Le blog qui vous aide à maîtriser le digital et développer votre visibilité en ligne !
401, rue des Pyrénées 75020 Paris

L’ingénierie sociale en cybercriminalité : qu’est-ce que c’est ?

Ingénierie sociale en cybercriminalité

Avec l’essor des ordinateurs et de l’internet, un genre de menace jusqu’alors inexistant a fait son apparition dans nos vies : les cyberattaques. Ces attaques virtuelles sont aujourd’hui l’une des menaces les plus sérieuse à la sécurité des personnes. Lorsqu’on évoque ces cyberattaques, l’image qui prédomine dans l’imaginaire collectif est celle du hacker surdoué qui parvient à déjouer les défenses en tapotant frénétiquement sur son clavier. Toutefois, cette façon de faire n’est pas la seule et est loin d’être la plus efficace. Il en existe une autre, plus insidieuse qui fait de la victime de l’attaque l’instrument de sa propre chute : l’ingénierie sociale. Dans ce dossier complet, nous vous proposons donc de découvrir non seulement ce qu’est l’ingénierie sociale en cybercriminalité, mais aussi les formes qu’elle peut prendre et quelques pistes pour vous protéger.

Petite présentation de l’ingénierie sociale en cybercriminalité

La finalité de l’ingénierie sociale en cybercriminalité est l’accès à des données personnelles, confidentielles et/ou protégées. Toutefois, avant de comprendre comment ce but est atteint, il est nécessaire de savoir ce qu’est l’ingénierie sociale. Vous devez aussi savoir quels sont les principes qui sous-tendent son utilisation dans le piratage de données.

Définition de l’ingénierie sociale

Le terme ingénierie sociale désigne un l’ensemble des moyens mis en œuvres pour amener un individu à divulguer des informations confidentielles, à commettre des actions compromettantes ou à accorder un accès à des systèmes sécurisés.

Pour ce faire, « l’ingénieur » met en place diverses techniques et stratégies dans le but l’influencer l’esprit de sa cible. Il exploite les failles psychologiques et/ou comportementales de ses victimes afin d’avoir un accès facilité à l’objet de sa convoitise.

Bien que cette définition semble générale, elle s’applique parfaitement à l’ingénierie sociale en cybercriminalité. Dans ce contexte particulier, « l’ingénieur » n’est autre que le hacker et l’objet recherché est bien souvent une donnée confidentielle.

Pour réussir dans sa mission, le cybercriminel se doit de maitriser et d’appliquer les principes généraux de l’ingénierie sociale en cybercriminalité. Quels sont-ils ?

cybercriminalité

Les principes de l’ingénierie sociale en cybercriminalité

Le premier principe utilisé par les hackers en ingénierie sociale en cybercriminalité, c’est la manipulation psychologique. C’est l’une des façons les plus courantes de convaincre une personne de vous donner accès à ses données confidentielles.

À cet effet, tous les moyens sont bons. Les cybercriminels n’hésitent donc pas à avoir recours à la tromperie ou à la persuasion (à base d’arguments fallacieux bien entendu) pour influencer les décisions et comportements des individus.

Ensuite nous avons l’abus de confiance. Ici, le hacker mal intentionné exploite la confiance naturelle que les gens ont envers d’autres êtres humains. Il est également possible qu’il tente de personnifier une personnalité publique ou une organisation reconnue. Ceci, pour profiter de leur légitimité et de leur autorité.

Un autre principe, c’est la création de scénarios ciblés. En effet, la situation dans laquelle la cible croit être joue un rôle prépondérant dans la réussite d’une arnaque pour l’ingénierie sociale en cybercriminalité.  L’escroc doit donc mettre en place des scenarii crédibles et convaincants pour amener la cible à agir selon ses désirs.

Enfin le dernier principe de l’ingénierie sociale en cybercriminalité, c’est l’induction de la panique et d’un sentiment d’urgence chez la cible. Ce dernier principe repose sur le fait que si la cible a le temps de vérifier la légitimité de la demande, elle découvrira l’arnaque. Il faut donc que la demande le mette dans la tourmente et qu’il remplisse les attentes sans trop y réfléchir.

Ces principes généraux représentent les piliers de l’ingénierie sociale en cybercriminalité. À cet effet, l’un d’entre aux (ou plusieurs d’ailleurs) se retrouvent dans chacune des techniques employées par les pirates. Découvrons comment.


Lire aussi : Web scraping : quelles sont les règles à respecter ?


Quelques techniques fréquemment utilisées dans l’ingénierie sociale en cybercriminalité

Pour obtenir les données qu’ils désirent, les pirates ont développé plusieurs techniques d’ingénierie sociale en cybercriminalité. Nous avons répertorié celles qui sont le plus fréquemment utilisées pour contourner les systèmes de protection des données mis en place.

