Attaques sur l’identitĂ© et l’humain (IngĂ©nierie sociale)

Les attaques sur l’identitĂ© et l’humain ne reposent pas sur une faille technique, mais sur les faiblesses psychologiques et comportementales.
L’attaquant exploite la confiance, la curiositĂ©, la peur, la politesse ou l’autoritĂ© pour obtenir des informations sensibles, pousser une action non voulue ou accĂ©der Ă  un systĂšme.

Elles se déclinent sous de nombreuses formes : emails frauduleux (phishing, spear phishing), appels téléphoniques (vishing), SMS (smishing), faux supports techniques, ou encore intrusion physique (tailgating, dumpster diving, shoulder surfing).
Leur efficacitĂ© repose sur un point central : l’humain est souvent le maillon le plus faible de la sĂ©curitĂ©.

1. Phishing

1. Situation de départ

Un utilisateur reçoit un email semblant venir de sa banque :
“Votre compte est bloquĂ©, cliquez ici pour rĂ©activer”.

2. Ce que fait l’attaquant

  • Le mail contient un lien vers un faux site imitant le vrai.
  • L’utilisateur entre ses identifiants de connexion.

3. Conséquence

  • Vol des identifiants.
  • AccĂšs illĂ©gitime au compte bancaire.

4. Pourquoi c’est possible

  • Les emails peuvent facilement usurper une identitĂ© visuelle.
  • Les utilisateurs font confiance Ă  ce qu’ils reconnaissent (logo, style).

5. Contre-mesures

✅ Formation des utilisateurs

  • Expliquer comment repĂ©rer les signaux (URL diffĂ©rente, fautes d’orthographe).
  • Pourquoi ça protĂšge : rĂ©duit les chances que l’utilisateur tombe dans le piĂšge.

✅ Authentification forte

  • MFA (SMS, TOTP, clĂ© physique).
  • Pourquoi ça protĂšge : mĂȘme si le mot de passe est volĂ©, l’accĂšs reste bloquĂ©.

✅ Filtres anti-phishing

  • Passerelles mail avec dĂ©tection d’URL suspectes.
  • Pourquoi ça protĂšge : bloque ou marque les mails avant qu’ils atteignent l’utilisateur.

2. Spear Phishing

1. Situation de départ

Un employé reçoit un mail personnalisé :
“Bonjour Jean, voici la facture pour le projet X dont vous avez parlĂ© avec Paul”.

2. Ce que fait l’attaquant

  • Utilise des informations personnelles rĂ©cupĂ©rĂ©es sur LinkedIn ou rĂ©seaux sociaux.
  • Rend l’email crĂ©dible et ciblĂ©.

3. Conséquence

  • L’utilisateur clique ou ouvre la piĂšce jointe.
  • Vol d’identifiants, installation d’un malware.

4. Pourquoi c’est possible

  • Les attaquants collectent facilement des infos publiques.
  • Les utilisateurs ne s’attendent pas Ă  ce niveau de personnalisation.

5. Contre-mesures

✅ Sensibilisation renforcĂ©e

  • Expliquer aux employĂ©s que mĂȘme un mail crĂ©dible peut ĂȘtre piĂ©gĂ©.
  • Pourquoi ça protĂšge : augmente la vigilance face aux mails personnalisĂ©s.

✅ VĂ©rification systĂ©matique

  • Avant d’exĂ©cuter une demande sensible (paiement, virement), confirmer par tĂ©lĂ©phone ou canal diffĂ©rent.
  • Pourquoi ça protĂšge : empĂȘche qu’un simple mail trompe un employĂ©.

✅ DLP et sandbox

  • Scanner les piĂšces jointes et liens avant ouverture.
  • Pourquoi ça protĂšge : limite l’exĂ©cution de malwares via piĂšces jointes piĂ©gĂ©es.

3. Vishing (Voice Phishing)

1. Situation de départ

Un employĂ© reçoit un appel tĂ©lĂ©phonique d’un “support technique Microsoft”.

2. Ce que fait l’attaquant

  • Il explique que l’ordinateur est infectĂ©.
  • Il demande Ă  installer un logiciel de prise en main Ă  distance.

3. Conséquence

  • L’attaquant prend le contrĂŽle du poste.
  • Vol de donnĂ©es, installation de ransomware.

