Les attaques d'ingénierie sociale visent à manipuler les individus pour qu'ils communiquent des informations confidentielles, qu'ils téléchargent des logiciels malveillants, qu'ils se rendent sur des sites Web dangereux, qu'ils envoient de l'argent à des criminels ou qu'ils commettent d'autres erreurs qui compromettent leur sécurité personnelle ou leur organisation.
Un e-mail semblant provenir d'un collègue digne de confiance et demandant des informations sensibles, un message vocal menaçant prétendant provenir de l'administration fiscale, une fortune promise par un potentat étranger sont autant d'exemples d'ingénierie sociale. Comme l'ingénierie sociale s'appuie sur la manipulation psychologique et exploite les erreurs ou les faiblesses humaines plutôt que les vulnérabilités techniques ou numériques des systèmes, elle est parfois appelée « piratage humain » (« human hacking » en anglais).
Les cybercriminels utilisent fréquemment ce genre de méthodes dans le but d'obtenir des données personnelles ou des informations financières (identifiants de connexion et numéros de carte bancaire, de compte en banque et de sécurité sociale). Ils s'en servent ensuite pour usurper l'identité de leurs victimes et réaliser des d'achats, en espèces ou par carte bancaire, contracter des prêts en leur nom ou encore demander des allocations de chômage. Cependant, l'ingénierie sociale peut également constituer la première étape d'une cyberattaque de plus grande envergure. Par exemple, un cybercriminel peut inciter une victime à lui communiquer son nom d'utilisateur et son mot de passe, puis utiliser ces identifiants pour installer un ransomware (ou « rançongiciel ») sur le réseau de son employeur.
L'ingénierie sociale séduit les cybercriminels car elle leur permet d'accéder à des réseaux, des appareils et des comptes en ligne sans avoir la lourde tâche de contourner les pare-feux, les logiciels antivirus et autres dispositifs de cybersécurité. Cela explique en partie pourquoi l'ingénierie sociale est aujourd'hui la principale cause de compromission des réseaux, selon le State of Cybersecurity 2022 Report (Rapport sur l'état des lieux de la cybersécurité en 2022) (lien externe à ibm.com) de l'ISACA. Selon le Cost of a Data Breach 2022 Report (Rapport 2022 sur le coût d'une violation de données) d'IBM, les violations causées par des tactiques d'ingénierie sociale (telles que le phishing et la compromission de la messagerie d'entreprise) comptent parmi les plus coûteuses.
Avec l'IBM Security X-Force Threat Intelligence Index, vous disposez d'informations qui vous permettent de vous préparer et de réagir plus rapidement et plus efficacement aux cyberattaques.
Demandez notre rapport sur le coût d’une fuite de données
Les tactiques et les techniques d’ingénierie sociale reposent sur la science de la motivation humaine. Elles manipulent les émotions et les instincts des victimes de manière à les pousser à prendre des mesures qui ne sont pas dans leur intérêt.
En règle générale, ces attaques font appel à une ou plusieurs des tactiques suivantes :
Se faire passer pour une marque réputée : les escrocs usurpent souvent l'identité d'entreprises que les victimes connaissent, auxquelles elles font confiance et avec lesquelles elles font peut-être souvent ou régulièrement affaire, au point de suivre les instructions de ces marques par réflexe, sans prendre les précautions qui s'imposent. Certains escrocs se servent de kits très répandus afin de créer de faux sites Web imitant ceux de grandes marques ou entreprises.
Se faire passer pour une administration ou une autorité : l'autorité suscite la confiance, le respect ou la crainte des gens (à des degrés divers). Les attaques d'ingénierie sociale jouent sur ces instincts à l'aide de messages qui semblent ou prétendent provenir d'administrations (par exemple l'administration fiscale ou le ministère de l'Intérieur), de personnalités politiques ou même de célébrité.
