Posts

Qu'est-ce que l'ingénierie sociale ? Il s'agit d'une forme de cyberattaque qui consiste à utiliser la manipulation et la tromperie pour accéder à des données ou à des informations. L'objectif de l'ingénierie sociale est de pousser les gens à divulguer des informations sensibles, telles que des mots de passe et des détails sur le réseau, en leur faisant croire qu'ils interagissent avec une personne de confiance. 

Dans certains cas, les ingénieurs sociaux tenteront également de vous faire télécharger des logiciels malveillants sur votre ordinateur sans que vous vous en rendiez compte.

Qu'est-ce que l'ingénierie sociale ? Définition

L'ingénierie sociale consiste à manipuler les gens pour qu'ils effectuent des actions ou divulguent des informations confidentielles. Il s'agit d'une forme de piratage, mais au lieu de pénétrer dans les ordinateurs, les ingénieurs sociaux essaient d'y accéder en incitant les employés à donner des informations ou à télécharger des logiciels malveillants.

Techniques d'ingénierie sociale : Comment fonctionne l'ingénierie sociale ?

  • L'ingénierie sociale peut se faire par téléphone, par e-mail ou par SMS. Un ingénieur social peut appeler une entreprise et demander l'accès à une zone restreinte, ou se faire passer pour quelqu'un d'autre afin de lui faire ouvrir un compte de messagerie en son nom.
  • Les ingénieurs sociaux utilisent de nombreuses tactiques différentes pour atteindre leurs objectifs. Par exemple, ils peuvent prétendre qu'ils appellent du service d'assistance d'une entreprise et demander un accès à distance afin de pouvoir réparer quelque chose sur votre ordinateur ou votre réseau. Ils peuvent aussi prétendre qu'ils ont besoin de votre mot de passe ou d'autres informations personnelles, comme des données bancaires, pour résoudre un problème sur votre compte bancaire.
  • Dans certains cas, les ingénieurs sociaux se font même passer pour des agents de la force publique et vous menacent de poursuites judiciaires si vous refusez d'accéder à leurs demandes d'informations. S'il est important que les entreprises prennent ces menaces au sérieux, n'oubliez pas que la police n'appellera jamais quelqu'un pour lui demander ses mots de passe par téléphone !

Objectif de l'ingénierie sociale

L'ingénierie sociale est souvent utilisée dans les attaques de phishing, c'est-à-dire des courriels qui semblent provenir d'une source fiable mais qui visent en fait à voler vos informations personnelles. Ces courriels contiennent généralement une pièce jointe contenant un logiciel malveillant (souvent appelé "malware") qui infectera votre ordinateur s'il est ouvert.

L'objectif de l'ingénierie sociale est toujours le même : obtenir l'accès à quelque chose de précieux sans avoir à travailler pour l'obtenir. 

1. Vol d'informations sensibles

Les ingénieurs sociaux peuvent donc essayer de vous inciter à donner votre mot de passe et vos identifiants de connexion (tels que votre nom d'utilisateur et votre adresse électronique) afin d'accéder à votre compte de messagerie ou à votre profil de média social, où ils peuvent voler des informations personnelles telles que des numéros de carte de crédit et des informations bancaires provenant de transactions antérieures. 

2. Le vol d'identité

Ils peuvent également utiliser ces informations pour usurper l'identité de la victime et mener des activités malveillantes en se faisant passer pour elle si elle choisit de ne pas les détruire immédiatement.

Apprenez pourquoi les cyber-attaquants utilisent couramment l'ingénierie sociale.

Comment identifier une attaque d'ingénierie sociale ?

1. Faites confiance à votre instinct

Si vous recevez des courriels ou des appels téléphoniques qui vous semblent suspects, ne donnez aucune information avant d'avoir vérifié votre identité. Vous pouvez le faire en appelant directement votre entreprise ou en vous renseignant auprès de la personne qui est censée avoir envoyé l'e-mail ou laissé un message sur votre boîte vocale.

2. Ne soumettez pas vos informations personnelles

Si quelqu'un vous demande votre numéro de sécurité sociale ou d'autres détails privés, c'est un signe qu'il essaie de profiter de votre confiance et de l'utiliser contre vous plus tard. Il est conseillé de ne donner aucune information à moins que cela ne soit absolument nécessaire. 

