En cybercriminalité, les attaques les plus graves ne viennent pas toujours de codes sophistiqués ou d’algorithmes complexes, mais souvent de la psychologie et des comportements humains. Les attaquants utilisent l’ingénierie sociale pour manipuler les émotions et les réactions, vous poussant ainsi à prendre des risques. Les conséquences peuvent être graves, allant de l’infection par un logiciel malveillant à des failles de sécurité majeures.
L’ingénierie sociale utilise la psychologie et les motivations humaines, ce qui en fait une forme de cybercriminalité particulièrement sournoise. Découvrez notre article pour mieux comprendre ses mécanismes et devenir plus efficace pour déjouer les attaques d’ingénierie sociale !
- Définition de l’ingénierie sociale et présentation de ses mécanismes
- Différentes techniques d’attaques utilisant l’ingénierie sociale
- Comment identifier les menaces et comment se protéger des cyberattaques
Comprendre l’ingénierie sociale
La définition de l’ingénierie sociale
L’ingénierie sociale est une technique de manipulation qui exploite les erreurs humaines pour accéder à des informations personnelles et à des ressources. Les fraudeurs incitent les utilisateurs à divulguer des données sensibles, à compromettre des systèmes ou à diffuser des logiciels malveillants, ou malwares. Cette technique, souvent qualifiée de « piratage humain », tire parti de la psychologie et des comportements des individus.
Lors d’une attaque d’ingénierie sociale, l’attaquant poursuit généralement deux objectifs : provoquer des perturbations et des dommages, et dérober des actifs de valeur comme des informations, de l’argent ou des accès. Ce type d’attaque repose sur la manipulation des personnes ciblées, les poussant à participer involontairement à la fraude.
Selon Firewall Times, plus de 98 % des attaques informatiques utilisent des techniques d’ingénierie sociale. De plus, une entreprise moyenne fait face à au moins 700 de ces attaques chaque année.
Les techniques courantes d’ingénierie sociale
Les auteurs d’attaques utilisent la psychologie, les comportements humains et le manque de connaissances pour manipuler leurs victimes. Par exemple, un utilisateur peut ne pas réaliser que partager son numéro de téléphone le rend vulnérable. L’efficacité de ces attaques dépend de la capacité de persuasion de l’attaquant. Plus celui-ci est convaincant, plus il est probable que vous agissiez de manière inhabituelle.
Une caractéristique clé des attaques d’ingénierie sociale est la manipulation des émotions. L’objectif de l’attaquant est de déclencher des émotions qui vous poussent à agir de manière imprudente. Voici les émotions couramment exploitées :
- La peur
- L’excitation
- La curiosité
- La colère
- La culpabilité
Une autre caractéristique des attaques d’ingénierie sociale est la création d’un sentiment d’urgence. Par exemple, vous recevez un e-mail ou un texto vous proposant de consulter immédiatement un site web ou de profiter d’une offre limitée qui expire à minuit. En instaurant une urgence fictive, l’attaquant vous incite à agir de façon irrationnelle, comme remplir un formulaire que vous auriez normalement ignoré.
L’ingénierie sociale repose sur la confiance. L’attaquant utilise les informations qu’il a collectées sur sa victime pour établir une connexion et créer un lien de confiance. Par exemple, dans une fraude au PDG, l’attaquant peut se faire passer pour votre dirigeant de manière très crédible. Après s’être renseigné sur votre PDG et l’entreprise, il peut vous tromper en demandant des informations confidentielles liées aux ressources humaines.
Le fonctionnement de l’ingénierie sociale
Pour réduire les risques, les organisations doivent comprendre les mécanismes sous-jacents. L’ingénierie sociale ne se limite pas à l’introduction d’un virus pour paralyser un réseau. Elle vise à vous manipuler et à vous piéger, sans attaquer directement la technologie ni recourir à la force pour obtenir des informations privées.
En général, lors d’une attaque d’ingénierie sociale, l’attaquant commence par recueillir des informations sur vous et sur les groupes auxquels vous appartenez. Il érode ensuite progressivement votre vigilance en établissant des interactions qui renforcent votre confiance. Une fois qu’il a gagné votre confiance et obtenu suffisamment de renseignements, il lance son attaque et disparaît une fois que vous avez accompli ce qu’il souhaitait.
Les différentes techniques d’attaques utilisant l’ingénierie sociale
Attaques d’hameçonnage
L’hameçonnage est une technique où un attaquant se fait passer pour une personne ou une organisation de confiance pour accéder à vos informations personnelles et les divulguer. Il existe deux types d’arnaques par hameçonnage : l’hameçonnage de masse, ou « spam phishing », et le harponnage, ou « spear phishing ». Le spam phishing est une attaque large et non personnalisée, tandis que le spear phishing utilise des informations personnelles pour cibler des individus spécifiques, souvent des personnes célèbres ou en position de responsabilité, comme des cadres, de hauts fonctionnaires et des célébrités.
