Qu'est-ce que le Social Engineering ?
4
 min
Monter en compétences
 Publié le 
3/8/2021

Qu'est-ce que le Social Engineering ?

Généralement, on s'imagine les attaques informatiques comme étant l'œuvre d'un hacker qui enchaîne différentes lignes de codes depuis son ordinateur. En réalité, cette pratique exploite les failles des systèmes informatiques, mais aussi et surtout celles de l'être humain.

En effet, les cybercriminels arrivent la plupart du temps à pénétrer des systèmes sécurisés en manipulant des individus. Ils arrivent ainsi à leur soustraire des données confidentielles. On parle de social engineering pour désigner cet art de manipuler des personnes et d'obtenir à leur insu des informations sensibles. Ici, découvrez tout de cette technique de hacking ainsi que les bonnes pratiques pour s'en prémunir.

social engineering


Social engineering : une méthode de hacking efficace

Le social engineering (ingénierie sociale) est l'art de manipuler psychologiquement une personne afin de parvenir à une escroquerie. C'est une fraude psychologique qui pousse un individu à mener des actions contraires aux dispositifs de sécurité en vigueur. Elle repose donc sur une faille humaine. C'est une technique de hacking efficace qui facilite l'accès direct à des données importantes au sein d'un ordinateur à distance. Dans les grandes entreprises, les pare-feu sont bien configurés et régulièrement mis à jour. Ce qui bien sûr ne permet pas à un hacker de s'introduire dans le système informatique de l'entreprise et de voler des informations. C'est pour cela que ce dernier va plutôt exploiter le maillon le plus vulnérable d'un système de sécurité informatique : l'être humain.

En manipulant l'employé d'une entreprise, un cybercriminel peut facilement obtenir les identifiants et mots de passe de ce dernier ou d'autres informations confidentielles. Grâce à cela, il peut directement accéder illégalement à des ressources protégées sur des serveurs. Il peut y voler toutes les informations à sa portée et même installer un logiciel espion dans le système informatique.

Le but du cybercriminel est donc d'obtenir sournoisement les données personnelles d'une personne. Le social engineering constitue ainsi un réel danger pour les entreprises. Il peut entraîner de lourdes pertes et même des poursuites judiciaires en fonction de la gravité du cas. C'est pour pallier à cette vulnérabilité que les entreprises peuvnet investissent dans des formations Cybersécurité pour leur personnel.

C'est en 2002 que Kevin Mitnick (un hacker) vulgarise à travers l'ouvrage « Art de la supercherie » la théorie de manipulation. Elle utilise les faiblesses humaines comme levier pour déjouer tout type de sécurité. Le processus d'incitation ou l'art de manipuler pour récupérer les informations d'un interlocuteur est donc une technique d'approche relationnelle illégale. Elle concerne, de manière générale, les procédés qu'utilisent les pirates pour manipuler une personne afin d'avoir directement accès à son système informatique.

Les pratiques de l'ingénierie sociale reposent sur les failles sociales, psychologiques et managériales des collaborateurs. Elles permettent d'obtenir un service, un accès informatique ou un partage de données personnelles en fraudant. Pour abuser de la confiance ou profiter de l'ignorance de sa victime, le hacker fait usage de tout son charisme et de différentes impostures.

engineering social

Quelles sont les techniques du social engineering ?

Les différentes techniques du social engineering reposent sur les biais cognitifs qui facilitent la prise de décision irrationnelle d'un individu. Ces derniers s'utilisent différemment pour trouver la meilleure stratégie d'attaque, que ce soit pour obtenir des informations privées d'une personne ou la pousser à prendre une mauvaise décision. Les méthodes les plus utilisées restent celles de l'appel téléphonique et du contact direct.

Il existe donc plusieurs techniques en matière de social engineering. Elles reposent toutes sur la force de persuasion du manipulateur. Dans un premier temps, le manipulateur construit un prétexte. Il s'agit d'une technique qui permet d'accrocher une victime potentielle avec un scénario préétabli. Ce dernier permet d'accroître les possibilités de convaincre la victime d'accéder à la requête du manipulateur. Le prétexte est une technique qui demande des recherches en amont de la part de celui qui attaque. Grâce à de fausses informations, ce dernier pourra facilement se construire une autre identité. Cela lui permet de gagner en crédibilité auprès de sa victime.

Les hackers agissent le plus souvent pour duper une société et la pousser à communiquer des données personnelles sur ses clients. Le but étant d'obtenir des données bancaires, enregistrements de téléphone ou autres informations sensibles et profitables. En informatique, le social engineering a ainsi donné naissance à plusieurs méthodes de piratage ou d'escroquerie.

