Qu’est-ce que l’ingénierie sociale ?
« Illusion is everything » – Bernz
L’ingénierie sociale (social engineering en anglais) est une pratique qui consiste à manipuler des individus ou des groupes pour obtenir des informations ou un accès à des ressources, souvent sans que ces personnes ne se rendent compte qu’elles sont exploitées. Ce type de tromperie se base sur la confiance, les émotions, les biais cognitifs et les besoins humains fondamentaux. Les individus et les organisations qui pratiquent l’ingénierie sociale sont souvent appelés « ingénieurs sociaux ». Ils utilisent un large éventail de techniques, allant des manipulations psychologiques subtiles aux pressions directes et aux menaces.
Contrairement aux autres attaques, elle ne nécessite pas de logiciel ni de compétences techniques. La seule force de persuasion est la clé de voûte de cette attaque.
Ingénierie sociale en personne
L’ingénierie sociale en personne consiste à mettre en contact physique le hacker et sa victime. C’est la plus osée car le hacker est alors à découvert. Cette technique est directement inspirée des techniques d’espionage traditionnel, comme par exemple l’utilisation de la flatterie, la manipulation émotionnelle, la création de faux scénarios d’urgence, la création de fausses identités, la falsification de documents, la surveillance physique, l’utilisation de caméras cachées, entre autres.
Que peux ont obtenir par ingénierie sociale ?
Il est possible d’obtenir énormément d’informations différentes, et utiles pour tout cybercriminel. Voici un petit échantillon qu’un cybercriminel peut récupérer :
- Parmi les objectifs que l’on peut atteindre par l’ingénierie sociale, l’accès à des informations confidentielles est l’un des plus courants. Les ingénieurs sociaux peuvent chercher à obtenir des mots de passe, des numéros de carte de crédit, des données personnelles ou d’autres informations sensibles pour commettre des fraudes, du vol d’identité, du cyberespionnage ou du sabotage. Par exemple, un ingénieur social pourrait se faire passer pour un employé d’une entreprise et persuader un collègue de lui donner les codes d’accès à un système informatique sécurisé.
- L’ingénierie sociale peut également être utilisée pour gagner un accès physique à des zones sécurisées. Un ingénieur social peut prétendre être un technicien, un livreur ou un autre professionnel pour tromper le personnel de sécurité et accéder à des locaux fermés. Une fois à l’intérieur, il peut installer des dispositifs d’écoute, voler des biens, compromettre des systèmes informatiques ou commettre d’autres actes malveillants.
- Outre le vol d’informations et l’accès à des zones protégées, l’ingénierie sociale peut également être utilisée pour influencer les décisions et les actions des autres. Par exemple, un ingénieur social peut persuader une personne de prendre une décision financière défavorable, de soutenir un certain candidat politique ou de participer à des activités illégales. Dans certains cas, les ingénieurs sociaux peuvent même manipuler des groupes entiers de personnes pour atteindre leurs objectifs, en exploitant des biais de groupe, des normes culturelles et des techniques de persuasion.