L’ingénierie sociale, est un type de manipulation psychologique qui revient souvent lorsqu’on parle de cybersécurité. Elle consiste à inciter les gens à révéler des informations sensibles ou à effectuer des actions qui profitent à un attaquant. Bien que l’ingénierie sociale puisse être pratiquée en face à face, elle l’est plus souvent en ligne, où les attaquants obtiennent les informations dont ils ont besoin à l’aide de diverses techniques, comme l’hameçonnage et les sites web trompeurs. On peut parfois avoir du mal à détecter l’ingénierie sociale, car les attaquants ciblent souvent les cadres supérieurs ou des personnes ayant accès à des informations sensibles. C’est pourquoi une bonne compréhension des risques et des mesures à prendre pour se protéger - et pour protéger les autres - est essentielle pour éviter de devenir victime.
Types d’attaques d’ingénierie sociale les plus courants
Les attaques par ingénierie sociale sont courantes, et les arnaqueurs perfectionnent de plus en plus leurs techniques. L’hameçonnage reste l’un des types d’attaques d’ingénierie sociale les plus populaires. Il consiste à envoyer à une victime un courriel contenant un lien ou une pièce jointe malveillante. Souvent, le courriel semble provenir d’une source fiable, et le lien ou la pièce jointe peut même sembler légitime. Toutefois, si le destinataire clique sur le lien ou ouvre la pièce jointe, un logiciel malveillant peut être installé sur son ordinateur ou son appareil, permettant à l’attaquant d’accéder à des informations sensibles. Parmi les autres types courants d’attaques par ingénierie sociale, on peut citer le prétextage, qui implique l’utilisation de fausses prétentions pour obtenir des informations personnelles, et le talonnage (tailgating en anglais), qui consiste à suivre une personne dans une zone à accès restreint sans autorisation préalable. Bien que les attaques d’ingénierie sociale soient parfois difficiles à reconnaître, on peut prendre certaines mesures pour se protéger, comme se méfier des courriels non sollicités et de limiter ses interactions avec les pièces jointes à des sources fiables.
Comment se protéger des attaques d’ingénierie sociale
Les attaques d’ingénierie sociale ne se limitent pas au courriel. On les trouve sous diverses formes, qu’on désigne parfois par des termes ingénieux, tels que vishing (contraction de voice et phishing, pour hameçonnage vocal), smishing (contraction de SMS et phishing, pour hameçonnage par texto) et même spimming (contraction de SPAM et Instant Messaging, pour hameçonnage messagerie instantanée). Peu importe la forme que prend une attaque, son but est d’inciter des victimes potentielles à révéler des informations personnelles sur leur identité, dont leurs identifiants de connexion ou encore leurs données financières. Pour éviter les attaques d’ingénierie sociale, il faut comprendre comment elles fonctionnent et reconnaître les signes distinctifs. Méfiez-vous des courriels ou des messages textes non sollicités qui vous demandent de suivre un lien ou de fournir des informations personnelles. En cas de doute sur la légitimité d’un courriel ou d’un texte, il vaut mieux contacter directement la personne ou l’entreprise concernée - de préférence par un canal complètement différent - pour vérifier le message avant d’agir. Avec un peu de sensibilisation et de diligence, on peut éviter d’être victime d’une attaque d’ingénierie sociale.
Des exemples de manœuvres d’ingénierie sociale
Les attaques d’ingénierie sociale reposent sur la manipulation et la tromperie pour inciter les gens à divulguer des informations sensibles ou de l’argent. Parfois difficiles à détecter, ces attaques sont pourtant courantes. En voici quelques exemples :
- L’arnaque du prince nigérian : Une arnaque classique où l’escroc se fait passer pour un prince nigérian ayant besoin d’aide pour sortir de l’argent du pays. Le fraudeur recourt souvent à l’urgence et à la manipulation émotionnelle tant pour obtenir de la victime son « aide »... et son argent.
- Escroqueries liées à l’actualité. On recourt généralement à des thèmes d’actualité ou à des points chauds dans les médias pour inciter les victimes à poser un certain geste, à donner de l’argent ou à révéler des informations personnelles. À titre d’exemple, les escrocs peuvent prétendre recueillir des dons pour un fonds d’aide aux victimes de catastrophes naturelles à la suite d’un récent tremblement de terre.
- Manipulations créatives : Les escrocs sont parfois très inventifs. En se faisant passer pour un représentant de votre fournisseur d’électricité, ils vous préviennent que votre courant sera coupé à défaut de leur verser un montant immédiat. Ou encore, ils peuvent prétendre être une entreprise de support informatique, et affirmer que votre ordinateur est atteint d’un virus et qu’en payant pour leurs « services », vous pourrez l’éliminer.
Vous êtes contacté par un inconnu qui vous demande de l’argent ou des informations personnelles ? Résistez à la tentation d’agir rapidement et sur-le-champ. (C’est justement ce qu’ils veulent que vous fassiez !). Difficile de garder son sang-froid face au stress, mais il faut se montrer deux fois plus malin que votre adversaire. Prenez du recul et faites des recherches avant de donner suite à quoi que ce soit. Les cas de figure varient, bien sûr, mais vous pouvez généralement éviter d’être victime d’une attaque d’ingénierie sociale en suivant ces règles de base.
L’avenir de l’ingénierie sociale
Les techniques d’ingénierie sociale évoluent constamment, c’est pourquoi il faut demeurer attentifs. À mesure que nos vies se déroulent davantage en ligne, on court le risque d’être la cible de cyber-escroqueries. Il faut donc se méfier de tout contact inattendu ou non sollicité, même si cela semble provenir d’une source fiable. Une offre qui semble trop belle pour être vraie l’est probablement. Aussi, la technologie d’hypertrucage (deepfaking en anglais) gagne en popularité parmi les ingénieurs sociaux, car elle leur permet de créer des imitations photo, audio et vidéo convaincantes de personnes réelles. Pour vous protéger des attaques d’hypertrucage, redoublez de rigueur, surtout en interagissant avec des messages ou des médias peu familiers en ligne. Encore une fois, faites des démarches pour confirmer la source avant d’agir. Quoi qu’il en soit, prenez le temps de réfléchir avant d’agir. Posez des questions. En cas de doute, consultez votre service informatique (surtout en contexte de travail) ou une autre source de confiance. Montrez-vous sceptique. Rappelez-vous - même en étant la cible d’un ingénieur social, vous pouvez vous protéger en suivant quelques saines pratiques.
Quoi retenir ?
L’ingénierie sociale utilise la ruse pour inciter les gens à révéler des informations sensibles. L’hameçonnage et ses variantes vocale et texto (le vishing et le smishing), sont parmi les types d’attaques d’ingénierie sociale les plus courants. Il existe aussi d’autres types d’attaques d’ingénierie sociale. On peut prendre quelques mesures simples pour se protéger contre ces attaques, notamment en étant conscient des différents types qui existent et en étant prudent quant aux informations qu’on partage en ligne et avec qui. Autre point - demeurer sceptique face aux demandes d’informations non sollicitées et prendre des mesures pour protéger sa vie privée. L’ingénierie sociale suit le rythme de la technologie. Il convient de garder ses yeux et oreilles ouverts sur les nouvelles méthodes d’attaque pour s’assurer de prendre les bonnes précautions et de se protéger contre ces menaces insidieuses.