Le phishing (hameçonnage) et ses variantes

C’est la technique la plus fréquemment utilisé pour de l’ingénierie sociale en cybercriminalité. Elle repose sur l’envoi d’un message ou d’un courriel semblant provenir d’une source officielle. Ce message contient généralement un lien qui doit officiellement servir à une action tout à fait banale (télécharger un logiciel ou être dirigé vers un site par exemple). Mais en réalité, cliquer sur ce lien revient à ouvrir la porte de la bergerie au loup.

En effet, une fois sélectionné ou téléchargé, le lien/fichier va infecter votre appareil avec un logiciel malveillant. Ces derniers ont diverses fonctions. Alors que les plus basiques donnent accès à vos données confidentielles (financières ou stratégiques) au cybercriminel, les plus puissants lui donnent le contrôle de votre appareil. Ce dernier pourra alors faire des actions répréhensibles mais en vous personnifiant.

Au fil du temps, des variantes de ce phishing qu’on peut aujourd’hui qualifier de classique ont vu le jour. Nous avons par exemple le voice phishing ou vishing qui se fait par appel téléphonique. Pour appliquer cette technique, le pirate informatique appelle directement sa cible. Ils peuvent alors passer des enregistrements menaçants afin d’intimider la victime et de lui faire commettre des erreurs.

Les variantes du phishing

En fonction du support utilisé, des variantes peuvent exister. Ainsi, nous avons le phishing par moteur de recherche avec la création de sites malveillants qui sont placés en tête des moteurs de recherche grâce à des campagnes de sponsoring. Le smshing ou l’angler phishing qui utilisent respectivement les sms et les moteurs de recherche sont aussi d’autres formes assez fréquemment rencontrées.

Enfin, on définit deux formes de phishing en fonction du nombre de personnes ciblées. En premier lieu, il est important de mettre en lumière le phishing de masse. Il se fait généralement par mail et est envoyé à des millions de personnes à la fois. C’est une forme de phishing moins efficace. En effet, le mail semble émaner d’une entreprise bien connue qui demande d’accomplir une action en cliquant sur un lien. Les esprits avertis détectent facilement l’entourloupe et évitent de se faire avoir.

L’autre forme plus efficace c’est le phishing ciblé ou spear phishing. Il a un taux de réussite plus élevé car le cybercriminel prend le temps de se renseigner sur sa cible. Il peut ainsi produire une stratégie adaptée aux faiblesses de sa cible.

Le pretexting

Cette technique d’ingénierie sociale en cybercriminalité consiste à l’invention d’un scénario fictif pour tromper la victime. Ici, le cybercriminel laisse souvent la victime croire qu’elle est victime d’une faille de sécurité et s’offre pour la sauver. Pour cela, il a évidemment besoin d’informations sur le compte de la personne ou d’avoir accès à son appareil. Cette technique est assez classique et fait généralement partie de chaque attaque d’ingénierie sociale en cybercriminalité.

Le baiting

Dans cette technique d’ingénierie sociale en cybercriminalité, l’escroc fait miroiter à la victime une récompense qui joue le rôle d’appât. Cet appât (qui est généralement un logiciel ou un jeu gratuit) une fois installé ou téléchargé constitue une porte d’entrée vers l’appareil infecté.

Le Quid Pro Quo

Pour finir, abordons les attaques de type quid pro quo. Avec ce type d’attaque, l’arnaqueur tente d’offrir à sa victime quelque chose en échange de ses informations confidentielles. Par exemple, il peut s’agir de la récompense à un jeu concours complètement fictif. Bien évidemment, l’inscription à ce jeu concours nécessite des données à caractère personnel telles que des informations bancaires.

Vous connaissez maintenant les principales techniques utilisées par les cybercriminels. Passons donc à leur reconnaissance en temps réel. Vous verrez, reconnaitre un hacker est loin d’être un exploit quand on sait ce qu’il faut rechercher.

Comment reconnaitre une tentative d’ingénierie sociale ?

La capacité à reconnaitre une tentative d’ingénierie sociale en cybercriminalité est une compétence devant figurer dans l’arsenal de tout internaute.  Voyons quels indices qui peuvent vous mettre sur la piste d’une ingénierie sociale en cybercriminalité.

Une offre trop belle pour être vraie

L’une des façons les plus simples de détecter une tentative d’ingénierie sociale en cybercriminalité, c’est les offres qui vous sont faites. À titre d’exemple, un lien qui vous promet de vous faire gagner des sommes d’argent importantes sans conditions est assez suspect. Cela doit également être le cas pour toute offre vendant un produit de luxe à un prix dérisoire. Pareil pour toute offre vous promettant une récompense si vous cliquez dessus.

