Ingénierie sociale

Publié par Luc Martin

L'ingénierie sociale

Les fraudes, toujours plus nombreuses, exploitent de plus en plus la psychologie humaine et la manipulation. Par exemple, les tentatives de phishing, de malwares ou encore une clé USB piégée s’appuient sur la manipulation des relations humaines. Ainsi, nous pouvons définir l’ingénierie sociale comme le fait de manipuler un individu et d’abuser de sa confiance pour lui soutirer frauduleusement des informations à son insu. Les fraudeurs utilisent les "failles humaines" pour rompre les barrières de sécurité informatique et réaliser des actes d'escroquerie.

Comment ça marche ?

L’ingénierie sociale nécessite des recherches en amont de l’attaque : les hackers récupèrent des informations vous concernant par tout moyen : un appel, le site Internet de la société ou même les réseaux sociaux. A l’aide de ces différentes sources d’information, le fraudeur peut récupérer des noms, des fonctions, des emplois du temps afin de cibler au mieux les individus. Cette connaissance de l’entreprise permet à l'escroc d’être plus persuasif et convaincant au moment de la fraude.

L’exemple de l’arnaque au Président

Prenons le cas d’une arnaque au Président. Dans cette situation, un escroc se fait passer pour le dirigeant de la société et demande à un collaborateur d’effectuer un virement en urgence (souvent une grosse somme d’argent) à un tiers. Nous pouvons penser que ce type d’attaque est difficilement réalisable. Cependant, le fraudeur a réalisé en amont une recherche détaillée pour connaître le nom du dirigeant, son emploi du temps pour savoir à quel moment appeler (par exemple pendant un déplacement professionnel), les personnes pouvant réaliser un virement, des informations stratégiques de l’entreprise etc. A l'aide de ses informations et en usurpant une identité, le fraudeur arrive à convaincre et à manipuler l'individu en le persuadant de sa fausse identité.

Voici quelques précautions :

Former des utilisateurs : permet de limiter les erreurs humaines liées aux attaques par ingénierie sociale. Avoir connaissance de ses attaques et connaître les techniques utilisées permet de mieux les éviter ;

Eviter les réseaux sociaux : toutes les informations personnelles ou professionnelles inscrites sur les réseaux sociaux sont une véritable source de richesse pour les techniques d’ingénierie sociale ;

Instaurer des procédures : les procédures mises en place devront être en aucun cas suspendues. De plus, il faut accorder une importance particulière aux périodes de jours fériés et de vacances. Les attaques sont sensibles à ces périodes du fait d’un effectif généralement réduit ;

Assurer la sécurité informatique : mettre à jour son système d’exploitation, ces logiciels pour permettre d’éviter des attaques liées aux failles de sécurité ;

Se méfier des demandes urgentes, menaçantes, confidentielles et souvent non planifiées. Contacter directement les personnes concernées pour s'assurer de l’origine du virement.

Il est très difficile d'identifier et de se défendre d'une attaque par ingénierie sociale dans la mesure où les fraudeurs abusent de la confiance des individus. Ces derniers doivent faire preuve de méfiance, disposer de procédures et être formés car il n'existe pas de véritable outil pour se protéger contre ce type d'attaque.

Publié le 27-01-2020