Aller au contenu principal

Ingénierie sociale et phishing

Manipulation et cyberattaques

Notions théoriques

L’ingénierie sociale est une technique de manipulation utilisée par les cybercriminels pour tromper une personne et l’amener à divulguer des informations confidentielles, comme des mots de passe ou des numéros de carte bancaire.

attention

Contrairement aux attaques techniques, l’ingénierie sociale exploite la psychologie humaine plutôt que des failles logicielles.

L’ingénierie sociale

Comment fonctionne l’ingénierie sociale ?

L’attaquant utilise des techniques de persuasion pour inciter une victime à :

  • Cliquer sur un lien malveillant
  • Ouvrir une pièce jointe infectée
  • Divulguer des informations sensibles
  • Exécuter une action qui compromet la sécurité

Le phishing

info

Le phishing est une attaque d’ingénierie sociale courante

Le phishing (hameçonnage) est une technique où un attaquant se fait passer pour une entité de confiance (banque, entreprise, administration) afin de voler des informations. Il utilise souvent :

  • Des e-mails frauduleux avec des liens vers de faux sites web
  • Des SMS trompeurs demandant une action urgente
  • Des appels téléphoniques se faisant passer pour un support technique

Types d’attaques de phishing

  • Phishing classique : Un e-mail imitant une banque demande de vérifier un compte en cliquant sur un lien.
  • Spear phishing : Une attaque ciblée contre une personne ou une entreprise spécifique.
  • Whaling : Une attaque visant des cadres ou dirigeants d’entreprise.
  • Vishing : Une attaque par téléphone où l’attaquant se fait passer pour un support technique.
  • Smishing : Une attaque par SMS contenant un lien malveillant.

Signes d’un email de phishing

  • Expéditeur suspect : Une adresse e-mail qui semble étrange.
  • Urgence excessive : "Votre compte sera suspendu si vous ne répondez pas immédiatement !"
  • Fautes d’orthographe : Des erreurs grammaticales dans l’e-mail.
  • Liens suspects : Une URL qui ne correspond pas au site officiel.

Comment se protéger ?

  • Ne jamais cliquer sur un lien suspect dans un e-mail ou un SMS.
  • Vérifier l’expéditeur avant de répondre à un message.
  • Utiliser l’authentification à deux facteurs (2FA) pour sécuriser ses comptes.
  • Ne jamais partager d’informations sensibles par e-mail ou téléphone.
  • Signaler les tentatives de phishing aux autorités compétentes.

Exemple pratique

Cas concret : Un faux e-mail de votre banque

Un utilisateur reçoit un e-mail prétendant venir de sa banque.

📩 Contenu du message :

"Cher client, une activité suspecte a été détectée sur votre compte. Veuillez cliquer sur le lien ci-dessous pour vérifier votre identité et éviter la suspension de votre compte."

🔗 Lien proposé : http://secure-banque-verif.com

Analyse de l’e-mail :

  1. L’adresse de l’expéditeur est support@banque-securite.com, qui ne correspond pas au domaine officiel de la banque.
  2. Le message crée un sentiment d’urgence pour pousser l’utilisateur à agir sans réfléchir.
  3. Le lien semble légitime mais, en le survolant, il redirige vers un site inconnu.
  4. L’e-mail contient des fautes d’orthographe et une mise en page amateur.

Que faire ?

  • Ne pas cliquer sur le lien.
  • Aller directement sur le site officiel de la banque en tapant l’adresse manuellement ou avec son gestionnaire de mots de passe.
  • Signaler l’e-mail comme phishing.

Test de mémorisation/compréhension


Qu’est-ce que l’ingénierie sociale ?


Quel est l’objectif principal du phishing ?


Quel type de phishing cible des dirigeants d’entreprise ?


Quel est un signe typique d’un e-mail de phishing ?


Quelle technique est utilisée pour tromper une victime par téléphone ?


Que doit-on faire si on reçoit un e-mail suspect ?


Quel outil permet d’éviter les attaques de phishing ?


Quel est un exemple de smishing ?


Comment vérifier un lien suspect dans un e-mail ?


Que faire si on a cliqué sur un lien de phishing ?