Dans le domaine de la sécurité de l’information, plus qu’ailleurs, l’erreur est humaine. L’ingénierie sociale est donc devenue une composante incontournable de notre monde numérique en constante évolution. Ces méthodes d’abus de confiance jouent en effet sur nos faiblesses humaines et la pression sociale pour nous contraindre à être moins rationnels qu’une machine et donc, du point de vue de la cybersécurité, plus faillible. 82% des fuites de données recensées par une étude de Verizon sont dues à un facteur humain, que ce soit un abus de confiance ou une erreur.

D’une certaine manière, l’ingénierie sociale est aussi vieille que les abus de confiance et l’espionnage, mais lorsque l’on évoque l’ingénierie sociale, c’est désormais souvent pour désigner l’accès à des systèmes informatiques quelconques.

Que désigne-t-on par « ingénierie sociale » ?

1. Définition de l’ingénierie sociale

Le terme « ingénierie sociale » (social engineering en anglais) a été théorisé et popularisé par Kevin Mitnik, un hacker, en 2002, dans un ouvrage évoquant les failles humaines exploitées notamment pour des arnaques téléphoniques.  L’ingénierie sociale est une technique de manipulation qui consiste à utiliser des stratégies psychologiques pour tromper les individus et les amener à effectuer des actions qu’ils n’auraient pas effectuées autrement. Cette quête d’information peut prendre plusieurs formes et jouer sur plusieurs ressorts (flatterie, peur, compassion…) pour inciter les gens baisser leur garde et à divulguer des informations personnelles ou à effectuer des actions nuisibles.

2. Différentes formes d’ingénierie sociale

Selon la définition que l’on veut donner à ce terme, n’importe qui peut être un ingénieur social, et être animé par un objectif spécifique : des criminels cherchant à détourner des fonds, des espions industriels désireux de s’emparer de données sensibles, des activistes visant à saboter une structure privée ou publique et même des agents gouvernementaux dans une mission de renseignement.

Mais l’ingénierie sociale peut aussi concerner des domaine plus proches du quotidien de chacun : de chasseurs de tête peuvent affiner le profil d’une potentielle recrue par cette méthode ou un ancien collaborateur mécontent peut se servir des liens qu’il a tissés lorsqu’il était en poste pour nuire à l’entreprise.

Comment fonctionne l’ingénierie sociale ?

Quel que soit l’ingénieur social et quelle que soit sa motivation, l’ingénierie sociale se résume à la capacité de convaincre quelqu’un de vous donner des informations ou un accès que vous ne devriez pas avoir.

Habituellement, l’ingénierie sociale repose sur une stratégie visant à désarmer les appréhensions naturelles de quelqu’un. En général, les ingénieurs sociaux y parviennent en utilisant ce qu’on appelle le « prétexte ».

Nous pourrions prendre comme exemple un ingénieur social accédant au compte bancaire d’une personne en appelant la banque et en se faisant passer pour celle-ci.

Il pourrait également accéder à un lieu de travail en se faisant passer pour un livreur ou un collègue (ce qui est particulièrement problématique pour les grandes organisations) ou même pour un patron.

Plus la recherche préalable et la planification d’un « prétexte » sont raffinées, plus il a de chances de réussir.

1. Les techniques utilisées pour manipuler les individus

Obtenir des informations est généralement l’objectif d’un ingénieur social, mais c’est aussi souvent le point de départ pour pouvoir établir la confiance nécessaire afin d’obtenir les informations sensibles requises.

Tout d’abord, un grand nombre d’informations sont souvent disponibles gratuitement en ligne et peuvent être utilisées par un ingénieur social. Il peut s’agir d’informations d’apparence anodines comme la date de naissance, le numéro de téléphone, l’adresse e-mail ou l’adresse physique.
Avec ces informations de base, un ingénieur social peut avoir accès à des comptes personnels comme les comptes bancaires. Si c’est son but.

Il peut également recueillir des informations en fouillant dans les poubelles. Parfois, des individus et des entreprises peuvent jeter des informations qui indiquent à un ingénieur social ce qu’ils ont besoin de savoir. La consultation de leurs poubelles peut conduire à la découverte d’un élément d’information clé qu’un ingénieur social pourra utiliser.

Enfin, il existe une méthode que les agences de renseignement appellent « élicitation » [lien en anglais]. Il s’agit de l’art d’obtenir des informations sans les demander. C’est généralement assez ciblé, mais il peut s’agir d’informations récoltées lors de conversations informelles, en ligne ou en personne. Il est important de se méfier des informations que vous fournissez, même dans une conversation banale, à des étrangers, surtout si vous avez accès à des informations particulièrement sensibles. Décrire certains aspects de votre espace de travail peut sembler inoffensif, mais cela pourrait éventuellement être utilisé pour y accéder.

2. Les mécanismes psychologiques impliqués dans l’ingénierie sociale

Il existe différentes formes de manipulation utilisées dans l’ingénierie sociale. En principe, elles exploitent une sorte de biais cognitif lorsqu’elles le font. Certaines techniques courantes sont :

Appel à l’autorité

Si vous connaissez l’expérience Milgram [lien en anglais], vous saurez à quel point les gens sont susceptibles de se conformer à quelqu’un simplement parce qu’ils perçoivent cette personne comme une autorité. Se faire passer pour un policier, un manager, ou simplement pour quelqu’un qui semble, ressemble ou agit comme s’il était responsable.