Induire la peur ou un sentiment d'urgence : les individus ont tendance à agir de manière irréfléchie lorsqu'ils sont effrayés ou sous pression. Un grand nombre de techniques sont utilisées dans les escroqueries par ingénierie sociale afin de susciter la peur ou le sentiment d'urgence chez les victimes. À titre d'exemple, on peut citer le refus d'une transaction récente, l'infection de leur ordinateur par un virus, ou encore la violation d'un droit d'auteur par une image utilisée sur leur site Web. Les malfaiteurs ont également recours à la peur de rater quelque chose afin de générer un autre sentiment d'urgence.
Faire appel à la cupidité : l'escroquerie du prince nigérian, un e-mail dans lequel une personne prétendant être un membre de la famille royale nigériane essayant de fuir son pays offre une énorme récompense financière en échange des coordonnées bancaires du destinataire ou d'une petite avance de frais, est l'un des exemples les plus connus d'ingénierie sociale faisant appel à la cupidité. De plus, ce type d'attache d'ingénierie sociale émane également d'une figure d'autorité présumée et crée un sentiment d'urgence, une combinaison redoutable. Cette escroquerie est aussi vieille que la messagerie électronique elle-même, néanmoins, en 2018, elle rapportait encore près de 600 000 EUR.
Faire appel à la serviabilité ou à la curiosité : les stratagèmes d'ingénierie sociale peuvent également faire appel à la bonne nature des victimes. Par exemple, un message qui semble provenir d'un ami ou d'un réseau social peut proposer une aide technique, solliciter la participation à une enquête, prétendre que la publication du destinataire est devenue virale, puis fournir un lien frauduleux vers un faux site Web ou un malware (ou « logiciel malveillant »).
Hameçonnage
Le phishing (ou « hameçonnage ») repose sur des messages numériques ou vocaux qui visent à manipuler les destinataires pour les amener à partager des informations sensibles, à télécharger des logiciels malveillants, à transférer de l'argent ou des actifs à des personnes mal intentionnées ou à prendre d'autres mesures préjudiciables. Les escrocs conçoivent ces messages de manière à ce qu'ils aient l'air de provenir d'une organisation ou d'un individu de confiance ou crédible, parfois même d'une personne que le destinataire connaît personnellement.
Le phishing revêt de nombreuses formes :
Les e-mails de phishing en masse sont envoyés à des millions de destinataires à la fois. Ils semblent émaner d'une grande entreprise ou d'une organisation bien connue (une banque nationale ou internationale, une grande enseigne d'e-commerce, un fournisseur de services de paiement en ligne populaire, etc.), et contiennent une demande standard telle que « nous avons des difficultés à traiter votre achat, veuillez mettre à jour vos coordonnées bancaires ». Or, ces messages renferment souvent un lien malveillant qui dirige le destinataire vers un faux site Web l'invitant à saisir son nom d'utilisateur, son mot de passe, ses informations de carte bancaire et bien d'autres choses encore.
Le phishing ciblé (ou « harponnage ») vise des individus précis, qui ont généralement un accès privilégié aux informations des utilisateurs, au réseau informatique ou aux fonds de l'entreprise. Les escrocs effectuent des recherches sur la cible, souvent sur LinkedIn, Facebook ou d'autres réseaux sociaux, en vue d'élaborer un message qui semble provenir d'une personne que la cible connaît et en qui elle a confiance, ou qui fait référence à des situations qui lui sont familières. Le whale phishing (ou « chasse à la baleine ») est un type de phishing ciblé qui vise une personne très en vue, telle qu'un PDG ou une personnalité politique. Dans le cas de la compromission de la messagerie d'entreprise (« business email compromise » ou BEC en anglais), les pirates informatiques utilisent des identifiants compromis pour envoyer des messages électroniques à partir de la véritable messagerie d'une personnalité, ce qui rend l'escroquerie d'autant plus difficile à détecter.
Le voice phishing ou vishing (ou « hameçonnage par téléphone ») est un type de phishing effectué par appel téléphonique. Généralement, les malfaiteurs téléphonent aux victimes et leur passent des enregistrements menaçants prétendant provenir des forces de l'ordre. Or, X-Force d'IBM a récemment établi que l'ajout du vishing à une campagne de phishing ciblée peut en multiplier la réussite par trois.