La demande d’informations confidentielles

Soyez sur vos gardes devant tout site (hormis les sites avec une certaine notoriété) vous demandant d’entrer des informations à caractère personnel pour continuer votre navigation. Ces derniers sont en effet bien souvent des pièges d’ingénierie sociale en cybercriminalité.

Lesdites informations sont (de façon non exhaustive bien sûr) : vos mots de passe, vos identifiants et codes bancaires ainsi que vos données personnelles ou professionnelles.

Des messages de provenance douteuse

Devant un message qui vous semble être une tentative d’ingénierie sociale en cybercriminalité, ayez le réflexe de vérifier se provenance. Une adresse ou un mail ne correspondant pas à une entité pouvant légitimement faire un telle offre est probablement une tentative de fraude.

La présence d’ultimatums

Enfin, pour reconnaitre une tentative d’ingénierie sociale en cybercriminalité, la présence d’ultimatums est un indicateur assez fiable. En effet, comme nous l’avons dit plus tôt, ces messages ont généralement pour objectif de vous empêcher de réfléchir et de détecter l’arnaque.

Outre ces quatre grands facteurs, certains autres indices permettent de détecter une tentative de fraude. La présence de fautes d’orthographes et de grammaires, ainsi que des tournures de phrases étranges sont souvent les symptômes d’un phishing.

Avec ces quelques astuces, vous devriez désormais être capable de détecter la moindre tentative d’ingénierie sociale à des kilomètres à la ronde. Voyons maintenant ce que vous pouvez faire pour vous protéger de ces dernières.

Ingénierie sociale en cybercriminalité

Comment se protéger d’une tentative d’ingénierie sociale en cybercriminalité ?

Se protéger d’éventuelles tentatives d’ingénierie sociale en cybercriminalité demande une vigilance constante. En premier lieu, vous pouvez commencer par mettre en place des mesures basiques. Par exemple, vous pouvez utiliser des solutions telles que les filtres anti-phishing, des pare-feu, des antivirus ou des logiciels anti-malware.

Toutefois, ces mesures ne font pas tout. Découvrez quelques autres pistes pour pouvoir échapper à toute tentative d’ingénierie sociale.

Toujours vérifier une adresse URL avant de cliquer

Pour vérifier une URL, il suffit de faire passer le pointeur de votre souris sur le lien. Vous verrez alors apparaitre un texte qui représente l’URL réelle. Si ce texte est abrégé ou alors qu’il modifie légèrement l’URL (par exemple yah0o au lieu de yahoo), ne cliquez sur ce lien pour rien au monde.

Mettre en place une double authentification pour accéder à votre système

Il s’agit d’une mesure simple mais redoutablement efficace. Elle repose sur le principe universel qui veut que deux couches de protection valent mieux qu’une. Dans ce cas de figure, le deuxième facteur d’authentification empêche un cybercriminel qui aurait forcé la première barrière d’avoir accès à vos données.

Dans la même veine, en entreprise comme dans votre vie privée, il est important d’établir des politiques claires de partage d’informations sensibles et d’accès à votre système. Le respect de ces politiques protègera vos données aussi surement qu’une double authentification.

Se former en continu à la détection de tentatives d’ingénierie sociale en cybercriminalité

Enfin, la résistance aux tentatives d’ingénierie sociale en cybercriminalité passe obligatoirement par un effort de formation continue. C’est non seulement obligatoire pour vous-même, mais aussi pour l’ensemble de vos employés si vous êtes à la tête d’une organisation ou d’une entreprise.

Ainsi, vous devez vous former en permanence (et vos employés si vous êtes à le tête d’une organisation) afin d’être tout le temps au fait des dernières méthodes utilisées par les pirates pour pouvoir vous en protéger.


Lire aussi : Vidéos et images générées par IA : LinkedIn les signalera


Ingénierie sociale en cybercriminalité : que retenir ?

En résumé, dans le jargon informatique, l’ingénierie sociale en cybercriminalité est un terme désignant un ensemble de moyens utilisés par des pirates pour obtenir vos données. Ces dernières mettent toutefois plus l’accent sur la manipulation de la cible pour avoir accès à ses données personnelles.

En dépit de cette approche plus insidieuse et des nombreuses techniques employées, il est possible de se protéger contre de telles attaques grâce à des techniques simples. Allez-vous les mettre en œuvre ?


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

À propos de l'auteur

Olivier

Polyvalent et multitâche, Olivier Max est avant tout un passionné de culture générale et de communication. Sa solide expérience et son expertise dans plusieurs domaines de compétence en font un Rédacteur Web chevronné. Il apporte une réelle valeur ajoutée à l'équipe de Bew Web Agency avec ses analyses pertinentes et ses articles de qualité. Manier les mots et dompter la SERP sont pour lui, un jeu d’enfant !