Publié le

L’ingénierie sociale est une forme d’escroquerie qui vise à obtenir de l’information ou un service de façon déguisée. Digne des plus grands films d’espionnage, elle a aujourd’hui de plus en plus pour cible les entreprises, et s’attaque pour cela à leurs salariés, quel qu’en soit la position. Décryptage d’une technique retorse qui s’attaque à l’humain avant de pirater des systèmes…

Imaginez : en seulement 5 ans, l’humanité a produit plus d’informations que depuis Gutenberg ! L’information, c’est le nerf de la guerre, le véritable avantage compétitif pour bien des entreprises. Une simple information, si elle est bien choisie et divulguée au bon moment, peut modifier le jeu concurrentiel ou influer sur les priorités d’investissement…

Une méthodologie rigoureuse

Première étape : rassembler un maximum d’informations sur la cible. La profusion de traces laissée sur internet via les réseaux sociaux notamment, facilite évidemment la tâche et permet de cerner très rapidement les centres d’intérêts de la cible. Les lieux publics sont également de bonnes sources. Il suffit d’une discussion dans les transports en communs pour laisser échapper quelques informations clé : renseignements sur un projet, adresse personnelle, numéro de téléphone… Deuxième étape : entrer en contact avec la cible et la faire parler. Il faut alors gagner sa confiance, en s’appuyant sur les informations collectées en amont. Cette phase permet également de s’assurer que la personne visée a bien accès aux bonnes informations.

Flatterie et séduction : une méthode millénaire !

Plusieurs biais psychologiques sont utilisés, soit pour gagner la confiance soit pour faire pression sur la cible : flatter l’ego évidemment, séduire son interlocuteur (simple, efficace et vieux comme le monde), jouer du fait qu’on sous-estime toujours la probabilité que son interlocuteur nous mente, et qu’on surestime notre capacité à repérer un mensonge…

Chaque employé d’une entreprise peut avoir accès à des informations ou des données : tous sont donc des cibles potentielles. Dès lors, comment se prémunir contre ce type d’attaques sournois ? Tout d’abord, en restant vigilant quant aux informations qu’on partage sur internet, en vérifiant les profils des personnes qui nous contactent depuis le net ou par téléphone… et parfois en faisant taire son égo pour ne pas tomber dans le piège de la flatterie !

Quand les cybercriminels visent l’humain avant les systèmes informatiques…

Certains réseaux criminels s’organisent donc dans un seul but : obtenir des informations. Ces réseaux ont trois angles d’attaque, complémentaires les uns des autres. Les deux premiers, sans surprise, sont techniques. Il s’agit de l’étude des procédures et de leurs failles, et de l’utilisation d’outils technologiques. Le troisième angle d’attaque pour obtenir des informations, c’est l’humain. Dans une entreprise, chaque employé est à la fois le meilleur rempart contre la fuite d’informations, et une faille de choix. Pas moins de 30% des fuites d’informations sont liées à l’humain, et notamment à des sources internes.

L’ingénierie sociale est donc cet art de se renseigner et de rentrer en contact d’un individu, pour le manipuler et lui extorquer des données. Un expert en ingénierie sociale n’agit jamais au hasard : il identifie sa cible et commence par se renseigner précisément sur elle. C’est pourquoi faire preuve de bon sens n’est pas toujours suffisant pour repérer une telle attaque : l’acteur de la menace gagne subtilement votre confiance pour vous amener exactement là où il l’entend.