arrow_back
search
close

Qu'est-ce que l'ingénierie sociale ?

L'Ingénierie sociale: Définition

L'« ingénierie sociale » cybercriminelle est une tactique qui, à la base, repose sur un utilisateur en créant un faux récit qui exploite la crédibilité, la cupidité, la curiosité ou toute autre caractéristique très humaine de la victime. Le résultat final est que la victime transmet volontairement des informations privées à l'attaquant, qu'elles soient personnelles (par ex., nom, e-mail), financières (par ex., numéro de carte de crédit, cryptoportefeuille), ou en installant par inadvertance des malware/backdoors sur son propre système. 

Nous pouvons classer les attaques modernes en deux catégories très larges selon la cible : Ils attaquent la machine ou l'utilisateur. « L'attaque de la machine » a commencé par des attaques d'exploitation des vulnérabilités en 1996, avec l'article essentiel « Smashing the Stack for Fun and Profit ». Cependant, « attaquer l’homme » (ingénierie sociale) a été, et reste, largement plus répandu. Toutes les attaques connues basées sur la non-vulnérabilité ont un élément d'ingénierie sociale où l'attaquant essaie de convaincre la victime de faire quelque chose qui finira par être pernicieux pour elle. 

Types d'attaques d'ingénierie sociale 

Bien qu’il ne s’agisse pas d’une liste exhaustive, les attaques d’ingénierie sociale clés suivantes doivent être connues : 

Phishing

Le phishing est l'un des types d'attaques d'ingénierie sociale les plus courants. Il utilise des emails et des SMS pour inciter les victimes à cliquer sur des pièces jointes malveillantes ou des liens vers des sites Web nuisibles. 

Appât 

Cette attaque utilise une fausse promesse pour attirer une victime via la cupidité ou l'intérêt. Les victimes sont attirées dans un piège qui compromet leurs informations sensibles ou infecte leurs appareils. Un exemple serait de laisser une clé USB infectée par un malware dans un lieu public. La victime peut être intéressée par son contenu et l'insérer dans son appareil, en installant involontairement le malware. 

Prétexte 

Dans cette attaque, un acteur ment à un autre pour accéder aux données. Par exemple, un attaquant peut prétendre avoir besoin de données financières ou personnelles pour confirmer l’identité du destinataire. 

Craint 

L'effrayement implique que les victimes aient peur des fausses alarmes et des menaces. Les utilisateurs peuvent être trompés en pensant que leur système est infecté par des malware. Ils installent ensuite le correctif logiciel suggéré, mais ce logiciel peut être le malware lui-même, par exemple, un virus ou un spyware. Des exemples courants sont des bannières contextuelles qui apparaissent dans votre navigateur, affichant du texte comme « Votre ordinateur peut être infecté ». Il vous proposera d'installer le correctif ou vous dirigera vers un site Web malveillant. 

Spear phishing et whaling

Dans le cas du spear phishing, l'attaque vise spécifiquement une personne ou une organisation particulière. De même, les attaques de whaling ciblent des employés de premier plan, tels que les PDG et les administrateurs.

Tailgating

Également connu sous le nom de piggybacking, on parle de « tailgating » lorsqu'un attaquant entre dans un bâtiment ou un service de bureau sécurisé en suivant quelqu'un avec une carte d'accès. Cette attaque suppose que d'autres supposeront que l'assaillant est autorisé à être présent. 

Escroqueries basées sur l’IA 

Les escroqueries basées sur l’IA exploitent la technologie d’intelligence artificielle pour tromper les victimes. Voici les types courants : 

  • Escroquerie par texte IA : Messages textuels trompeurs générés par l’IA pour hameçonnage d’informations ou propagation de malware. 
  • Escroquerie à l'image de l'IA : De fausses images créées à l’aide de l’IA pour manipuler et tromper les individus. 
  • Arnaque à la voix basée sur l'IA : Messages vocaux frauduleux générés par l’IA pour usurper l’identité d’entités de confiance et tromper les victimes. 
  • Escroquerie par IA et vidéo : Vidéos manipulées créées à l’aide de l’IA, appelées deepfakes, utilisées pour diffuser la désinformation ou cibler des individus. 