L'hameçonnage

Encore appelée phishing, la technique du social engineering dite d'hameçonnage est utilisée pour obtenir les données privées d'un individu. Le hacker entre en contact avec sa victime via une adresse électronique où il se fait passer pour un organisme de confiance, un fournisseur d'énergie électrique, une institution financière, la police, etc. Par cette approche, l'escroc demande donc une confirmation de certaines informations précises (numéro de sa carte de crédit, le mot de passe, le code d'accès, les identifiants). Ceci sous peine de fâcheuses conséquences en cas de refus.

Le hacker peut également envoyer un mail contenant un lien lui donnant directement accès à un site web. Ce site paraît officiel, crédible et sécurisé. Pourtant, ce n'est pas le cas, puisqu'il est question d'une imitation en tout point semblable au site original. Le but ici est d'obtenir toutes les données entrées par la victime sur la plateforme frauduleuse.

Le watering hole

Connue sur le nom de l'attaque par « point d'eau », cette technique a été créée par le groupe de cybercriminels Elderwood. Elle leur permit d'infecter environ 500 sociétés en moins de 24h dans les années 2012.

Le watering hole consiste à infecter à travers un site internet fréquenté par leurs victimes toutes les machines qui s'y connectent. Ce sont souvent des sites de divertissement comme les sites de jeux en ligne.

La fraude avec les ordres de virement fictifs

Cette stratégie de social engineering, aussi appelée fraude au président, s'apparente au prétexte. Elle vise à prendre l'identité du dirigeant d'une entreprise pour obtenir un virement bancaire. Dans ce cas, l'auteur de l'arnaque domine sa victime puisqu'il se présente comme étant son supérieur hiérarchique. Il peut ainsi aisément prendre comme prétexte une urgence, une confidence ou intimider et valoriser sa victime pour mieux l'atteindre.

L'attaque par pièce jointe infectée

Cette méthode classique est parfois facile à reconnaître. Son principe repose sur le piratage informatique à travers l'envoi d'un e-mail avec un fichier Word, Excel ou PowerPoint infecté. Le but est de faire en sorte que le destinataire ouvre la pièce jointe infectée pour que le mauvais logiciel prenne possession de l'ordinateur sans qu'il s'en rende compte.

La clé USB

Offert comme un cadeau, une clé USB infectée et utilisée sur un appareil peut permettre d'en prendre le contrôle. Une fois connecté, le logiciel malveillant contenu sur la clé permettra à son auteur de prendre le contrôle de la machine à distance. Ce virus peut s'étendre à tous les autres appareils reliés au même réseau.

social engineering

Quels sont les risques ?

Le social engineering représente un réel danger pour l'entreprise comme pour les personnes. Voici les divers risques que cela représente.

Pour l'entreprise

Ici, on parlera des grandes pertes de temps qu'une attaque informatique peut causer dans le système de sécurité d'une entreprise. En effet, il faut parfois compter plusieurs mois avant que celle-ci ne se remette d'un vol de ses données personnelles (commerciales, confidentielles et uniques).

De même, le social engineering présente aussi un risque pour les finances de la société. Les informations dérobées par son biais peuvent être à l'origine d'une demande de rançon. Dans ce cas, les dirigeants n'ont d'autres choix que de payer le montant sollicité pour la restauration de leurs données. Par ailleurs, les pertes en matière d'espionnage industriel sont incalculables pour une entreprise victime.

L'acquisition d'une mauvaise réputation et la dégradation de l'image sont également des conséquences du social engineering. Une fois que les données personnelles de l'entreprise seront divulguées, sa crédibilité pourrait facilement en prendre un coup.

Selon une étude de l'Argus de l'assurance en 2017, l'impact économique d'une cyberattaque internationale s'élèverait à 46 milliards €. Il faut souligner qu'aucune entreprise n'est à l'abri des risques liés au social engineering.

Pour les personnes

Les risques sont variés selon les personnes et la méthode de social engineering utilisée. Les hackers orientent leurs fraudes selon la personne ciblée, ainsi que le contexte qui se présente. Généralement, ce sont les collaborateurs d'une entreprise, victimes d'une ruse, qui leur donnent sans le savoir accès à des informations sensibles. La conséquence d'un tel acte peut très bien être le renvoi ou une plainte, en fonction de la gravité de la situation.

Lorsque l'individu est personnellement visé, il peut être victime d'une usurpation d'identité et d'un vol d'argent grâce à ses données bancaires. Certaines personnes se remettent difficilement de ces pertes et d'autres non. Ici aussi, la réputation de la victime peut être irrémédiablement salie.

risque social engineering

Quelles sont les bonnes pratiques à adopter pour ne pas tomber dans les pièges des hackers ?

Les hackers sont extrêmement inventifs en matière de social engineering. Mais lorsqu'on est informés et préparés, il est beaucoup plus facile d'éviter leurs pièges et leurs désastreuses conséquences. D'où la nécessité pour une entreprise de tenir ses employés constamment informés et formés sur les pratiques du social engineering. Voici certaines pratiques simples à adopter afin de limiter les risques.

