Ingénierie sociale
Manipuler une personne — plutôt qu'exploiter une faille logicielle — pour obtenir identifiants, argent ou accès ; la catégorie chapeau dont relèvent phishing, vishing et fraude au président.
L’ingénierie sociale est la pratique consistant à manipuler une personne pour lui faire effectuer une action — céder des identifiants, valider un paiement, accorder un accès, divulguer une information — plutôt qu’à exploiter une faille logicielle pour le même résultat. C’est la catégorie chapeau dont relèvent phishing, spear-phishing, vishing, qishing, phishing OAuth, fraude au président, pretexting, baiting et tailgating.
Le Verizon DBIR identifie année après année le facteur humain — ingénierie sociale, erreur, mésusage — dans environ trois quarts des compromissions. Le chiffre exact varie d’une édition à l’autre, mais la tendance est constante : quand les défenseurs durcissent la surface technique, les attaquants reportent la charge sur la surface humaine, parce que c’est là que se trouve le chemin de moindre résistance.
Mécanismes caractéristiques — ce qui fait fonctionner l’ingénierie sociale :
- Autorité. Usurper le PDG, le DSI, l’ANSSI elle-même, un régulateur. Le coût perçu du refus dépasse le coût perçu de la conformité.
- Urgence. Une échéance de virement, un « votre compte va être bloqué », un créneau transporteur. La pression temporelle inhibe le réflexe de vérification.
- Réciprocité et rapport. Une série de petits échanges utiles avant la demande — fréquent dans les campagnes de vishing de longue haleine contre les helpdesks.
- Plausibilité. La personnalisation par OSINT — noms, projets, agendas, presse récente — rend le leurre indistinguable d’une correspondance réelle.
- Rareté. Une « dernière place de formation », un « changement fournisseur exceptionnel », un « code de récupération à usage unique ». La rareté fabriquée resserre le choix.
La bascule défensive consiste à passer de « former les gens à ne pas tomber dedans » — bataille en grande partie perdue, comme l’explique l’écart savoir-comportement — à « mesurer et réduire le taux de chute réel » via des simulations réalistes et des nudges au moment du risque. Deux leviers complémentaires réduisent l’entrée de l’attaquant : rétrécir la surface de reconnaissance publique (calendriers exposés, dossiers Drive publics, surpartage LinkedIn) et resserrer les contrôles procéduraux (rappel hors canal sur changement de paiement, politiques de consentement admin OAuth, FIDO2 sur tout compte qui peut déplacer de l’argent ou accorder un accès). Ce qui reste après tout cela est le résidu comportemental, et c’est précisément ce qu’Engarde est conçu pour traiter.
Termes liés
- Hameçonnage (phishing)Attaque d'ingénierie sociale qui usurpe l'identité d'un tiers de confiance pour obtenir des identifiants, de l'argent ou un accès — par e-mail, SMS, voix, QR code ou consentement OAuth.
- Spear-phishingAttaque de phishing ciblée sur une personne ou un petit groupe, exploitant l'OSINT public pour atteindre une crédibilité que le phishing de masse n'a pas.
- Fraude au président (BEC)Fraude ciblée par usurpation de dirigeant, fournisseur ou avocat pour détourner un paiement légitime — historiquement la catégorie de cybercrime la plus coûteuse en valeur.
- Vishing (phishing vocal)Phishing acheminé par appel vocal — de plus en plus combiné à un prétexte e-mail et, depuis 2023, à des voix de dirigeants ou collègues clonées par IA.
- Qishing (phishing par QR code)Phishing dont le lien malveillant est délivré sous forme de QR code plutôt que de texte, déplaçant le clic d'un poste géré vers un smartphone personnel non géré.
- Phishing OAuth / consent phishingAttaque qui amène l'utilisateur à accorder à une application tierce malveillante un accès OAuth persistant à sa messagerie, ses fichiers ou son workspace — contournant entièrement le MFA.
- Écart savoir-comportementÉcart documenté entre ce que les collaborateurs savent en matière de cybersécurité et ce qu'ils font réellement au moment de la décision.