Comment reconnaître les attaques d'ingénierie sociale 

Étant donné que ces attaques se présentent sous différentes formes et tailles, et reposent sur la fallibilité humaine, il peut être très difficile d'identifier les attaques d'ingénierie sociale. Néanmoins, si vous rencontrez l'un des éléments ci-dessous, soyez averti qu'il s'agit de signaux d'alarme majeurs et suggérez qu'une attaque d'ingénierie sociale commence : 

  • Un e-mail ou un SMS non sollicité de la part d’une personne que vous ne connaissez pas. 
  • Le message est prétendument très urgent. 
  • Le message vous demande de cliquer sur un lien ou d'ouvrir une pièce jointe. 
  • Le message contient de nombreuses fautes de frappe et erreurs grammaticales. 
  • Vous pouvez également recevoir un appel de quelqu’un que vous ne connaissez pas. 
  • L’appelant essaie d’obtenir des informations personnelles auprès de vous. 
  • L'appelant tente de vous amener à télécharger quelque chose. 
  • L'appelant parle également avec un grand sentiment d'urgence et/ou d'agression. 

Comment prévenir les escroqueries en ingénierie sociale ? 

La plus grande armure que l'on puisse utiliser contre les tactiques d'ingénierie sociale employées par les escrocs en ligne aujourd'hui est d'être bien informé des nombreuses façons dont un cybercriminel pourrait tirer parti de votre vulnérabilité sur les réseaux sociaux. Plus que les conséquences habituelles de la chute des attaques de spam, de phishing et d’infections par des malware, le défi posé par les cybercriminels est d’avoir une compréhension et une compréhension fermes pour préserver la confidentialité de vos données. 

 En plus de surveiller les signes avant-coureurs ci-dessus, les bonnes pratiques suivantes doivent être suivies : 

  •  Gardez votre système d'exploitation et votre logiciel de cybersécurité à jour. 
  • Utilisez l'authentification multifacteur et/ou un gestionnaire de mots de passe. 
  • N’ouvrez pas les emails et les pièces jointes provenant de sources inconnues. 
  • Définissez vos filtres anti-spam trop hauts. 
  • Supprimez et ignorez toute demande d’informations financières ou de mots de passe. 
  • Si vous suspectez quelque chose pendant une interaction, soyez calme et prenez les choses lentement. 
  • Faites vos recherches en ce qui concerne les sites Web, les entreprises et les particuliers. 
  • Faites attention à ce que vous partagez sur les réseaux sociaux : utilisez vos paramètres de confidentialité. 
  • Si vous êtes un employé d'une entreprise, assurez-vous de connaître les politiques de sécurité. 

Exemples d'attaques d'ingénierie sociale

Fortement motivés par les bénéfices, les cybercriminels ont considérablement augmenté leurs méthodes pour tirer des informations sensibles des utilisateurs en ligne pour obtenir un gain monétaire. 

  • Le mois de janvier est le moment où la plupart des pays lancent la saison fiscale, ce qui en fait une cible cybercriminelle préférée pour gagner de l'argent. Grâce à l'ingénierie sociale, une tactique populaire dans laquelle une attaque est adaptée pour coïncider avec des occasions largement célébrées, des vacances observées et des actualités populaires, les cybercriminels gagnent beaucoup de leurs victimes. Les citoyens américains ont reçu des échantillons de spam qui ont tenté de se transmettre sous forme de message de l’Internal Revenue Service (IRS) des États-Unis. 
image

En savoir plus ici.

  • Les nouvelles concernant la mort inopportune de Robin Williams le 12 août 2014 ont choqué les gens du monde entier. Alors que les nouvelles sur sa mort se propageaient comme des incendies parmi les netizens, les spammers et les cybercriminels ont déployé des emails indésirables qui mentionnent le nom de l’acteur dans l’objet de l’email. Le courrier indésirable demande aux destinataires de télécharger une vidéo « shocking » sur la mort de William, mais cliquer sur le lien vidéo télécharge un fichier exécutable qui a été détecté comme WORM_GAMARUE.WSTQ à la place. 

