Attaque d'ingénierie sociale
L'ingénierie sociale est une attaque psychologique où les pirates informatiques manipulent les gens pour qu'ils révèlent des secrets, donnent leurs mots de passe ou accordent un accès.
L'ingénierie sociale exploite la psychologie humaine plutôt que les vulnérabilités techniques pour inciter les utilisateurs à révéler des données sensibles ou à accorder l'accès à des systèmes sécurisés. Ce type d'attaque est assez complexe, car il manipule la confiance, l'urgence ou l'autorité pour contourner des contrôles de sécurité qui sont à la fois heuristiques et techniques.
Quelles sont les tactiques courantes d'ingénierie sociale ?
- Appâtage : Laisser une clé USB infectée par un logiciel malveillant dans un lieu public, en espérant qu'un employé curieux la branchera sur un ordinateur de l'entreprise.
- Prétexte : Créer un scénario fabriqué de toutes pièces (le « prétexte ») pour voler des informations, par exemple un attaquant se faisant passer pour un auditeur informatique ayant besoin de « vérifier » vos identifiants.
- Tailgating : Suivre une personne autorisée dans une zone physique restreinte (comme un bureau ou une salle serveur) en marchant simplement derrière elle.
- Quid Pro Quo : Offrir un service ou un avantage (comme une « assistance technique gratuite ») en échange d'informations sensibles ou d'un accès au système.
Pourquoi l'ingénierie sociale est-elle si efficace ?
Un système peut être réparé, mais la nature humaine est immuable. Les attaquants utilisent souvent IA générative pour rechercher des cibles sur LinkedIn et les réseaux sociaux, leur permettant de concevoir des attaques de « spear phishing » hautement personnalisées, quasiment impossibles à distinguer des demandes légitimes.