Citron Conseil est une société de conseil en marketing et communication, basée à Paris et spécialisée dans l'innovation stratégique en affaires et le soutien aux startups, de leur création à leur expansion.

Les techniques d’ingénierie sociale sont au cœur de nombreuses cyberattaques. Découvrez comment les détecter et vous en protéger.

L’ingénierie sociale permet de mener des attaques qui passent outre la vigilance des équipes de cybersécurité. © Production Perig – stock.adobe.com

Qu’est-ce que le social engineering ?

Définition de l’ingénierie sociale

Le social engineering (ingénierie sociale en français) est un ensemble de méthodes utilisé pour obtenir des informations, des accès ou des autorisations, en exploitant des techniques de manipulation psychologique. Les attaquants tirent parti de traits humains spécifiques, tels que la confiance, la curiosité ou la peur, afin de passer outre la vigilance des utilisateurs. Le but est de les amener à divulguer des informations sensibles ou à réaliser des actions compromettant la sécurité de leurs données ou de leur environnement de travail.

Malgré la simplicité apparente de ces attaques, il s’avère difficile de lutter contre cette approche, car elle contourne les mécanismes de sécurité traditionnels, axés principalement sur les vulnérabilités techniques des infrastructures. Selon la plateforme logicielle Splunk, spécialisée dans la recherche, la surveillance, l’analyse et la visualisation en temps réel des données générées par les machines, 98 % des cyberattaques font appel à l’ingénierie sociale.

Attaques célèbres ayant utilisé des méthodes d’ingénierie sociale

Certaines cyberattaques majeures ont été orchestrées en utilisant des techniques d’ingénierie sociale. Voici trois exemples marquants :

  • Compromission de la boîte email de John Podesta : en 2016, la boîte email du directeur de campagne d’Hillary Clinton, John Podesta, a été compromise à la suite d’un faux email se faisant passer pour Google. Ce message a mené le futur conseiller de Joe Biden à cliquer sur un lien menant à une page de phishing, où il a révélé ses identifiants. L’accès a entraîné la publication d’emails internes, influençant l’opinion publique durant la campagne présidentielle.
  • Escroquerie visant Facebook et Google : entre 2013 et 2015, l’escroc lituanien Evaldas Rimasauskas a trompé Facebook et Google en envoyant des factures pour des services fictifs, en utilisant des noms d’entreprises semblables à ceux de vrais fournisseurs. Il a ainsi réussi à soutirer plus de 100 millions de dollars aux deux entreprises, uniquement grâce à des emails.
  • L’attaque contre Twitter : en 2020, des pirates ont manipulé des employés de Twitter dans le but d’accéder à des outils internes. Cela leur a permis de prendre le contrôle de comptes de personnalités et d’entreprises, qu’ils ont utilisés pour promouvoir une escroquerie au Bitcoin.

Les stratégies d’ingénierie sociale

Les techniques de social engineering sont employées dans divers types d’attaques. Parmi elles, le hameçonnage, qui implique l’usurpation de l’identité d’un individu ou d’une entité de confiance pour acquérir des informations, est l’usage le plus courant. Néanmoins, l’ingénierie sociale est également mise en œuvre dans les attaques de « watering hole » (point d’eau), qui infectent des sites web très fréquentés, ou dans les escroqueries physiques et téléphoniques. Pour orchestrer ces attaques, certains biais humains sont fréquemment exploités :

  • Biais d’autorité : les cybercriminels se font passer pour des figures d’autorité pour inciter à l’obéissance ou la confiance, persuadant ainsi les victimes de révéler des informations confidentielles ou d’effectuer des actions spécifiques sans les remettre en question. Les scarewares, qui jouent sur la peur en se faisant passer pour des autorités légales, exploitent ce biais.
  • Biais de conformité sociale : en créant l’illusion d’un large consensus ou d’une approbation générale, les attaquants exploitent le biais de conformité sociale ou « effet de vague ». Cette technique exploite la tendance à accorder sa confiance à la majorité et à s’y conformer.
  • Biais d’urgence : la création d’une fausse urgence incite les victimes à agir précipitamment, court-circuitant leur réflexion critique. Les stratégies de « pretexting », qui alertent l’utilisateur sur un problème fictif (comme une faille de sécurité), utilisent ce biais d’urgence.
  • Biais de rareté : ce biais exploite la tendance des individus à accorder davantage de valeur à des objets, opportunités ou ressources perçus comme limités, rares, ou en diminution. Les attaques utilisant le biais de rareté suscitent également, en règle générale, un sentiment d’urgence.

L’IA au service du social engineering

Le développement et la démocratisation des technologies d’intelligence artificielle générative présentent des risques pour la cybersécurité, notamment en améliorant les techniques d’ingénierie sociale. Les générateurs de texte par IA, comme ChatGPT, disposent en effet de capacités linguistiques avancées, permettant potentiellement aux cybercriminels de créer des messages de phishing plus convaincants. L’intégration de diverses technologies d’IA générative, comme la combinaison de la génération de texte avec le clonage vocal ou les deepfakes, ouvre la voie à la conception de campagnes de phishing complexes.

Par ailleurs, l’intelligence artificielle peut être exploitée à des fins de ciblage des individus, en identifiant en ligne des profils et leurs réseaux. Selon Forbes, des agents autonomes pourraient automatiser la sélection des cibles et l’envoi d’emails, facilitant ainsi la mise en œuvre d’attaques massives.

Social engineering : 5 bonnes pratiques pour se protéger

Face à la difficulté de contrer les stratégies d’ingénierie sociale pour les équipes de cybersécurité, une vigilance accrue de la part des utilisateurs est essentielle. Voici cinq bonnes pratiques recommandées pour se protéger :

  1. Vérifier les sources : il est primordial de vérifier l’origine des informations reçues. Examinez l’adresse email de l’expéditeur et survolez les liens sans cliquer pour éviter les pièges. Soyez attentif aux biais dans le contenu des messages qui pourraient être exploités.
  2. Utiliser des logiciels de sécurité robustes : veillez à protéger vos appareils avec des solutions antivirus et des pare-feux fiables. Maintenez vos logiciels et systèmes d’exploitation à jour pour vous prémunir contre les failles de sécurité.
  3. Limiter les informations partagées en ligne : soyez prudent avec les informations personnelles partagées sur les réseaux sociaux et autres plateformes. Chaque information divulguée peut potentiellement impacter votre sécurité et servir à alimenter des attaques de phishing ciblées.
  4. Renforcer les accès : adoptez des mots de passe forts et uniques pour chaque compte et activez l’authentification à deux facteurs quand cela est possible, pour une sécurité accrue.
  5. Pour les entreprises, la politique de moindre privilège : côté entreprises, il est préférable de limiter l’accès aux données et aux systèmes au strict nécessaire pour chaque utilisateur, afin de réduire le risque de compromission en cas d’attaque.