Un exemple récent d’attaque par phishing est celui des textos prétendument envoyés par UPS. Ces messages informaient les destinataires qu’ils avaient raté la livraison d’un colis. Les liens invitaient les utilisateurs à saisir des informations sensibles, à installer un logiciel malveillant sur leur ordinateur ou à effectuer un paiement.
Appâtage et tailgating
L’appâtage est une technique d’attaque visant à vous manipuler pour obtenir des informations personnelles. L’appât prend souvent la forme d’une fausse offre exclusive ou gratuite. Ce type d’attaque permet au fraudeur d’infecter le système avec un logiciel malveillant.
Lors d’une attaque par appâtage, le pirate envoie souvent des e-mails contenant en pièce jointe une offre gratuite ou un logiciel frauduleux. Une autre technique consiste à laisser des clés USB infectées dans des lieux publics, comme des librairies ou des parkings.
Prétexting
Le prétexting est une technique où l’attaquant se fait passer pour quelqu’un d’autre afin d’établir une relation de confiance avec sa cible. Il peut prétendre être un employé ou un vendeur pour tromper la victime lors d’échanges directs. Une fois la cible piégée, l’attaquant est libre de faire ce qu’il souhaite, comme déployer un logiciel malveillant ou récupérer des informations confidentielles.
Se protéger contre l’ingénierie sociale
L’importance des mots de passe forts
Trop souvent, les utilisateurs choisissent des mots de passe faciles à mémoriser, comme le nom de leur animal de compagnie, et les utilisent pour plusieurs comptes sans les modifier régulièrement. Cisco recommande d’établir une politique de sécurité des mots de passe afin de définir le format des mots de passe qui doit être suivi par les employés.
Ces directives peuvent lister des critères, tels que le nombre minimum de lettres et les types de caractères requis pour les mots de passe. Elles peuvent prévoir des mises à jour régulières ou préciser à quelle fréquence les employés doivent changer leurs mots de passe. De plus, demander au personnel de ne pas partager les mots de passe est une mesure simple, mais efficace pour protéger les données confidentielles.
Le stockage des mots de passe est tout aussi important que leur format. Un gestionnaire de mots de passe vous aide à créer, sécuriser, saisir et mettre à jour vos mots de passe. Pour plus de confort, choisissez un gestionnaire qui se synchronise sur tous vos appareils.
L’authentification à deux facteurs
Pour protéger les réseaux à haut risque, comme les VPN et les pools de modems, il est recommandé d’utiliser l’authentification multifacteur, qui ajoute un niveau de sécurité supplémentaire. Par exemple, même si un employé consulte son téléphone mobile pour vérifier le mot de passe de son poste de travail, un attaquant pourra tenter de deviner ce mot de passe, mais il ne pourra pas accéder aux informations affichées sur l’appareil de l’employé.
Voici quelques exemples des méthodes d’authentification à deux facteurs : les codes à usage unique, l’authentification biométrique (comme la lecture des empreintes digitales), les codes SMS et les notifications push.
La formation et la sensibilisation du personnel
Distribuer un manuel de 50 pages sur la cybersécurité n’est pas une méthode efficace pour former le personnel et renforcer ses connaissances. Il est probable que les employés ne le consultent que lorsqu’ils rencontrent un problème, et uniquement s’il est facile à comprendre. Il est préférable d’intégrer la cybersécurité directement dans la culture et les activités de votre organisation pour assurer une meilleure protection des systèmes. Votre personnel devrait être capable de donner une définition de l’ingénierie sociale avec assurance.
Réduisez les risques d’attaques d’ingénierie sociale en optant pour une formation de sensibilisation dynamique et interactive. Évitez les approches passives avec vos employés. Par exemple, certaines organisations mettent en place des formations en ligne pour les nouveaux employés, avec des modules et des quiz pour solidifier leurs connaissances. Abordez également les attaques récentes dans des entreprises similaires ou les problèmes de cybersécurité déjà rencontrés par votre organisation.
Pour élaborer une formation en cybersécurité, faites preuve de créativité. Par exemple, vous pouvez simuler des attaques d’ingénierie sociale. De nombreuses organisations réalisent des exercices, parfois en temps réel, avec leur équipe technique.
Identifier les signes d’une attaque d’ingénierie sociale
Les drapeaux rouges, ou signes d’alerte, à surveiller :
Selon Webroot, voici quelques indicateurs d’une tentative de phishing :
- Des e-mails, apparemment envoyés par des personnes de confiance, sollicitent votre aide. Par exemple, vous pourriez recevoir un e-mail d’un « collègue », vous demandant des informations sur la carte bancaire de l’entreprise.
- Se faire passer pour une entité légitime, comme une banque, afin d’obtenir des informations.