En savoir plus ici.

  • Lorsque les informations sur la pandémie d’Ebola ont inondé Internet, les cybercriminels ont saisi l’opportunité d’utiliser les rapports répandus comme appât pour inciter les victimes peu méfiantes à ouvrir de faux e-mails. Ces e-mails mènent finalement à des tentatives de phishing, où les informations et les identifiants de la victime sont volés. 

En savoir plus ici.

  •  
  • L'année 2008 a été le début d'attaques sociales générées par des cybercriminels pour sabotage et profit. Avec des cibles identifiées, les attaques basées sur la plateforme étaient dirigées vers les utilisateurs à domicile, les petites entreprises et les organisations à grande échelle, ce qui affectait le vol de propriété intellectuelle et constituait une perte financière majeure. En grande partie, les escrocs en ligne ont conçu des moyens d'attaquer les utilisateurs Web en utilisant des sites de réseaux sociaux tels que Facebook et Twitter. 
  • En 2008, les utilisateurs de Facebook sont devenus la cible d'une attaque malveillante de type ver KOOBFACE. Twitter est ensuite devenu une mine d'or pour les cybercriminels en 2009, diffusant des liens malveillants qui se sont avérés porter des chevaux de Troie

L'avenir des attaques d'ingénierie sociale

Nous pouvons décomposer toute interaction d'ingénierie sociale et la décomposer en éléments suivants : 

  • Un « moyen » pour établir le lien avec la victime, qui peut être effectué par téléphone, e-mail, réseau social ou message direct, pour n’en citer que quelques-uns. 
  • Un « mensonge », dans lequel l’attaquant construit une mensonge pour convaincre la victime d’agir dans un délai donné. Le mensonge a souvent également un sentiment d’urgence intégré, comme une limitation de temps. 
  • Une « demande », c’est-à-dire l’action à prendre par la victime, comme donner des identifiants, exécuter un fichier malveillant, investir dans un certain schéma cryptographique ou envoyer de l’argent. 

Prenons un exemple courant que vous connaissez probablement : l'escroquerie stéréotypée par email : 

image

Figure 1. Le moyen, le mensonge et la demande d'une attaque d'ingénierie sociale 

En 2024, les criminels atteignent leurs victimes par toutes les manières de capacités de réseautage. Ils utilisent également des histoires de maquillage dans le cadre de leurs astuces d’ingénierie sociale. Leurs objectifs sont généralement les mêmes, comme la divulgation du mot de passe, l’installation de malware ou le partage d’informations personnelles. 

Au fil des ans, nous avons vu une multitude de graphiques différents dans l’espace de l’ingénierie sociale, et vous seriez pardonné de penser que toutes les idées semblent déjà utilisées. Pourtant, les attaquants continuent à proposer de nouvelles astuces d'ingénierie sociale chaque année. Dans cet article, nous explorerons de nouvelles améliorations en ingénierie sociale que les attaquants pourraient utiliser à l’avenir pour connaitre les utilisateurs. En changeant de support, de mensonge ou de question, les attaquants peuvent facilement trouver de nouveaux stratagèmes innovants pour tromper leurs victimes. 

Quels nouveaux éléments pouvons-nous nous attendre à voir ? Quels nouveaux changements pouvons-nous prévoir pour l'ancien système ? Comment les nouvelles technologies affecteront-elles l’une de ces technologies ? 

Changements dans le milieu

À mesure que de nouvelles technologies émergent, les attaquants obtiennent davantage de moyens d’atteindre leurs victimes potentielles. Cela inclut les outils d’IA, les appareils de réalité virtuelle comme Apple Vision Pro, l’épingle Humane, les lunettes Ray-Ban ou tout nouvel appareil que les utilisateurs pourraient commencer à utiliser à l’avenir. 