4. Pourquoi c’est possible

  • La voix donne une impression de lĂ©gitimitĂ© et d’urgence.
  • Les utilisateurs veulent souvent “aider” ou rĂ©soudre vite un problĂšme.

5. Contre-mesures

✅ ProcĂ©dures internes

  • Avoir un canal officiel pour le support technique.
  • Pourquoi ça protĂšge : Ă©vite de faire confiance Ă  un appel spontanĂ©.

✅ Formation à la reconnaissance

  • Expliquer les signaux d’alerte (demande d’installer un logiciel, urgence).
  • Pourquoi ça protĂšge : permet Ă  l’utilisateur de raccrocher sans culpabilitĂ©.

✅ Caller ID et filtrage

  • Outils pour identifier et bloquer les numĂ©ros frauduleux.
  • Pourquoi ça protĂšge : rĂ©duit la probabilitĂ© d’exposition.

4. Smishing (SMS Phishing)

1. Situation de départ

Un utilisateur reçoit un SMS :
“Votre colis est en attente, cliquez ici pour payer 1€ de frais”.

2. Ce que fait l’attaquant

  • Le lien mĂšne Ă  un faux site de livraison.
  • L’utilisateur entre ses infos bancaires.

3. Conséquence

  • Vol de carte bancaire.
  • Fraudes financiĂšres.

4. Pourquoi c’est possible

  • Les SMS paraissent venir d’un numĂ©ro connu (ex. La Poste).
  • Les utilisateurs font confiance aux messages courts et urgents.

5. Contre-mesures

✅ VĂ©rification hors bande

  • Contacter directement le service concernĂ© via leur site officiel.
  • Pourquoi ça protĂšge : on Ă©vite de cliquer sur le lien frauduleux.

✅ Sensibilisation

  • Expliquer que les organismes ne demandent jamais d’infos sensibles par SMS.
  • Pourquoi ça protĂšge : l’utilisateur identifie la fraude plus facilement.

✅ Filtrage opĂ©rateur

  • Certains opĂ©rateurs bloquent dĂ©jĂ  les SMS suspects.
  • Pourquoi ça protĂšge : rĂ©duit l’exposition en amont.

5. Pretexting (usurpation de rĂŽle)

1. Situation de départ

Un attaquant appelle un employé en se faisant passer pour le service informatique.

2. Ce que fait l’attaquant

  • Il invente un scĂ©nario crĂ©dible : “nous faisons une mise Ă  jour de sĂ©curitĂ©, j’ai besoin de vos identifiants”.
  • L’utilisateur, rassurĂ©, coopĂšre.

3. Conséquence

  • Vol de mots de passe.
  • AccĂšs direct aux systĂšmes internes.

4. Pourquoi c’est possible

  • Les humains ont tendance Ă  faire confiance Ă  une autoritĂ© perçue.
  • Pas de procĂ©dure formelle pour vĂ©rifier l’identitĂ© du demandeur.

5. Contre-mesures

✅ ProcĂ©dures d’authentification interne

  • Exiger un code interne ou une vĂ©rification par un autre canal.
  • Pourquoi ça protĂšge : empĂȘche qu’un simple appel suffise.

✅ Sensibilisation Ă  l’autoritĂ©

  • Former les employĂ©s Ă  rĂ©sister aux pressions d’autoritĂ©.
  • Pourquoi ça protĂšge : rĂ©duit la manipulation psychologique.

6. Quid pro quo

1. Situation de départ

Un employĂ© reçoit un appel : “Nous offrons une carte cadeau Amazon si vous installez ce logiciel de test”.

2. Ce que fait l’attaquant

  • Il propose un “service” en Ă©change d’une action.
  • L’utilisateur installe un logiciel malveillant.

3. Conséquence

  • Infection du poste.
  • AccĂšs non autorisĂ© aux systĂšmes internes.

4. Pourquoi c’est possible

  • Les humains aiment recevoir une rĂ©compense pour un petit effort.
  • L’offre semble anodine.

5. Contre-mesures

✅ Politique stricte d’installation logicielle

  • Interdire toute installation non validĂ©e par l’IT.
  • Pourquoi ça protĂšge : mĂȘme si l’employĂ© est tentĂ©, l’installation Ă©choue.

