Ingénierie sociale

L’ingénierie sociale est l’utilisation de tromperies pour manipuler des personnes, afin d’obtenir des informations confidentielles ou personnelles à des fins frauduleuses. Ce type de cyberattaque est très répandu, et n’importe qui peut en être la cible. En effet, 98 % des cyberattaques impliquent l’ingénierie sociale sous une forme ou une autre¹, et une organisation moyenne est la cible de plus de 700 attaques d’ingénierie sociale chaque année².

Peu de contenus publiés sur Internet sont véritablement privés. « L’Internet est éternel » et presque tout ce qui est téléchargé sur un site Internet ou envoyé par courriel peut être trouvé, à moins d’être correctement crypté ou sécurisé.

Les réseaux sociaux sont le principal moyen par lequel les pirates collectent des informations sur vous, vos amis, votre famille et votre entreprise. Des informations en apparence anodines, comme votre parcours scolaire, le nom de votre animal de compagnie ou votre plat préféré, servent souvent de réponses aux questions de sécurité et peuvent être utilisées par des pirates pour accéder à vos comptes sécurisés. Ils peuvent également utiliser vos informations pour se faire passer pour vous dans le cadre d’attaques d’hameçonnage contre d’autres personnes, ou pour vous cibler directement dans des attaques d’ingénierie sociale.

Cette vidéo montre à quel point les cybercriminels utilisant l’ingénierie sociale peuvent être habiles :

Reconnaître une tentative d’ingénierie sociale

Il peut être délicat d’identifier une attaque d’ingénierie sociale, car les attaquants prennent souvent l’apparence de responsables compétents et en position d’autorité. Plusieurs méthodes d’attaques d’ingénierie sociale ont été étudiées et recensées, notamment : l’assistance informatique, les inspections surprises, les demandes urgentes et les menaces ou intimidations.

Assistance informatique

Si l’assistance informatique vous appelle à l’improviste, il s’agit probablement d’une attaque d’ingénierie sociale. Les services d’assistance technique ont généralement tellement de travail qu’ils n’ont pas besoin de chercher des problèmes à résoudre : ce sont les problèmes qui viennent à eux. Si vous recevez un appel non sollicité de l’assistance informatique, vérifiez le nom de l’appelant dans l’annuaire de l’entreprise et demandez-lui de venir à votre bureau. Vous pouvez également dire à la personne que vous la rappellerez, puis appeler directement l’assistance informatique.

Demandes urgentes

Les criminels qui pratiquent l’ingénierie sociale et les escrocs créent souvent un « sentiment d’urgence » pour manipuler les gens, afin qu’ils agissent sans réfléchir. Ne prenez jamais de décision hâtive et ne vous sentez pas obligé d’agir sans prendre le temps de réfléchir. Si une personne vous contacte, répondez que vous la recontacterez, afin de vérifier ses propos et son identité. Rendez-vous directement sur le site officiel et utilisez les bonnes coordonnées. Prenez votre temps et sachez que les entreprises sérieuses vous donneront toujours le temps nécessaire pour enquêter et résoudre en toute confiance un problème légitime.

Inspections surprises

Une autre forme d’ingénierie sociale consiste à se faire passer pour une personne du service informatique. Les pirates peuvent se munir de porte-blocs et porter des uniformes pour paraître crédibles dans le but d’accéder à des zones restreintes et obtenir des informations ou installer des logiciels malveillants.

Vérifiez leur identité auprès de la direction et n’ayez pas peur de faire appel à la sécurité.

Menaces ou intimidation

« Aidez-moi, ou le patron sera mécontent. »

Les pirates utilisent la peur pour vous manipuler. Ils peuvent tenter de vous convaincre que vous aurez des ennuis si vous ne leur fournissez pas les informations qu’ils recherchent.