- Vous recevez un message ou une action se produit en réponse à une demande que vous n’avez pas faite. Par exemple, dans le cas d’UPS, les victimes ont reçu un message concernant un colis en attente alors qu’elles n’avaient rien commandé.
Les sollicitations en ligne suspectes
Voici quelques cas de demandes suspectes :
- Des demandes de donation pour un organisme de charité ou une autre cause. Ces cybercriminels exploitent tout sujet d’actualité pour vous piéger.
- Des notifications vous annoncent que vous avez gagné quelque chose. Pour recevoir votre récompense, et accéder à l’argent, vous devez remplir un formulaire ou fournir des informations personnelles, comme votre adresse postale ou vos coordonnées bancaires.
- Vous recevez une réponse à une question que vous n’avez jamais posée. Un attaquant peut se faire passer pour un représentant de votre banque ou d’une autre institution, sachant qu’un e-mail de ces sources attirera davantage votre attention qu’un message d’une organisation inconnue. Les fraudeurs peuvent alors vous demander de vous authentifier ou de leur accorder un accès à votre organisation.
Les e-mails et les appels téléphoniques inhabituels
Les appels téléphoniques et les e-mails suspects font écho aux indicateurs précédents et peuvent parfois être plus faciles à repérer. Par exemple, un SMS prétendument envoyé par votre banque, avec des espaces anormaux dans le numéro de téléphone, doit immédiatement éveiller vos soupçons.
Un e-mail frauduleux vous informe d’un problème et vous demande de vérifier des informations, souvent en cliquant sur un lien ou en remplissant un formulaire. Pour paraître légitimes, ces e-mails et formulaires imitent souvent le logo et le style d’une entreprise connue. En général, ils sont accompagnés d’un message qui vous incite à agir rapidement pour éviter des conséquences.
Les bonnes pratiques pour éviter les pièges de l’ingénierie sociale
Mettre à jour régulièrement les logiciels
Ne vous fiez pas uniquement aux fonctions de mise à jour automatique et ne supposez pas qu’elles s’exécuteront toujours en votre absence. Les logiciels obsolètes sont plus susceptibles d’être piratés. Vérifiez régulièrement que les mises à jour automatiques se déroulent comme prévu.
Sécuriser les informations sensibles
Ajoutez des niveaux de sécurité supplémentaires pour protéger vos données. Choisissez une solution qui offre des fonctionnalités adaptées à la sécurisation de grandes quantités de données sensibles. Toutefois, soyez prudent lors du choix de votre prestataire : celui-ci, qui peut être par exemple un fournisseur de services de données, pourrait avoir accès à vos informations.
Mettre en place des contrôles d’accès
Parmi les mesures nécessitant peu de gestion, on trouve la gestion des mots de passe et l’authentification multifacteur. D’autres mesures de contrôle, comme l’authentification adaptative, évaluent l’identité de l’utilisateur en fonction de facteurs contextuels tels que la localisation ou l’analyse du comportement.
Des ressources supplémentaires
Les fonctionnalités de sécurité LastPass
L’une des principales différences entre LastPass et les autres gestionnaires de mots de passe est le chiffrement zero knowledge. Vous êtes la seule personne à avoir accès à vos données et à votre mot de passe principal, grâce à une clé unique. Cela permet de maintenir vos données non cryptées séparées de nos serveurs, garantissant ainsi la protection et l’intégrité de vos informations.
La sécurisation des comptes personnels et professionnels
En plus de renforcer la sécurité de vos comptes professionnels, pensez à protéger vos informations personnelles. Une mesure simple consiste à ajouter une authentification multifacteur à vos e-mails et à vos comptes bancaires. Avec un gestionnaire de mots de passe ou un authentificateur, vous n’aurez plus à craindre les failles de sécurité ni à vous inquiéter d’oublier vos mots de passe.
Les pirates utilisent l’ingénierie sociale pour mener des attaques de plus en plus sophistiquées. Maintenant que vous comprenez mieux comment fonctionne l’ingénierie sociale, vous êtes en mesure d’identifier et de déjouer les tentatives de manipulation qui menacent votre cybersécurité. En cas de doute, posez-vous les questions suivantes :
- Est-ce que je ressens des émotions plus fortes que d’habitude ? Par exemple, éprouvez-vous de la peur, de la curiosité, de l’anxiété, ou une impatience inhabituelle ?
- Ce message provient-il d’une personne ou d’une organisation légitime ?
- Y a-t-il des pièces jointes ou des liens suspects ?
- Est-ce que cela semble trop beau pour être vrai ?
Gardez à l’esprit que le « piratage humain » exploite vos émotions et vos comportements. Prenez votre temps, faites confiance à votre intuition, et adoptez de bonnes pratiques en matière d’utilisation et de sécurité sur le web pour vous protéger contre les techniques d’ingénierie sociale.
Suivez les évolutions de l’ingénierie sociale. Démarrez votre essai gratuit de LastPass dès aujourd’hui.