✅ Sensibilisation à la manipulation

  • Expliquer que “cadeaux” et “bonus” peuvent cacher une attaque.
  • Pourquoi ça protĂšge : l’utilisateur hĂ©site avant d’accepter.

7. Fraude au président (Business Email Compromise)

1. Situation de départ

Une assistante comptable reçoit un mail du “PDG” de son entreprise :
“Je suis en dĂ©placement Ă  l’étranger, c’est urgent : fais un virement de 50 000 € Ă  ce compte fournisseur”.

2. Ce que fait l’attaquant

  • Le mail imite l’adresse du PDG (ex. ceo@entreprlse.com avec un “l” remplacĂ© par un “i”).
  • Il joue sur l’urgence et l’autoritĂ©.
  • Il demande de contourner les procĂ©dures habituelles (“ne parle Ă  personne, c’est confidentiel”).

3. Conséquence

  • L’employĂ©e effectue le virement.
  • L’argent est perdu et difficilement rĂ©cupĂ©rable.

4. Pourquoi c’est possible

  • L’humain est sensible Ă  l’autoritĂ© (surtout venant du PDG).
  • Pression du temps → absence de vĂ©rification.
  • Pas de procĂ©dure de double validation pour les virements.

5. Contre-mesures

✅ ProcĂ©dure de validation des paiements

  • Tout virement doit ĂȘtre validĂ© par deux personnes.
  • Pourquoi ça protĂšge : empĂȘche qu’une seule personne, manipulĂ©e, exĂ©cute la fraude.

✅ Sensibilisation aux faux emails

  • Montrer des exemples concrets de domaines usurpĂ©s.
  • Pourquoi ça protĂšge : habitue l’employĂ© Ă  vĂ©rifier attentivement l’adresse.

✅ Simulation de phishing interne

  • Organiser des tests contrĂŽlĂ©s pour mesurer la rĂ©action des employĂ©s.
  • Pourquoi ça protĂšge : entraĂźne les rĂ©flexes en conditions rĂ©alistes.

8. Faux support technique (tech support scam)

1. Situation de départ

Un employĂ© reçoit un appel d’un “technicien Microsoft” :
“Votre ordinateur envoie des erreurs, nous devons intervenir immĂ©diatement”.

2. Ce que fait l’attaquant

  • Il demande Ă  installer un logiciel de prise de contrĂŽle Ă  distance (ex. TeamViewer).
  • Il affiche volontairement de faux messages d’erreur pour convaincre la victime.

3. Conséquence

  • L’attaquant prend le contrĂŽle complet du poste.
  • Il peut voler des fichiers, installer un ransomware.

4. Pourquoi c’est possible

  • L’humain fait confiance Ă  une personne qui paraĂźt compĂ©tente et utilise du jargon technique.
  • Le sentiment d’urgence empĂȘche de rĂ©flĂ©chir.

5. Contre-mesures

✅ ProcĂ©dures officielles de support

  • Communiquer aux employĂ©s le seul canal lĂ©gitime du support interne.
  • Pourquoi ça protĂšge : ils savent immĂ©diatement qu’un appel externe est suspect.

✅ Limiter les droits d’admin

  • Les utilisateurs n’ont pas le droit d’installer des logiciels.
  • Pourquoi ça protĂšge : mĂȘme si manipulĂ©, l’employĂ© ne peut pas donner la main.

✅ Formation par jeux de rîle

  • Simuler des appels de faux techniciens lors de formations.
  • Pourquoi ça protĂšge : habitue les utilisateurs Ă  dire “non” sans culpabiliser.

9. Tailgating (intrusion physique par suivi)

1. Situation de départ

Une entreprise utilise un badge pour entrer dans les bureaux.

2. Ce que fait l’attaquant

  • Il attend qu’un employĂ© ouvre la porte.
  • Il se glisse derriĂšre en tenant un cafĂ© ou en parlant au tĂ©lĂ©phone.
  • L’employĂ©, par politesse, ne lui demande pas de badger.

3. Conséquence

  • L’attaquant accĂšde physiquement aux bureaux.
  • Vol de matĂ©riel, branchement d’un keylogger, rĂ©cupĂ©ration de documents imprimĂ©s.

4. Pourquoi c’est possible

  • La politesse et la confiance sont des biais humains forts.
  • Les employĂ©s n’osent pas “jouer Ă  la police”.

