Toutes les attaques de cybersécurité sophistiquées ne recourent pas nécessairement à l'utilisation de logiciels malveillants ou de codage. Il suffit parfois aux pirates informatiques de jouer avec vos émotions primaires, telles que la peur, la cupidité, la confiance ou un sentiment d'urgence. Découvrez comment ils utilisent les techniques d'ingénierie sociale pour vous inciter à révéler vos informations sensibles.
Qu'est-ce que l'ingénierie sociale ?
L'ingénierie sociale regroupe différents types d'attaques, qui exploitent la psychologie humaine dans le but d'obtenir des informations sensibles. Ces attaques jouent généralement sur les émotions de la victime telles que la peur, la confiance, la cupidité, le stress et le sentiment d'urgence. Aux prises avec de tels sentiments forts, la victime perd sa capacité de jugement et fournit plus facilement ses informations, ce qu'elle ne ferait en aucun cas habituellement.
Les pirates savent utiliser diverses techniques d'ingénierie sociale dans le but d'obtenir des informations personnelles, telles que des identifiants de connexion, des mots de passe, des numéros de compte bancaire, des numéros de sécurité sociale, etc. Grâce à ces informations, ils peuvent accéder à votre réseau, voler votre argent ou votre identité. Ils peuvent également utiliser ces données lors d'autres attaques par la suite.
Les pirates adorent les attaques d'ingénierie sociale, car elles sont plus simples à exécuter que les attaques de logiciels malveillants, et leurs taux de succès est également bien plus élevé. Avec quelques tactiques d'ingénierie sociale, les pirates n'ont même pas besoin de savoir coder !
Les types d'attaques par ingénierie sociale
Hameçonnage
L'hameçonnage est probablement la technique de piratage social la plus courante. Les escroqueries par hameçonnage peuvent s'effectuer sur de nombreuses plateformes : e-mail, chat, publicités en ligne ou sites Web. Cependant, le plus souvent, les pirates informatiques utilisent les e-mails d'hameçonnage pour vous inciter à télécharger des logiciels malveillants ou à cliquer sur un lien malveillant qui extraira alors vos données. Ces attaques par hameçonnage consistent à vous séduire avec une offre à laquelle il vous est difficile de résister, à vous effrayer au moyen de menaces de sécurité ou à vous manipuler par abus de confiance.
Voici quelques exemples d'attaques par ingénierie sociale :
vous recevez un e-mail d'un site de loterie vous affirmant que vous avez gagné un million d'euros et vous demandant de cliquer sur un lien pour réclamer votre prix ;
une banque vous contacte au sujet d'un prêt que vous n'avez jamais contracté et vous demande de confirmer vos informations de paiement ;
ou encore une société de livraison qui vous envoie une facture par e-mail et vous demande de la régler immédiatement.
Spear phishing
Le Spear phishing est similaire à l'hameçonnage, cependant, il demande davantage de travail au pirate informatique et, étant plus élaboré, il a un taux de réussite plus élevé. Les e-mails d'hameçonnage et les escroqueries ciblent des milliers de personnes dont le pirate ignore absolument tout. Avec le harponnage, le pirate choisit une cible spécifique : une personne ou une entreprise en particulier. Il effectue ensuite des recherches pour comprendre sa victime et créer une stratégie infaillible pour extraire ses données.
Par exemple, un comptable récemment embauché reçoit un e-mail de son PDG qui souhaite qu'une grosse somme d'argent soit virée sur le compte d'un partenaire international. L'e-mail précise que cette opération doit être effectuée immédiatement. Si le nouvel employé ne connaît pas les procédures habituelles de l'entreprise ou ce qu'il doit attendre de son patron, il transférera probablement les fonds au pirate.
Pretexting
Si l'hameçonnage joue principalement sur la peur et le sentiment d'urgence, alors le pretexting est le contraire : il s'appuie sur le sentiment de confiance. Comme son nom l'indique, le pretexting utilise un prétexte crédible ou une histoire qui permet de créer une relation avec la victime et ne laisse aucune place au doute. Le pretexting peut être utilisé que la victime soit en ligne ou pas. Par exemple, un pirate peut se faire passer pour un agent effectuant un audit et vous convaincre de le laisser entrer dans la salle des serveurs. Ou il peut vous faire croire qu'il est le directeur de votre banque et vous appeler pour vous demander de confirmer vos informations de paiement.