Utilisation des dispositifs portables comme support

De nouveaux appareils entrent sur le marché chaque année, ce qui étend la surface d'attaque aux cybercriminels. Les dispositifs portables sont particulièrement intéressants, car ils sont toujours allumés et sont entièrement approuvés par leur utilisateur. Tout employeur impliquant un dispositif portable a plus de chances d’être cru et digne de confiance. Il est possible que l'attaquant accède à l'appareil portable. Ils ne sont souvent pas conçus pour déployer des outils de sécurité ou même s'authentifier régulièrement, contournant souvent les contrôles de sécurité normaux. 

image

Figure 2. Un scénario potentiel d'appareils portables comme moyen pour les attaques d'ingénierie sociale 

Les chatbots comme moyen

Les chatbots d’IA peuvent également être utilisés comme véhicule pour atteindre l’utilisateur. L'idée de cette attaque est de fournir de fausses informations au chatbot afin de manipuler l'utilisateur pour qu'il prenne des mesures. L’empiètement des données du chatbot peut être accompli de plusieurs façons, notamment en leur fournissant de mauvaises informations, en détournant des données d’apprentissage ou en injectant de nouvelles commandes. 

Nouvelles attaques par email

Une nouvelle façon d'utiliser le support classique de messagerie électronique et de messagerie instantanée (IM) consisterait à utiliser un bot alimenté par un modèle de langage de grande taille (LLM) pour augmenter l'efficacité d'une attaque BEC. L'acteur malveillant pourrait utiliser le bot LLM pour compiler tout l'historique des messages précédents entre la victime et le PDG. Ensuite, le bot pouvait continuer à utiliser ce canal de confiance comme s'il s'agissait du PDG qui utilisait le style d'écriture du PDG pour convaincre la victime de transférer l'argent. Cela se produit déjà manuellement, mais la possibilité que cette attaque soit automatisée avec l’IA ne peut pas être ignorée. 

Améliorer les mensonges

L’IA est la principale innovation à l’origine de l’ingénierie sociale. Le mensonge réel dans une histoire d’ingénierie sociale variera en fonction de la saison, du pays et du groupe démographique, pour n’en citer que quelques-uns, mais cela peut changer très rapidement en raison de l’évolutivité et de la flexibilité fournies par l’IA. Generative AI (GenAI) excelle dans la génération d'images, d'audio et de vidéo. Pour le texte, il excelle à la fois dans la création de contenu crédible et le traitement rapide de grandes quantités de texte. Cette nouvelle évolutivité ouvre de nombreux nouveaux développements à l’aspect « mensonge » de l’ingénierie sociale. 

La technologie d’IA elle-même est un nouveau thème que les attaquants peuvent utiliser pour élaborer des mensonges. Par exemple, créer des mensonges sur ChatGPT ou la VR peut être efficace en raison de l’intérêt qu’ils génèrent. De plus, les attaquants peuvent créer de faux outils liés à l’IA qui sont en fait des malware. Les graphistes sont généralement curieux de la création d'images et de vidéos factices. Un outil que l'attaquant peut proposer pour faciliter cela serait probablement téléchargé et exécuté à la place. De même, l'intégration d'images et de vidéos factices approfondies à des arnaques réussies existantes peut leur apporter plus de crédibilité. Cette stratégie est clairement en hausse dans le paysage actuel des menaces. Nous pensons que les deepfakes ont le potentiel d'être hautement perturbateurs dans les escroqueries d'ingénierie sociale et que les attaquants les utiliseront largement dans un avenir proche. 

image

Figure 3. Comment les escroqueries par appel et par la voix peuvent être améliorées par des faux profonds 

Ingénierie sociale

Ressources associées

What is Social Engineering, How It Works, How to Stay Safe

Social Engineering - News

Keep an Eye Out for these Social Engineering Scams

Ressources

Support

À propos de Trend

Siège social national

  • Trend Micro - France (FR)
  • 85, rue Albert Premier
    92500, Rueil Malmaison
    France
  • Phone:: +33 (0)1 76 68 65 00

Sélectionnez un pays/une région

close

Amérique

Moyen-Orient et Afrique

Europe

Asie-Pacifique

Testez gratuitement notre plateforme unifiée

Copyright ©2025 Trend Micro Incorporated. All rights reserved.