Ingénierie sociale (Social Engineering)

L’ingénierie sociale est une manipulation interpersonnelle qui permet aux cybercriminels d’accéder aux systèmes informatiques de tiers et aux données sensibles. Le terme vient de l’anglais et se compose de « social », qui se traduit par « interpersonnel », et de « engineering », qui se traduit littéralement par « construction ». Il s’agit donc d’une construction ciblée d’une relation interpersonnelle.

Qu’est-ce que cela signifie en détail ?

Le principe de l’ingénierie sociale n’est pas nouveau. Dans la vie de tous les jours, il est connu sous des termes tels que « escroquerie » et « imposture ». Les médias numériques offrent aux criminels de nouvelles possibilités en la matière :

• Les cybercriminels peuvent collecter des informations détaillées sur une entreprise par le biais de médias numériques tels que les sites Web, blogs, pages Facebook, etc. de l’entreprise. Elles leur permettent de se présenter de manière crédible comme
• Les entreprises qui se font passer pour des employés, des administrateurs ou même des dirigeants (cf. fraude au PDG) de cette entreprise sont des entreprises qui ne sont pas des entreprises.
• Les cybercriminels peuvent utiliser les médias sociaux pour établir des contacts ciblés, par exemple avec des cadres supérieurs, sous une fausse identité. Dans le cadre d’une prétendue amitié ou d’une romance, ils essaient d’inciter la personne attaquée à révéler des informations sensibles sur l’entreprise.

L’ingénierie sociale exploite souvent les forces humaines à des fins criminelles. Des qualités indispensables telles que la serviabilité, la confiance et le respect de l’autorité sont délibérément détournées.

• Par exemple, les cybercriminels prétendent être des amis d’amis à qui la cible a été recommandée comme contact. Par exemple : pour relire une candidature. Cependant, le document numérique contenant la prétendue candidature contient des programmes malveillants tels que des chevaux de Troie, des ransomwares ou des keyloggers.
• Les cybercriminels peuvent également se faire passer pour des supérieurs hiérarchiques pressés par le temps, qui ordonnent par exemple le transfert d’une somme d’argent importante sur un compte donné.

La peur est utilisée pour l’ingénierie sociale. En raison de son fort impact émotionnel, la peur réduit la capacité de réflexion critique. Cela facilite la manipulation recherchée par les cybercriminels.

• La fraude du PDG consiste par exemple à menacer de conséquences professionnelles négatives si les instructions présumées ne sont pas appliquées.
• Dans les tentatives d’extorsion, les cybercriminels prétendent être en possession de données sensibles de la personne attaquée, par exemple des photos ou des vidéos d’actes sexuels. Si les conditions du maître chanteur sont remplies, ces données seront détruites, sinon elles seront publiées.
• Selon un modèle similaire, les cybercriminels se font passer pour des policiers et exigent le paiement d’une amende pour des délits allégués, tels que des téléchargements illégaux.

Les entreprises sont particulièrement concernées par les attaques d’ingénierie sociale à long terme visant des employés stratégiques. Il peut s’agir, par exemple, d’un contact prétendument privé au cours duquel des informations de plus en plus sensibles sur l’entreprise sont évoquées. Si la personne attaquée devient méfiante ou se désintéresse, il peut s’ensuivre un chantage basé sur des informations ou des données confidentielles déjà divulguées.

Où est-ce que je rencontre ce thème dans mon travail quotidien ?

En théorie, vous êtes toujours confronté à la situation où vous ne pouvez pas confirmer avec certitude l’identité d’un interlocuteur, que ce soit au téléphone, par e-mail ou dans des messages privés.

Que puis-je faire pour améliorer ma sécurité ?

• En principe : utilisez vos stratégies quotidiennes éprouvées également dans les médias numériques. Des questions inhabituelles, des demandes inappropriées, des histoires douteuses ou simplement une « impression générale étrange » sont des signes d’alerte importants, quel que soit le canal utilisé.
• Ne donnez jamais de mots de passe, d’informations confidentielles, etc. au téléphone.
  Demandez des précisions, par exemple le nom complet et le numéro de téléphone à rappeler. Ou demandez des informations sur des personnes fictives, par exemple un collègue imaginaire dans le service ou le conjoint inexistant d’un ami prétendument commun.
• Ne vous laissez pas mettre sous pression. Pas par un prétendu manque de temps ou une prétendue nécessité de garder le secret. Pas par des affirmations, des menaces ou des flatteries. Tous ces moyens peuvent être utilisés de manière ciblée pour obscurcir votre jugement. Créez une situation dans laquelle vous pouvez réfléchir à tête reposée aux demandes, etc. et les réexaminer le cas échéant.
• Si possible, vérifiez l’identité de votre interlocuteur via un canal fiable et neutre. Appelez par exemple le siège de votre entreprise et demandez à être mis en relation avec le nom mentionné. Cet appel à un supérieur que vous ne connaissiez pas personnellement peut susciter un grand étonnement de sa part – ou montrer qu’il n’y a pas de personne de ce nom dans votre entreprise.
• Sensibilisez tous les collaborateurs de votre entreprise aux méthodes d’ingénierie sociale et aux mesures de protection. Demandez à vos collaborateurs de poser des questions aux services concernés en cas d’instructions inhabituelles. Sensibilisez vos cadres à l’importance de ces demandes – elles peuvent éviter à votre entreprise de subir des dommages importants.
• Planifiez les cas d’urgence, c’est-à-dire les cas d’attaques d’ingénierie sociale réussies. Développez des scénarios et des mesures à prendre afin de pouvoir agir immédiatement en cas de besoin. Cela inclut des dispositions techniques, mais aussi sociales, par exemple des points de contact sûrs et confidentiels pour les employés victimes de chantage ou d’autres formes de coercition.
• Si vous avez été la cible d’une attaque d’ingénierie sociale, informez immédiatement les services concernés de votre entreprise. Il est possible que vous ayez détecté le signe d’une menace persistante avancée (Advanced Persistent Threat). C’est-à-dire d’une attaque ciblée à plusieurs niveaux contre votre entreprise, qui peut inclure d’autres vecteurs d’attaque, comme le spam, les enregistreurs de frappe et les ransomwares. Vos informations peuvent être cruciales pour une défense efficace.