Appâtage
Dans le cas de l'appâtage, les pirates utilisent un objet ou une offre irrésistible et en profitent pour infecter votre appareil ou le réseau tout entier. Il y a de cela quelques décennies, vous auriez pu laisser tomber une clé USB dans un parking, étiquetée « Salaires des cadres T4 », et cela aurait attiré l'attention d'une personne mal intentionnée. De nos jours, vous êtes plus susceptible de rencontrer les techniques d'appâtage sur les plateformes P2P. Vous voulez par exemple télécharger un épisode de Game of Thrones en haute résolution. Mais comment pouvez-vous être sûr que ce n'est pas un cheval de Troie ?
Attaque de contrepartie
Lors d'une attaque de contrepartie, ou quid pro quo, un pirate vous fait une offre alléchante en vous demandant quelque chose en retour, le plus souvent de lui communiquer vos données personnelles. Il peut s'agir de votre « oncle » que vous n'avez jamais connu et qui veut vous transférer une somme d'argent ; tout ce que vous avez à faire étant de lui communiquer vos coordonnées bancaires. Ou il peut s'agir d'un « technicien informatique » que vous n'avez jamais contacté, qui, de sa bonne volonté, vous propose de réparer votre ordinateur portable. En réalité, tout ce dont ils ont besoin, c'est d'un accès à distance à votre appareil.
Scareware ou alarmiciel
Si vous consultez des sites Web qui ne sont pas sécurisés (sites HTTP plutôt que HTTPS), vous pouvez rencontrer des publicités ou des bannières qui s'affichent dans une fenêtre contextuelle et qui vous avertissent d'une infection par un logiciel malveillant. Il ne s'agit pas d'une fenêtre contextuelle provenant de votre antivirus, mais ce message vous incite à télécharger le seul logiciel capable de vous débarrasser de ce méchant virus. Le problème est que le logiciel qu'on vous invite à télécharger est en fait un logiciel malveillant ; c'est pourquoi on l'appelle un scareware.
Talonnage
La méthode du talonnage peut être comparée à celle du pretexting. Toutefois, l'objectif principal est généralement de pénétrer dans un bâtiment sécurisé, et cette attaque nécessite peu de recherches. Un pirate peut tout simplement talonner un employé ou, en d'autres termes, s'adonner au « piggyback », c'est-à -dire obtenir l'accès non autorisé en se faisant passer pour un livreur par exemple pour parvenir à entrer dans un bâtiment. Le pirate peut également simplement suivre un employé qui ne s'interroge pas sur cette personne qui lui est pourtant inconnue.
Comment se protéger de l'ingénierie sociale ?
Au premier abord, il peut paraître difficile de se protéger des pirates sociaux, car n'importe qui peut tomber dans le piège. Cependant, en mettant en place quelques procédures simples, vous pouvez prévenir, reconnaître et mettre un terme à de telles attaques lorsqu'elles se produisent et là où elles se produisent.
Utilisez un antivirus adéquat et mettez-le à jour régulièrement.
Ne prenez pas tout pour argent comptant. Si une offre vous paraît trop belle pour être vraie, c’est probablement le cas.
Ne vous précipitez pas, étudiez les faits avant d'agir. Si vous ne savez pas s'il s'agit d'une vraie offre ou d'une demande légitime, contactez directement l'entreprise ou votre patron.
N'ouvrez pas les e-mails étranges, ne cliquez pas sur les liens douteux et ne téléchargez pas les pièces jointes suspectes.
Familiarisez-vous avec les politiques de votre entreprise relatives à la confidentialité et à la sécurité. Ne laissez pas des personnes inconnues pénétrer dans les zones sécurisées, interrogez-les.
Ne partagez pas votre ordinateur avec d'autres personnes et verrouillez-le lorsque vous ne l'utilisez pas.
Réglez vos filtres anti-spam au niveau de protection le plus élevé.
Utilisez l{link1}. Même si des pirates mettent la main sur vos identifiants de connexion, ils ne pourront pas accéder à vos comptes, car ils devront passer une étape de confirmation supplémentaire.
Informez vos employés et collègues sur la façon de reconnaître les attaques d'ingénierie sociale.
Évitez de communiquer les prénoms de vos enfants, les noms de vos animaux de compagnie, vos lieu et date de naissance, ou d'autres informations personnelles en ligne.
Méfiez-vous des amitiés exclusivement en ligne.
Utilisez des mots de passe forts et uniques ainsi qu'un gestionnaire de mots de passe pour les sécuriser.
Pour en savoir plus sur la cybersécurité et sur les moyens de protéger vos mots de passe, abonnez-vous à notre newsletter mensuelle gratuite dans l'encart ci-dessous.