3. Demandes inhabituelles sans contexte

Les ingénieurs sociaux font généralement des demandes importantes sans donner de contexte. Si quelqu'un demande de l'argent ou d'autres ressources sans expliquer pourquoi il en a besoin, il y a probablement quelque chose de louche. Il est préférable d'être prudent lorsque quelqu'un fait une demande importante de ce type : on ne sait jamais quels dommages peuvent être causés par l'accès à votre compte bancaire !

Voici quelques moyens de repérer les attaques d'ingénierie sociale:

  • Réception d'un courriel de quelqu'un qui prétend appartenir à votre service informatique et qui vous demande de réinitialiser votre mot de passe et de le fournir dans un courriel ou un SMS
  • Réception d'un courriel d'une personne prétendant appartenir à votre banque et demandant des informations personnelles, telles que votre numéro de compte ou votre code PIN.
  • Réception d'un courriel d'une personne prétendant appartenir à votre banque et demandant des informations personnelles, telles que votre numéro de compte ou votre code PIN.
  • Une personne prétendant appartenir au service des ressources humaines de l'entreprise vous demande des informations sur cette dernière.

Attaques d'ingénierie sociale par courriel

Les courriels d'hameçonnage - Ils semblent provenir d'une source légitime mais tentent en fait de vous inciter à ouvrir une pièce jointe ou à visiter un site web malveillant.

Spear phishing - Le spear phishing sont plus ciblées que les courriels de phishing et utilisent des informations vous concernant pour les rendre plus crédibles.

Fraude des PDG - La fraude au PDG est un type d'escroquerie par phishing qui consiste à se faire passer pour un PDG ou un cadre de haut niveau afin d'accéder à des informations sensibles. Il peut s'agir de numéros de comptes bancaires, de détails de virements bancaires ou même d'informations sur la paie des employés.

Apprenez-en plus sur les autres types d'attaques d'ingénierie sociale d'ingénierie sociale.

Comment prévenir l'ingénierie sociale ?

Nous vous proposons quelques conseils pour prévenir les attaques d'ingénierie sociale et vous en protéger.

  1. Assurez-vous d'avoir un bon logiciel antivirus installé sur vos appareils et ordinateurs.
  2. N'ouvrez pas les courriels ou pièces jointes suspects provenant de personnes qui ne font pas partie de votre cercle de confiance (y compris les courriels provenant de personnes prétendant être votre banque ou votre société de carte de crédit).
  3. Ne cliquez pas sur les liens contenus dans les courriels si vous n'êtes pas sûr qu'ils sont sûrs, même s'ils proviennent d'une personne que vous connaissez ! En cas de doute sur la légitimité d'un courriel, appelez directement l'expéditeur par téléphone ou par message texte au lieu de chercher d'abord à obtenir plus d'informations en ligne.
  4. Méfiez-vous des appels téléphoniques ou des SMS non sollicités proposant quelque chose de "trop beau pour être vrai" (il peut s'agir de prix gratuits ou d'autres offres pour s'inscrire à des essais gratuits, par exemple). 
  5. Utilisez authentification à deux facteurs dans la mesure du possible. Cela signifie que même si quelqu'un a votre mot de passe, il aura besoin d'une autre information (comme un code à usage unique) pour accéder à votre compte.
  6. Configurez les protocoles d'authentification du courrier électronique comme DMARC pour sécuriser vos canaux de messagerie contre les attaques de phishing, l'ingénierie sociale et l'abus de domaine.

Pour résumer

Il est important de se protéger contre l'ingénierie sociale, car elle peut entraîner la perte d'argent et d'autres informations personnelles, ainsi que la compromission des systèmes de sécurité et la violation des données. 

Quelle que soit l'efficacité de votre équipe informatique à protéger votre entreprise contre les cyberattaques, vous ne pourrez jamais éliminer complètement le risque que quelqu'un tente de pénétrer dans votre système par des méthodes d'ingénierie sociale. C'est pourquoi il est si important de former les employés sur l'identification des courriels de phishing et d'autres types d'attaques d'ingénierie sociale.