Dans un scénario d’ingénierie sociale, quelqu’un se conforme à l’ingénieur social parce qu’il pense que cette personne représente une forme d’autorité. Cette méthode, « l’arnaque au président » est souvent utilisée par les hameçonneurs qui sont un cran au-dessus de l’escroquerie du « prince nigérian ». Par exemple, ils peuvent vous envoyer un mail en prétendant être votre patron en réunion avec un client important, vous demandant de leur transférer de l’argent pour que ce client soit satisfait. En prétendant être votre patron, ils font appel à l’autorité.

Coût irrécupérable

Le raisonnement des « coûts irrécupérables » consiste à croire qu’une fois qu’on a investi autant dans quelque chose, que ce soit du temps, de l’argent ou des efforts, il faut continuer à le faire « pour aller jusqu’au bout », même si cet investissement s’est jusqu’à présent révélé improductif. Les ingénieurs sociaux peuvent utiliser cette tendance pour vous faire adopter une ligne de conduite que vous n’auriez pas adoptée autrement, parce que vous êtes déjà allé si loin.

Cohérence

Cela fonctionne de la même manière que la logique des « coûts irrécupérables » dans la mesure où toutes deux reposent sur l’idée que les gens veulent fondamentalement être cohérents. Vous pouvez être manipulé de manière très subtile. Cette technique est souvent utilisée dans les interrogatoires criminels. Par exemple, plutôt que de lui demander de dire la vérité sur son implication dans un crime particulier sur lequel il ment, on peut demander à un suspect de se confier sur un détail plus petit, comme être capable de décrire une personne, un lieu ou une chose impliquée. Les détectives peuvent utiliser ce petit engagement pour orienter le comportement de cette personne afin qu’elle reste cohérente avec la déclaration précédente. Cette technique peut être utilisée par n’importe qui pour obtenir des informations de quelqu’un d’autre dans l’ingénierie sociale.

Réciprocité

La « réciprocité » en psychologie sociale est un terme qui se résume à répondre à une action positive par une autre action positive.

Dans le contexte de l’ingénierie sociale, cela peut prendre plusieurs formes. L’exemple classique est le fait de faire un compliment à quelqu’un. Recevoir un compliment donne naturellement envie à quelqu’un de faire quelque chose de gentil en retour. Mais cela peut aussi s’appliquer à des situations comme les négociations et le marchandage des prix. Lorsque quelqu’un concède un certain montant de son offre initiale, l’autre personne ressent le besoin d’en concéder également parce que la concession initiale est comprise comme une sorte de « cadeau ».

Le manque ou le Syndrome FoMO (« Fear of Missing Out’)

Un ingénieur social peut également jouer sur le sentiment de rareté ou votre « peur de rater quelque chose« . Ce sentiment est souvent utilisé pour créer un sentiment d’urgence qui vous pousse à baisser votre garde.

Des phrases comme « si vous agissez maintenant … » ou « il ne reste que x … » incitent les gens à cliquer sur les liens dans les mails, par exemple, sans les examiner plus attentivement. Ce phénomène peut être utilisé dans un contexte d’ingénierie sociale.

Preuve sociale

C’est un autre concept issu de la psychologie sociale mais c’est essentiellement l’effet recherché par les barmen qui mettent de l’argent dans le pot à pourboire au début de la nuit. Cela incite les clients à donner un pourboire parce qu’ils voient que d’autres personnes ont donné un pourboire. Cela crée une sorte d’obligation sociale qui pousse les gens à prendre des décisions qu’ils ne prendraient pas autrement.

Voilà toutes les méthodes que les gens peuvent employer pour manipuler psychologiquement une personne. Comme le montrent les nombreux exemples mentionnés ci-dessus, elles ne sont pas toujours utilisées dans le cadre de l’ingénierie sociale, ou nécessairement de manière malveillante. Cependant, parce qu’elles reposent sur les préjugés intimes des gens, elles peuvent être utilisées pour les conduire sur une voie qui mène à la révélation d’informations ou à l’accès à des lieux ou à des systèmes que la personne qui les demande ne devrait pas avoir le droit d’utiliser.

Prévenir et agir face à l’ingénierie sociale

1. Comment se protéger ?

La seule véritable façon d’éviter l’ingénierie sociale c’est d’être prudent. Si vous travaillez dans un secteur sensible, ne parlez pas de détails aux personnes que vous venez de rencontrer. Si vous répondez à des questions ou à des appels de clients, sachez que les gens peuvent vous appeler en se faisant passer pour quelqu’un qu’ils ne sont pas et peuvent utiliser certaines de ces techniques à votre encontre.

Ne laissez pas les gens vous intimider pour que vous enfreigniez les règles en leur nom.

Si ce n’est pas vous qui répondez au téléphone mais que vous avez un pouvoir de décision, assurez-vous que votre équipe soit bien formée et que vous ayez mis en place des processus pour prévenir l’ingénierie sociale.

Enfin, les attaques de phishing font partie des formes les plus courantes d’ingénierie sociale. Lorsque vous recevez un mail vous demandant quelque chose de sensible, surtout, ne vous précipitez pas. Prenez votre temps pour vérifier toute demande. Ralentissez et vérifiez les liens et l’adresse mail de l’expéditeur. Demandez une preuve que la personne qui vous contacte est bien celle qu’elle prétend être.

2. Si vous pensez être victime d’ingénierie sociale

⚠️ Signalez-le immédiatement !

En cas de doute, contactez toute personne, comme votre banque ou votre fournisseur de téléphonie mobile, qui pourrait être amenée à surveiller vos comptes. Si des informations professionnelles sensibles peuvent être exposées, contactez votre employeur. Changez tous vos mots de passe et déposez une plainte auprès de la police si nécessaire. Il faut être très prudent face à l’ingénierie sociale.

Et n’ayez pas peur de vérifier ! Par exemple, si votre banque vous appelle, demandez un délai pour la rappeler.