Professionnels

Ingénierie sociale, un terme qui cache bien son jeu.

Ingénierie sociale, un terme qui cache bien son jeu.

Le terme ingénierie sociale est aussi flou que ce qu'il dissimule. En effet, derrière ces deux mots en apparence inoffensifs, se cachent des attaques d'escrocs, de pirates, de hackers qui cherchent à obtenir des informations confidentielles par la manipulation, dans le but de nuire à une entreprise ou de soutirer de l'argent. Particuliers, professionnels, salariés d'entreprises… Personne n'est à l'abri de subir ce genre d'arnaque, c'est pourquoi nous vous proposons de faire le point sur les techniques utilisées par les experts de la cybercriminalité afin de mieux s'en prémunir.

Attaque liée à l'ingénierie sociale

Tout commence par une prise de contact des plus banales par les technologies de la communication traditionnelle. Le pirate ou l'escroc qui cherche à obtenir des informations confidentielles va utiliser tous les canaux à sa disposition pour mettre en œuvre son plan : téléphone, mail, en face à face, courrier, messagerie instantanée, tous les moyens sont bons pour parvenir à ses fins.

S'en suit la phase de manipulation. Dans la majorité des cas, le cybercriminel va utiliser le biais de l'urgence ou la menace de sécurité. En effet, ces deux situations génèrent un certain stress chez la victime et coupent toute réflexion : il faut réagir et vite.

Tous des cibles potentielles

Dans le contexte de l'entreprise, l'arnaque la plus utilisée est « la fraude au président » : l'escroc se fait passer pour une personne importante de l'entreprise et utilise son pouvoir, son statut hiérarchique et l'autorité qui lui est associée, pour faire exécuter une opération en son nom, bien souvent un virement. Les services de comptabilité, par exemple, peuvent être des cibles privilégiées pour ce type de manipulation.

Même si la fraude au président est l'attaque la plus répandue, les escrocs peuvent aussi prendre le statut de collègue dans une grande entreprise, de client, de fournisseur (envoi d'un virus ou annonce d'un changement de coordonnées bancaires sur lesquelles se font les paiements des factures) ou encore un candidat à l'embauche ou un journaliste.

En tant que particulier, vous pouvez aussi être confronté à des tentatives de « phishing » ou (hameçonnage) : des cybercriminels parviennent à mettre la main sur des données d'identification de clients en les dirigeant vers un site web frauduleux. Ils peuvent ensuite prendre contact avec les clients en prétextant un bug au moment de la transaction et leur demander de renouveler leur paiement par virement bancaire sur un autre compte (situé dans une banque lointaine en général). Imaginez le cas d'une réservation de voyage, il est tout-à-fait facile de prétexter l'urgence d'effectuer votre virement sur le compte en question, faute de quoi vous pourriez voir votre séjour vous passer sous le nez.

Comment déjouer les pièges ?

Bien souvent il s'agit d'une question de bon sens et d'intuition. Par exemple, combien de fois vous est-il déjà arrivé de vous dire : « Mince, je le sentais, quelque chose clochait, j'aurais dû m'écouter » Le premier réflexe à avoir lorsque votre petite voix intérieure vous alerte est de l'écouter.

Dans ce cas, prenez le temps de la réflexion.

Devant vos doutes, votre interlocuteur deviendra certainement très insistant. A vous d'être assez ferme pour ne pas céder immédiatement. Cette posture vous permettra de vérifier l'identité de votre interlocuteur en direct en lui demandant des informations complémentaires, d'analyser la véracité des informations fournies et de vous interroger sur le bienfondé de la demande.

Prenez le temps d'échanger avec le pirate. Il ne dispose que de renseignements très succincts et risque de rapidement se retrouver dépourvu en cas de questions plus précises.

Si malgré ces vérifications le doute subsiste, parlez-en autour de vous.

Autre moyen plébiscité par les cybercriminels pour trouver des informations confidentielles vous concernant : les réseaux sociaux. Ils sont une manne d'informations privées très accessible et parfois très précise. Veillez donc à n'entrer en contact qu'avec des personnes identifiées, que vous connaissez réellement. Qu'il s'agisse des réseaux d'amis ou de contacts professionnels, les menaces sont les mêmes : soyez donc vigilant au moment de publier des informations. Mais sur internet comme dans la vie, votre meilleure protection reste la discrétion.

Gare aux pièces jointes !

On le connaît sous le nom de Cheval de Troie, il est un virus informatique redouté car dévastateur en un clic : une simple ouverture de pièce jointe dans un mail peut engendrer des conséquences financières pouvant atteindre des millions pour une entreprise qui en serait victime.

Méfiance donc quand vous recevez un mail d'un contact inconnu, qui plus est, s'il contient une pièce jointe avec un nom douteux.

Ce conseil vaut aussi à titre personnel car il est possible d'être sollicité par des emails frauduleux sous couvert d'une grande enseigne, d'une institution ou d'un organisme public (CAF, banques, opérateurs…)

En bref, certaines situations doivent vous alerter : l''excès de gentillesse, la profusion de noms, l'excès d'autorité, les demandes inhabituelles, votre intuition qui vous envoie un signal. Pour vous prémunir, restez discret en toutes circonstances, même sur les réseaux sociaux. N'hésitez pas à challenger votre interlocuteur quel que soit le statut qu'il prétend détenir. N'ouvrez pas les pièces jointes de contacts inconnus avant d'en avoir vérifié la provenance. Vous avez un doute ? Il est certainement fondé. Prenez le temps d'en parler autour de vous, avec vos proches ou vos collègues afin d'écarter tout risque.

Source Chiffres clés : Enquête IPSOS pour MICROSOFT - Two-thirds of Global Consumers Have Experienced a Tech Support Scam / DBIR 2015