Autres formes d’ingénierie sociale

• Hameçonnage : L’hameçonnage est une technique d’ingénierie sociale utilisée par des cyberattaquants pour cibler des personnes et les inciter à dévoiler des renseignements sensibles et personnels, tels que des mots de passe, des données personnelles, des coordonnées bancaires ou des codes de banque.
• Vishing et smishing : Ces formes d’hameçonnage, le vishing (hameçonnage par téléphone) et le smishing (hameçonnage par SMS), sont des attaques où l’on a recours à des appels téléphoniques et des messages pour vous inciter à divulguer des informations personnelles.
• Baiting : Le baiting (ou attaque par appât) est une forme spécifique d’hameçonnage où le pirate promet quelque chose en échange d’un paiement modique. L’offre est souvent trop belle pour être vraie et vise à collecter vos informations financières et personnelles.
• Tailgating ou piggybacking : Ces stratégies d’ingénierie sociale sont utilisées pour obtenir un accès non autorisé à des zones restreintes. Le tailgating se produit lorsque le pirate suit de près, et à son insu, une personne autorisée et pénètre par une porte ou un accès, contournant les identifiants requis. Le piggybacking fonctionne de manière similaire, mais quelqu’un laisse sciemment le pirate entrer, pensant qu’il s’agit d’un visiteur ou d’un employé.
• Quishing : Cette forme d’hameçonnage utilise des codes QR (QR-hameçonnage) pour inciter les gens à divulguer des informations sensibles ou pour télécharger des logiciels malveillants sur leurs appareils. Pour cela, les cybercriminels placent un code QR frauduleux dans des lieux habituels, comme un menu, un panneau d’affichage, une affiche ou une publicité. Une fois scanné, le code QR conduit les utilisateurs vers un site malveillant destiné à dérober leurs identifiants ou à compromettre la sécurité de leurs comptes et appareils.

Éviter les tentatives d’ingénierie sociale

Pour éviter d’ouvrir la voie à des cybercriminels et ne pas être pris pour cible, assurez-vous que vos paramètres de confidentialité sont activés et mis à jour régulièrement. Des entreprises comme Facebook mettent souvent à jour leurs politiques de confidentialité, ce qui entraîne la réinitialisation de vos paramètres de confidentialité aux valeurs par défaut. Vérifiez régulièrement vos paramètres de confidentialité pour vous assurer qu’ils sont toujours configurés comme vous le souhaitez. Assurez-vous également que vos informations sont masquées ou accessibles uniquement au public souhaité (de préférence uniquement vos amis, et non « les amis d’amis »).

En plus de mettre à jour vos paramètres de confidentialité, changez régulièrement votre mot de passe et activez l’authentification multifacteur lorsqu’elle est disponible. Veillez à ce que vos mots de passe sur les réseaux sociaux soient aussi sécurisés que ceux de vos comptes personnels ou professionnels. Tout comme pour l’hameçonnage par courriel, les pirates peuvent voler vos informations d’identification et vous hameçonner sur les réseaux sociaux.

Faire confiance à votre instinct

Fiez-vous toujours à votre instinct et soyez prudent. Si quelque chose vous semble louche, c’est probablement le cas. Vous savez mieux que personne ce qui est normal et ce qui ne l’est pas.

Si vous remarquez des choses inhabituelles (appels inattendus de l’assistance informatique, inspections inhabituelles, ouverture soudaine d’une nouvelle page dans votre navigateur), suivez ces directives :

• Faites des recherches avant d’agir : examinez la demande avant toute action hâtive. Les escroqueries courantes liées à l’ingénierie sociale sont souvent répertoriées sur Internet. Vous pouvez trouver des informations à leur sujet.
• Ne cliquez pas sur les liens : si vous ne connaissez pas l’expéditeur ou si vous n’attendiez pas ce message, allez directement à la source pour en vérifier l’authenticité au lieu de cliquer sur un lien.
• Soyez prudent : les pirates usurpent souvent l’identité d’une personne que vous connaissez ou utilisent un compte compromis pour vous contacter. Si une situation est étrange ou inhabituelle, il peut s’agir d’une attaque d’ingénierie sociale. Il est toujours préférable de faire preuve de prudence.

À l’ère numérique, les attaques d’ingénierie sociale sont parmi les cyberattaques les plus courantes et les plus dangereuses. Elles peuvent survenir à tout moment et toucher n’importe qui. Elles peuvent être dirigées contre vous ou contre votre organisation. Il est essentiel d’apprendre à reconnaître ces attaques pour protéger vos informations. Soyez vigilant avec vos informations personnelles sur Internet et fiez-vous à votre instinct. Vous êtes la meilleure défense contre les attaques d’ingénierie sociale.