Le smishing, ou phishing par SMS (ou « hameçonnage par SMS »), consiste cette fois à lancer l'hameçon par SMS.
Le phishing par moteur de recherche désigne la création par des pirates informatiques de sites Web malveillants qui se classent en tête des résultats de recherche pour des termes populaires.
L'angler phishing (littéralement « hameçonnage du pêcheur ») est une forme de phishing utilisant de faux comptes de réseaux sociaux qui se font passer pour le compte officiel des équipes de service ou de support à la clientèle d'entreprises de confiance.
Selon l'IBM Security X-Force Threat Intelligence Index 2023 (Indice du renseignement sur les menaces 2023 d'IBM Security X-Force), le phishing est le principal vecteur d'infection par des logiciels malveillants, représentant 41 % de tous les incidents. De plus, selon le rapport Cost of a Data Breach 2022 Report, le phishing est le vecteur d'attaque initial entraînant les violations de données les plus coûteuses.
Baiting
Le baiting (ou « technique de l'appât » ou « appâtage ») consiste à leurrer les victimes pour qu'elles donnent, sciemment ou non, des informations sensibles ou téléchargent du code malveillant, en les tentant avec une offre alléchante ou un objet de valeur.
L'arnaque du prince nigérian est probablement l'exemple le plus connu de cette technique d'ingénierie sociale. Plus récemment, on a vu des jeux, de la musique ou des logiciels en téléchargement gratuit infectés par des malwares. Toutefois, certaines formes de baiting n'ont rien de sorcier. Par exemple, certains malfaiteurs laissent simplement des clés USB infectées par des logiciels malveillants à la libre disposition du public, qui profite de l'aubaine pour s'en emparer et les utiliser.
Tailgating
Le tailgating (ou « talonnage ») (voir aussi la variante appelée « piggybacking ») désigne le fait qu'une personne non autorisée suive de près une personne autorisée dans une zone contenant des informations sensibles ou des actifs de grande valeur. Le talonnage peut être effectué en personne, par exemple si un malfaiteur se faufile derrière un employé après que celui-ci a déverrouillé une porte. Il peut également avoir lieu par voie informatique, par exemple lorsqu'une personne laisse un ordinateur sans surveillance alors qu'elle est toujours connectée à un compte ou à un réseau privé.
Pretexting
Dans le cas du pretexting (ou « prétexte »), le malfaiteur génère une fausse situation pour la victime et se fait passer pour la personne la mieux placée pour la résoudre. Très souvent (et de manière très ironique), l'escroc prétend que la victime a été touchée par une violation de la sécurité, puis lui propose de régler le problème si elle lui fournit des informations importantes sur son compte ou si elle prend le contrôle de son ordinateur ou de son appareil. Sur le plan technique, presque toutes les attaques d'ingénierie sociale impliquent un certain degré de prétexte.
Quid pro quo
Les attaques de type « quid pro quo » consistent à faire miroiter aux victimes un bien ou un service intéressant en échange de leurs informations confidentielles. À titre d'exemple, on peut citer de faux prix de concours ou des récompenses de fidélité en apparence anodines (« merci pour votre paiement, nous avons un cadeau pour vous »).
Scareware
Classés dans la catégorie des malwares, les scarewares (ou « alarmiciels ») désignent des logiciels qui utilisent la peur pour inciter les utilisateurs à partager des informations confidentielles ou à télécharger des logiciels malveillants. Ils se caractérisent souvent par un faux avis des forces de l’ordre accusant l’utilisateur d’un délit, ou par un faux message de l’assistance technique avertissant l’utilisateur de la présence d’un malware sur son appareil.
Watering hole
Les attaques de type watering hole (ou « point d'eau ») sont inspirées de l'expression « somebody poisoned the watering hole » (quelqu'un a contaminé le point d'eau), où les pirates informatiques injectent du code malveillant dans une page Web légitime fréquentée par leurs cibles. Cette technique permet tout un éventail de violations, depuis le vol d'identifiants jusqu'au téléchargement furtif de ransomwares.
