Les êtres humains sont des animaux sociaux. Nous aimons nous mêler aux autres, communiquer, travailler et nous amuser ensemble. Cette socialisation, fondée sur des relations de confiance, permet aux groupes humains de coopérer et de coexister. Cependant, il est important de noter que cette ouverture peut également rendre les individus vulnérables aux techniques d’attaques utilisant l'ingénierie sociale.

En effet, ce sont ces aspects sociaux du comportement humain que les cybercriminels, désireux de nuire, peuvent exploiter. Les attaques d’ingénierie sociale font appel à la ruse et à l’usurpation d’identité pour inciter les gens à effectuer des actions qui profitent à l’escroc.

Le Verizon Data Breach Investigations Report (DBIR) confirme que 82 % des violations impliquent un élément humain.

Voici un aperçu de la manière dont les attaques par ingénierie sociale se produisent, ainsi que des conseils pratiques pour sensibiliser votre personnel et les protéger contre ces techniques.

Comment se produisent les attaques d'ingénierie sociale ?

Selon ce rapport, une organisation moyenne subit 700 attaques d’ingénierie sociale par an. Ces attaques prennent de nombreuses formes et évoluent constamment pour échapper à la détection. Des exemples courants incluent l'hameçonnage, le spear phishing, le pretexting, le talonnage (tailgating) et l'appâtage (baiting). Il est crucial de rester informé des nouvelles techniques d'attaques pour mieux protéger votre organisation.

Le but d’une attaque par ingénierie sociale est d’amener une personne à faire quelque chose qui profite au cybercriminel. Par exemple, amener quelqu’un à révéler des informations financières qui seront ensuite utilisées pour commettre une fraude.

L’ingénierie sociale ne se limite pas aux méthodes numériques. Les ingénieurs sociaux utilisent toutes les tactiques nécessaires pour tromper les gens, y compris le téléphone ou en entrant dans un bureau pour discuter avec le personnel.

Les astuces d’ingénierie sociale préférées du moment sont les suivantes :

Prétexte (pretexting) et talonnage (tailgating)

Les attaquants se font passer pour des collègues ou des personnes en autorité, comme des policiers, pour établir la confiance avec leur cible via divers moyens tels que les communications numériques, téléphoniques ou en personne. Une fois la confiance établie, l’escroc cherche à obtenir des informations confidentielles, telles que des données personnelles ou financières.

Les escrocs mènent souvent des attaques physiques contre les entreprises en trouvant des moyens d’entrer dans un bâtiment, soit en se faufilant discrètement, soit en étant invités. Une fois à l’intérieur, ils peuvent utiliser des outils facilement accessibles, comme une clé USB Rubber Ducky, pour voler des données sensibles, notamment des identifiants de connexion.

Hameçonnage (phishing)

L’hameçonnage prend diverses formes, telles que les courriels, appels téléphoniques, messages sur les réseaux sociaux et SMS. Les messages d’hameçonnage utilisent des tactiques d’ingénierie sociale pour tromper les destinataires en leur faisant croire qu’ils proviennent d’une source fiable, les incitant à divulguer des informations confidentielles, comme des mots de passe ou des données de carte de crédit, en jouant sur leur confiance et leur envie de cliquer.

Une étude du gouvernement britannique sur la cybersécurité a révélé que 83 % des entreprises ayant identifié une cyberattaque ont déclaré que le phishing était le principal vecteur de l’attaque.

Le spear phishing (hameçonnage par harponnage) est une forme hautement ciblée d’ingénierie sociale. Les e-mails de spear phishing sont difficiles à distinguer des e-mails légitimes, car les fraudeurs les rendent très réalistes et établissent souvent une relation de confiance avec leur cible. En fait, l’hameçonnage par harponnage est à l’origine de 93 % des cyberattaques, selon le rapport DBIR.

Appâtage (baiting)

Cette attaque d'ingénierie sociale utilise l'incitation ou la peur de manquer (FOMO) pour encourager certains comportements. Par exemple, un employé peut se voir offrir des cadeaux ou des récompenses en échange d’informations personnelles ou professionnelles, comme des mots de passe.

En savoir plus : Six façons dont les cybercriminels utilisent l’ingénierie social

Pourquoi les attaques par ingénierie sociale sont-elles efficaces ?

