Cybersécurité

Le Social Engineering - Les principes (1/2)

Adrien

2 min read
Le Social Engineering - Les principes (1/2)
Photo by Austin Distel / Unsplash

L'un des vecteurs d'attaque les plus communs est le Social Engineering. Cela regroupe un ensemble de techniques utilisées par les malfaiteurs pour vous atteindre vous en tant que particulier mais également pour atteindre les entreprises.

Les principes du Social Engineering

Le Social Engineering repose sur sept principes qui visent à vous faire aller à la faute.

Le principe d'autorité

L'attaquant va tenter de vous convaincre qu'il est d'une autorité interne ou externe reconnue.

Ainsi, dans le cadre d'un particulier, il va se faire passer pour un agent de police, une personne des impôts ou une entreprise qui a pignon sur rue.

Dans le cadre d'une entreprise, il va tenter de se faire passer pour un membre de l'équipe de direction ou quelqu'un qui est bien plus haut que vous dans la hiérarchie, une personne de l'équipe informatique.

Le principe d'intimidation

L'attaquant va utiliser le principe d'autorité auquel va s'ajouter la confiance ou à la menace pour vous motiver à suivre les ordres ou les instructions.

Cela peut passer par des phrases comme "nous sommes de la même entreprise" ou "si vous ne le faîtes pas, je vais en référer à votre manager".

Le principe du consensus

Aussi appelé le Social Proof, le consensus est le principe selon lequel une personne aura plus confiance si un proche ou un collègue a déjà réalisé l'action.

Dans ce cadre précis, l'attaquant va vous préciser que votre ami ou collègue Michel a déjà réalisé cette action et que ça s'est très bien déroulé.

La principe de la rareté

L'attaquant peut jouer sur la rareté pour arriver à ses fins. Si vous avez l'impression de louper une bonne affaire, vous aurez plus tendance à accepter l'offre de l'attaquant.

C'est le bon vieux principe marketing du "Dépêchez-vous, il n'en reste plus qu'un !".

Le principe de familiarité

L'attaquant va exploiter la confiance naturelle de l'individu et va insister sur les similitudes.

Dans le cadre d'un particulier, il va se faire passer pour un proche avec qui vous entretenez peu de relations et dans le cadre d'une entreprise, pour un de vos collègues.

Le principe de confiance

L'attaquant va nouer avec vous une véritable relation sur le long terme afin de développer un climat propice à la confiance. De cette manière il vous amènera vers les actions décisives pour mettre en œuvre son attaque.

Fût un temps, c'était très à la mode avec des Européens qui entretenaient des relations avec des femmes Africaines. En réalité, la plupart du temps il s'agissait d'hommes sans scrupules qui trompaient les particuliers pour leur soustraire de l'argent. Il pouvait s'écouler plus d'un an d'échanges de messages avant qu'ils ne commencent à demander quelques centaines d'euros. Mais en fin de compte, les sommes transférées pouvaient monter à plusieurs milliers d'euros au grand dam du particulier lésé.

Le principe d'urgence

Là encore, un grand classique utilisé dans le marketing : "Il ne reste que 10 heures pour bénéficier de cette remise exceptionnelle". Et bien les attaquants l'utilisent aussi et ça marche !

Pour le particulier, l'attaquant veut vous faire acheter un produit ou réaliser une action spécifique. Pour une entreprise, l'attaquant va peut-être vous inciter à réaliser une action telle que confirmer votre mot de passe pour éviter de perdre vos accès.

En même temps, qui a envie de perdre ses accès et être bloqué des heures avec son service informatique ?! 😱