5. Contre-mesures

✅ Politique “no tailgating”

  • Former les employĂ©s Ă  fermer les portes derriĂšre eux.
  • Pourquoi ça protĂšge : rĂ©duit la possibilitĂ© de suivre quelqu’un sans badge.

✅ VidĂ©osurveillance et contrĂŽles

  • CamĂ©ras et personnel de sĂ©curitĂ©.
  • Pourquoi ça protĂšge : dissuade et permet d’identifier une intrusion.

✅ Sensibilisation Ă  l’ingĂ©nierie sociale physique

  • Expliquer que l’attaquant utilisera la politesse comme arme.
  • Pourquoi ça protĂšge : dĂ©culpabilise l’employĂ© qui ose demander un badge.

10. Dumpster Diving (fouille de poubelles)

1. Situation de départ

Une entreprise jette ses brouillons, factures ou vieux disques durs sans précaution.

2. Ce que fait l’attaquant

  • Il fouille les poubelles ou rĂ©cupĂšre des disques jetĂ©s.
  • Il y trouve des informations sensibles (numĂ©ros clients, logins, donnĂ©es financiĂšres).

3. Conséquence

  • Vol d’informations confidentielles.
  • PrĂ©paration d’attaques ciblĂ©es (phishing crĂ©dible).

4. Pourquoi c’est possible

  • Les documents ou supports ne sont pas dĂ©truits correctement.
  • Les employĂ©s considĂšrent la poubelle comme “sĂ©curisĂ©e”.

5. Contre-mesures

✅ Broyeurs de documents

  • DĂ©truire tous les papiers sensibles avant de les jeter.
  • Pourquoi ça protĂšge : rend la reconstitution impossible.

✅ Effacement sĂ©curisĂ© des disques

  • Utiliser des outils de wipe ou destruction physique.
  • Pourquoi ça protĂšge : empĂȘche la rĂ©cupĂ©ration de donnĂ©es effacĂ©es.

✅ Politique de gestion des dĂ©chets

  • DĂ©finir clairement quoi jeter, oĂč, et comment.
  • Pourquoi ça protĂšge : rĂ©duit les fuites accidentelles.

11. Shoulder Surfing (observation visuelle)

1. Situation de départ

Un employé travaille dans un café ou un open space.

2. Ce que fait l’attaquant

  • Il s’assoit derriĂšre ou Ă  cĂŽtĂ©.
  • Il observe les mots de passe tapĂ©s ou lit les infos affichĂ©es.

3. Conséquence

  • Vol d’identifiants.
  • Divulgation d’informations sensibles.

4. Pourquoi c’est possible

  • Les Ă©crans sont visibles par des personnes non autorisĂ©es.
  • Aucun filtre visuel.

5. Contre-mesures

✅ Filtres de confidentialitĂ© sur Ă©crans

  • Limite l’angle de vision.
  • Pourquoi ça protĂšge : seul l’utilisateur en face peut lire.

✅ Posture discrùte

  • Tourner l’écran vers un mur ou un angle discret.
  • Pourquoi ça protĂšge : rĂ©duit les risques d’espionnage accidentel.

✅ Sensibilisation

  • Expliquer que l’espionnage peut ĂȘtre aussi simple qu’un regard discret.
  • Pourquoi ça protĂšge : incite Ă  plus de vigilance en public.

Conclusion

Les attaques d’ingĂ©nierie sociale rappellent que la sĂ©curitĂ© ne dĂ©pend pas uniquement des machines et des protocoles, mais aussi de la vigilance des personnes.
En usurpant une identitĂ©, en jouant sur l’urgence ou en exploitant la politesse, un attaquant peut obtenir plus qu’avec une attaque technique complexe.

Trois axes majeurs se dégagent :

  • Sensibilisation et formation → donner aux utilisateurs les bons rĂ©flexes.
  • ProcĂ©dures claires → exiger des validations multiples, dĂ©finir des canaux officiels.
  • Culture de sĂ©curitĂ© → dĂ©culpabiliser les employĂ©s qui doutent ou refusent une demande suspecte.

En rĂ©sumĂ©, la dĂ©fense face Ă  ces attaques repose moins sur la technologie que sur l’hygiĂšne comportementale et la maturitĂ© collective face aux manipulations.