Les êtres humains ont évolué pour agir d’une certaine manière afin d’établir des structures sociales solides. La confiance est un élément essentiel de ces sociétés, car sans elle, les relations échouent.

Les escrocs comprennent le comportement humain et la nécessité d’établir des relations de confiance. Ils savent comment manipuler les gens en se faisant passer pour des personnes de confiance ou en créant un climat de confiance.

D’autres comportements humains, tels que l’envie de bien faire, de ne pas s’attirer d’ennuis ou de ne pas manquer une opportunité, sont également exploités par les cybercriminels. Toutes ces actions naturelles que nous accomplissons quotidiennement peuvent être utilisées par des cybercriminels pour voler des données et accéder à des réseaux afin de mener des actions malveillantes.

Cinq exemples de techniques d'attaques utilisant l'ingénierie sociale

La presse rapporte régulièrement des exemples d’ingénierie sociale. Voici cinq cas illustratifs :

1. Hôtel Marriott : Un groupe de pirates a utilisé des tactiques d’ingénierie sociale pour obtenir 20 Go de données personnelles et financières dans un hôtel Marriott. Ils ont trompé un employé de l’hôtel pour accéder à son ordinateur.

2. Département américain du travail (DoL) : Le DoL a été victime d’une attaque visant à dérober les identifiants de connexion à Office 365. Les attaquants ont usurpé des domaines ressemblant à ceux du DoL pour envoyer des e-mails de phishing, demandant aux destinataires de soumettre une offre pour un projet gouvernemental, ce qui a conduit à un site de phishing.

3. Utilisateurs de Zoom : Une campagne de phishing a touché au moins 50 000 utilisateurs en créant une fausse peur de licenciement, incitant les employés à cliquer sur un lien pour une réunion avec les RH via Zoom. Ce lien dirigeait les employés vers un faux site de connexion Zoom conçu pour voler les mots de passe.

4. FACC : Le constructeur aéronautique autrichien FACC a perdu environ 42 millions d’euros à cause d’une escroquerie "Business Email Compromise" (BEC). Les escrocs ont usurpé le compte de messagerie du PDG pour demander un transfert de fonds urgent, que l’employé a effectué.

5. Crowdstrike : e fournisseur de sécurité a été la cible d’une attaque sophistiquée d’ingénierie sociale. Les escrocs ont exploité la réputation de confiance de Crowdstrike pour envoyer des e-mails de phishing aux employés, prétendant que leur ordinateur était infecté et demandant de les appeler pour résoudre le problème. En appelant, les employés donnaient accès à leurs ordinateurs aux attaquants.

En savoir plus : Terminologie de cybersécurité et de cybercriminalité

Comment se protéger contre les attaques d'ingénierie sociale

L’ingénierie sociale manipule nos actions quotidiennes, rendant ces attaques difficiles à détecter pour les employés. Il est crucial d’inclure l’ingénierie sociale dans les discussions de sensibilisation à la cybersécurité et d’en tenir compte dans les politiques de sécurité. Voici quelques moyens pratiques pour sensibiliser les employés aux techniques d’ingénierie sociale :

Intégrez l’ingénierie sociale dans votre culture de sécurité : Informez régulièrement le personnel sur l’ingénierie sociale et son fonctionnement. Intégrez cette thématique dans la formation de sensibilisation à la cybersécurité, les bulletins d’information et les affiches de sensibilisation.

Déployez des simulations d’hameçonnage : Utilisez des plateformes de simulation pour former le personnel à reconnaître les courriels de phishing et tester leur réaction. Adaptez les simulations aux différents rôles et tactiques connues.

Testez la sécurité et la réactivité de votre personnel : Mettez en place des scénarios de test pour évaluer la capacité de votre personnel à gérer des tentatives d’ingénierie sociale, y compris des tests d’infiltration physique et de vigilance face aux individus inconnus.

En outre, il est essentiel de tester la vigilance de votre personnel face à des individus inconnus. Par exemple, vous pouvez envoyer des testeurs se faire passer pour des nettoyeurs ou des prestataires de services (comme des entrepreneurs) et observer jusqu’où ils peuvent aller pour obtenir des informations sensibles ou demander l’accès à un ordinateur. Ces tests permettent d’identifier les failles potentielles de votre organisation et de renforcer la sécurité en conséquence.

En savoir plus : Formation cybersécurité pour les employés

Foire aux questions : Techniques d'attaques par ingénierie sociale en entreprise