Vérification de la source

Il faut se montrer vigilant et toujours vérifier la source d'un mail ou d'un lien. Il faut faire preuve de la même vigilance quant à l'origine des clés USB au bureau. Il ne faut pas se presser et ne pas hésiter à toujours faire une petite vérification selon les situations. Par exemple, l'apparition d'une nouvelle clé USB dans l'entreprise, un gain soudain de plusieurs millions annoncé par appel téléphonique ou encore un mail du PDG de la société demandant certaines informations confidentielles sur des collègues sont des situations à risque. Tous ces éléments suspects doivent faire réfléchir plusieurs fois avant d'agir.

Demande des preuves d'identité

Il est recommandé de demander la preuve de l'identité de son interlocuteur avant de lui confier des informations confidentielles. Cette mesure permet de savoir à qui l'on a à faire, et ainsi de déjouer les usurpations des hackers. Il ne faut pas s'arrêter à un simple appel téléphonique. Si la personne se fait passer pour le représentant d'un organisme officiel par exemple, la première chose à faire est de contacter les numéros officiels pour se renseigner.

S'interroger avant d'agir

La réussite d'une attaque d'ingénierie sociale repose surtout sur l'urgence. Une fois que la cible pose plusieurs questions par rapport à la situation ou mise en scène décrite par l'attaquant, ce dernier paniquera pour la suite. Un instant de réflexion peut donc facilement désarmer un usurpateur au téléphone ou en ligne.

Sensibilisation des collaborateurs en entreprise

Les employés d'une société sont les premières personnes exposées aux pratiques d'ingénierie sociale. Par exemple, il peut arriver qu'au cours de la journée, un employé clique sur un mail piégé par mégarde, décroche un coup de fil suspect ou ramasse une clé USB sur son bureau sans s'interroger sur sa provenance.

Dans l'optique de limiter les erreurs causées par les êtres humains, il est nécessaire de mettre en place des séances de sensibilisation sur la sécurité des données en entreprise. Les employés doivent également suivre régulièrement des formations sur les bonnes pratiques à adopter. Il faut privilégier l'apprentissage par les erreurs en testant vos collaborateurs, faire des mises à jour du système de sécurité des données mis en place dans la société. Et pourquoi ne pas se faire former en cybersécurité par des professionnels ?

Formation en Cybersécurité : que faut-il savoir ?

Face aux dangers liés au social engineering, de plus en plus d'entreprises optent pour une formation en cybersécurité. Cette initiative a pour but de leur permettre d'optimiser le niveau de protection de leurs infrastructures. Jedha propose l'apprentissage des meilleures méthodes de SOC Analystes et Hackers. Ceci au sein d'un programme de cours spécialement conçu à cet effet. Il existe plusieurs modules dont Cybersécurité et Networking, Gestion de risques ou encore Exploitation de vulnérabilités.

Avantage de la formation Cybersécurité

Ce programme de protection possède moult avantages tels que : l'autonomie en cybersécurité, la maîtrise du domaine et du profit de certaines possibilités de financement.

Autonomie en cybersécurité

Grâce à la formation en cybersécurité, il est possible de couvrir toutes les vulnérabilités auxquelles une entreprise peut faire face. Ceci afin qu'elle prévienne efficacement les diverses attaques de hackers.

Maîtrise du domaine par la pratique

La meilleure façon de maîtriser la cybersécurité est de faire un cas pratique d'introduction dans les systèmes. Et ce, de l'exploitation de malwares au mécanisme des systèmes d'exploitation, en passant par les méthodes de social engineering. Ce qui permettra de mieux sécuriser les données de la société.

Possibilité de financement

La formation en cybersécurité est éligible au CPF, et peut également permettre de profiter d'un grand nombre d'offres de financement.

Formation Cybersécurité : les personnes concernées

Toutes les personnes ayant besoin d'accroître leurs connaissances en cybersécurité sont concernées par cette formation. Cela peut être une entreprise, un particulier, des employés de bureau, un commerçant… Dès l'instant où l'on ressent le besoin d'optimiser le niveau de protection de données dans une structure, la formation en cybersécurité est tout indiquée.

Si vous souhaitez acquérir les compétences en cybersécurité, n'hésitez pas à regarder la formation Cybersécurité que Jedha Bootcamp propose.

Rejoignez la communauté sur JULIE !

Python, SQL, gestion de projet Data, toutes les compétences à acquérir pour monter en compétences avec cours en ligne gratuits.

Alain Demenet
Écrit par
Alain Demenet
 - 
Développeur
@ Jedha

Python : le language de programmation le plus
populaire parmi les professionnels de la Data !

Obtenez notre livre d'Introduction Pratique à Python !

Programmes, thématiques Data, admissions,
vous avez une question ?

Prenez rendez-vous avec nos équipes