité d’une nouvelle recrue.

Courrier Postal

Le courrier postal est aussi l’un des moyens utilisés par l’ingénierie sociale. Le cybercriminel envoie ainsi de faux courriers en usurpant l’identité d’une organisation ou d’un individu pour compromettre sa cible. La lettre à votre destination pourra contenir une adresse et un logo de l’entreprise usurpée.

Vous allez certainement accorder votre confiance à un courrier de votre banque avec les informations associées à l’agence et son logo.

Phishing

Il s’agit d’une pratique frauduleuse qui consiste à extorquer des données personnelles comme les données bancaires, les pièces d’identité et les mots de passe. Le hacker vole l’identité d’une organisation dont la victime utilise les services : fournisseurs, Slack, Google, etc.  Cette attaque a généralement lieu à travers un courrier électronique sollicitant la cible à ouvrir une pièce jointe ou à cliquer sur un lien.

Smishing

Connu aussi sous le nom de SMS-phishing, le smishing est une variante du phishing. Au lieu d’utiliser l’email, le hacker envoie un SMS pour attaquer ses victimes. L’attaque peut être aussi utilisée pour les messageries instantanées.

Vishing

Cette attaque est aussi une variante du phishing. Le vishing ou voice-phishing est une pratique qui a pour principal objectif de réunir des informations sensibles ou réaliser des actions compromettantes par la cible à travers un appel téléphonique ou par message vocal.

À l’image du contact physique, le fait d’avoir un contact plus humain qu’un simple message texte peut établir plus de confiance avec la victime.

Qu’est-ce que le social engineering ?

Des techniques pour contrer le social engineering

Pour contrer le social engineering, voici quelques conseils que vous pouvez adopter.

Éducation et sensibilisation 

Il est indispensable de former et sensibiliser aux techniques d’ingénierie sociale et aux risques associés. Pour ce faire, il est possible de réaliser des ateliers, des formations ou encore des simulations.

Notez que le hacker cible principalement les plus vulnérables de l’entreprise, notamment le personnel non technique comme le personnel administratif, les secrétaires, le personnel d’entretien des locaux, les comptables, etc. Il cible aussi les derniers recrutés qui ne connaissent pas très bien le fonctionnement interne ainsi que les procédures de l’organisation.

Mettre en place des politiques de sécurité

Établissez des politiques de sécurité distinctes et strictes pour renforcer la protection des données sensibles ainsi que les systèmes informatiques. Faites en sorte que ces politiques soient respectées et mises à jour fréquemment.

Qu’est-ce que le social engineering ?

Qu’est-ce que le social engineering ?

Vérification de l’identité

Il est judicieux de toujours vérifier l’identité d’une personne avant de communiquer avec elle, surtout si elle demande des données sensibles. Évitez de partager des renseignements personnels ou d’entreprises sans s’assurer de l’identité de l’individu concerné.

Restez vigilant avec les pièces jointes et les liens

Lorsque vous recevez des courriels ou des messages qui contiennent des pièces jointes ou des liens, il faut rester prudent, particulièrement face à des expéditeurs inconnus. Vous devez vérifier au préalable l’e-mail de l’expéditeur et ne pas cliquer sur les liens avant d’en avoir la certitude qu’il s’agit de quelque chose de légitime.

Utilisez des mots de passe forts et une authentification à deux facteurs

Privilégiez des mots de passe complexes et uniques pour tous vos comptes. Si c’est possible, vous pouvez aussi activer l’authentification à deux facteurs.

Gérer les droits d’accès

Il est judicieux de limiter l’accès aux renseignements sensibles et aux systèmes informatiques. Pour ce faire, il suffit d’attribuer des droits d’accès selon les besoins de chaque utilisateur. 

01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110

Qu’est-ce qui rend le social engineering aussi dangereux ?

Le social engineering est particulièrement dangereux, car les humains font des erreurs. Même si les cibles sont conscientes qu’elles doivent faire très attention aux courriels qui proposent des rabais ou encore des appels téléphoniques les obligeant à fournir leurs données fiscales sous peine d’être incarcérés immédiatement, elles peuvent être prises au dépourvu. La réussite de l’ingénierie sociale dépend de la nature humaine : être occupé, complaisant, être trop confiant, ne pas faire attention ou tout simplement oublier les fondamentaux de la sensibilisation à la cybersécurité. D’ailleurs, c’est la raison pour laquelle une personne peut être la cible de ce type d’attaque à plusieurs reprises. Pour un hacker, un être humain est plus facile à pirater qu’un réseau d’entreprise. Ainsi, il est important de bien former les salariés sur les techniques de la sécurité de l’information. Cela leur permet d’avoir les ressources et les outils essentiels pour maintenir leur vigilance face à cette attaque.

Comment fonctionne le social engineering ?

La notion de social engineering implique plusieurs méthodes qui ont un seul objectif commun : exploiter les vulnérabilités universelles de l’humain comme la politesse, la cupidité, le respect de l’autorité ou encore la curiosité. Le social engineering est capable de prendre place dans l’univers réel. À titre d’exemple, un attaquant déguisé en uniforme de livreur peut s’infiltrer dans un local professionnel. Néanmoins, la majorité des interactions sociales se déroulent actuellement en ligne. Ainsi, la plupart de ces attaques ont lieu sur internet. Parmi les attaques les plus courantes, on peut citer le smishing et le phishing. Ces cyberattaques sont totalement créées sur l’usurpation d’identité et la tromperie, car elles ont pour objectif de persuader la cible d’installer un malware sur son appareil. En général, l’ingénierie sociale est la première phase d’une cyberattaque d’une ampleur plus importante. Par exemple, un pirate informatique peut se servir du phishing et voler l’identité du proche de la cible pour que cette dernière télécharge le malware. Ensuite, il pourra contrôler l’appareil infecté et l’exploiter grâce à ses compétences techniques.

Social engineering : de quoi s’agit-il exactement ?

Le social engineering ou ingénierie sociale est un procédé qui consiste à profiter de la psychologie humaine pour entrer sur les systèmes informatiques ou avoir accès aux informations confidentielles. Pour les pirates informatiques, la technique est une alternative aux méthodes de hacking. À titre d’exemple, au lieu de trouver une faille à exploiter dans un programme, un hacker peut appeler un salarié et usurper l’identité d’un collaborateur du service informatique. De cette manière, il peut piéger la personne afin de le contraindre à donner son mot de passe. Le mot ingénierie sociale a été rendu célèbre par Kevin Mitnick dans les années 1990. Néanmoins, cette méthode existe certainement depuis très longtemps, lors des premières escroqueries. Ainsi, l’investissement dans des solutions de cybersécurité et la solution physique d’une organisation ne suffirent plus. Même avec une politique de cyberdéfense robuste, un hacker pourra toujours utiliser des techniques innovantes pour piéger un employé. C’est pour cette raison qu’il est important d’apprendre l’effectif aux bonnes pratiques de la sécurité de l’information.