Les attaques d'ingénierie sociale sont notoirement difficiles à combattre dans la mesure où elles s'appuient sur la psychologie humaine plutôt que sur des moyens technologiques. La surface d'attaque est également significative : dans une grande entreprise par exemple, il suffit qu'un seul employé commette une erreur pour compromettre l'intégrité de l'ensemble du réseau. Voici quelques mesures recommandées par les experts pour limiter les risques et les chances de réussite des escroqueries par ingénierie sociale :
Sensibilisation à la sécurité : de nombreux utilisateurs sont incapables de reconnaître les attaques d'ingénierie sociale. De plus, à une époque où ils troquent fréquemment des informations personnelles en échange de biens et de services, ils ne se rendent pas compte que le fait de communiquer des informations en apparence banales, telles qu'un numéro de téléphone ou une date de naissance, peut permettre à des pirates informatiques de s'introduire dans un compte. Une formation à la sécurité, associée à des politiques rigoureuses sur la sécurité des données, permet aux employés d'une part de comprendre comment protéger leurs données sensibles, et d'autre part de détecter les attaques d'ingénierie sociale en cours et d'y répondre.
Politiques de contrôle d'accès : des politiques et des technologies de contrôle d'accès sécurisées, notamment l'authentification multifacteur, l'authentification adaptative et la sécurité Zero Trust, permettent de limiter l'accès des cybercriminels aux informations et aux actifs sensibles du réseau des entreprises, même s'ils parviennent à mettre la main sur des identifiants de connexion.
Technologies de cybersécurité : les filtres anti-spam et les passerelles de messagerie sécurisées peuvent empêcher certaines attaques par phishing de parvenir aux employés en premier lieu. Les pare-feux et les logiciels antivirus limitent l'ampleur des dégâts causés par les attaquants qui accèdent au réseau. Le maintien à jour des systèmes d'exploitation avec les derniers correctifs contribue également à résorber certaines vulnérabilités que les assaillants exploitent par le biais de l'ingénierie sociale. Enfin, les solutions de détection et de réponse avancées, notamment l'EDR (ou « détection et réponse des terminaux ») et l'XDR (ou « détection et réponse étendue »), permettent aux équipes de sécurité de détecter et de neutraliser rapidement les atteintes à la sécurité qui infectent le réseau par le biais de tactiques d'ingénierie sociale.
Ces services vous proposent des exercices de phishing, de vishing et d’ingénierie sociale physique afin de mettre votre personnel à l’épreuve. Vous pouvez ainsi prendre connaissance des vulnérabilités qui affectent les employés, les processus et les politiques de façon à réduire les chances de réussite de véritables attaques d’ingénierie sociale.
Des tests portant sur les applications, les réseaux, le matériel et le personnel permettent de découvrir et de corriger les vulnérabilités qui exposent vos actifs les plus importants à des attaques. Le X-Force Red Portal permet à toutes les personnes impliquées dans le processus de résolution de consulter immédiatement les résultats des tests et de programmer des tests de sécurité à leur convenance.
81 % des professionnels des SOC indiquent que les enquêtes manuelles les ralentissent1. IBM Security QRadar Suite est une sélection de technologies de sécurité modernes qui accélère les enquêtes et propose des analyses unifiées basées sur l'IA et l'automatisation.
Le meilleur moyen de prévenir une violation de données est d’en comprendre les raisons. Le rapport Cost of a Data Breach Report (Rapport sur le coût d’une violation de données) présente les dernières découvertes sur l’évolution des menaces et vous propose des recommandations pour gagner du temps et limiter les pertes.
RSSI, équipes de sécurité et dirigeants d'entreprise : découvrez comment les malfaiteurs mènent leurs attaques et comment protéger votre organisation de manière proactive.
Les escroqueries par phishing incitent les victimes à divulguer des données sensibles, à télécharger des logiciels malveillants et à exposer leur organisation à la cybercriminalité.
Découvrez comment l'authentification multifacteur renforce la sécurité, satisfait aux exigences de conformité réglementaire et contribue à la mise en place d'une stratégie de sécurité Zero Trust.