Previous Story
L’ingénierie sociale : l’arme silencieuse des cybercriminels
Posted On 27 Fév 2025
Comment: 0
23 % des cyberattaques en 2024 ont utilisé l’ingénierie sociale comme vecteur initial d’intrusion. Les cybercriminels privilégient les méthodes les plus simples : le phishing et l’usurpation d’identité suffisent souvent à contourner les défenses.
En matière de cybersécurité, les organisations renforcent leurs infrastructures, chiffrent leurs données et surveillent leurs réseaux. Pourtant, les cybercriminels contournent ces barrières en s’attaquant au maillon le plus vulnérable : l’humain. Comme vous le savez, l’ingénierie sociale est la spécialisation de votre serviteur (vainqueur en Amérique du Nord de l’un des plus important CTF de S.E. en 2024 ; second du CTF du Hackfest en 2023, Etc.). Pour rappel, leu social engineering est une technique de manipulation psychologique visant à inciter une personne à révéler des informations sensibles ou à exécuter une action compromettante.
Le Global Incident Response Report 2025 de l’américain Unit 42 (paloaltonetworks) m’a fait tendre l’oreille car il met en évidence une recrudescence des attaques basées sur l’ingénierie sociale. Phishing, smishing, MFA bombing, deepfakes et attaques ciblant les services d’assistance technique sont en nette augmentation. Ces méthodes permettent aux pirates d’obtenir des accès légitimes sans recourir à des exploits techniques complexes.
Phishing et variantes : la porte d’entrée des attaques
Le phishing reste le principal vecteur d’accès utilisé par les cybercriminels. En 2024, 23 % des cyberattaques recensées par Unit 42 ont commencé par un e-mail piégé. Ces attaques visent à inciter la victime à cliquer sur un lien malveillant ou à fournir ses identifiants d’accès. Mais le phishing a évolué et se décline désormais en plusieurs formes sophistiquées comme le « Spear phishing« . Une attaque ciblée où l’attaquant personnalise son message pour tromper une victime spécifique. Le « Smishing » (SMS phishing) qui diffuse de faux messages urgents via SMS pour inciter à la divulgation d’informations. Le « Vishing » (voice phishing / la technique du « Allô »). L’exploitation des appels téléphoniques pour manipuler les employés. Le « SEO poisoning » et « malvertising ». Mission, empoisonner des résultats de recherche et des publicités en ligne pour piéger les utilisateurs. Bref, rien de nouveau si vous êtes des fidèles de ZATAZ.COM.
Dans certains cas, rapporte U42, des cybercriminels exploitent le support technique des entreprises en se faisant passer pour des employés nécessitant une assistance urgente. Le groupe Muddled Libra a notamment infiltré des organisations en trompant les services d’assistance via des faux numéros de téléphone VoIP et des documents d’identité falsifiés. Pour la petite histoire, ma victoire en Amérique du Nord en 2024 a pu être réalisée en m’attaquant à l’espace de restauration ou encore à la crèche d’entreprise de mes cibles (cibles autorisées, c’est de l’Ethical Hacking, pas du blabla sur X ou Linkedin).
L’essor des deepfakes et de l’IA générative : une menace amplifiée
L’intelligence artificielle générative révolutionne l’ingénierie sociale. Grâce aux deepfakes, il est désormais possible d’imiter une voix, un visage ou un comportement avec un réalisme troublant. Ces technologies sont utilisées pour contourner les systèmes de reconnaissance faciale et vocale. Tromper des collaborateurs via des vidéoconférences falsifiées ou encore produire des fausses identités ultraréalistes pour s’introduire dans des entreprises. Le cas de ces faux employés, mais vrais pirates Nord-Coréens, est encore gravé dans les esprits du FBI.
L’IA accélère aussi la génération de phishing ultraciblé, rendant ces attaques bien plus convaincantes qu’auparavant. Un test mené par Unit 42 a démontré qu’une cyberattaque assistée par IA pouvait réduire le temps d’exfiltration des données de 2 jours à seulement 25 minutes (gasp!).
L’attaque des services d’assistance : la faille méconnue des entreprises
L’un des modes opératoires les plus efficaces pour les cybercriminels est l’usurpation d’identité auprès des services d’assistance (help desk). Ces attaques, peu médiatisées, sont pourtant de plus en plus courantes. Certains groupes de hackers se spécialisent dans la prise de contrôle des comptes en manipulant ces services internes. Ce n’est clairement pas une nouveauté : feu Kevin Mitnick (alias Le Condor) en avait fait sa spécialité à la fin des années 80. Le réseau téléphonique PacBell, Nokia, IBM et même le NORAD, le centre de défense aérospatial des États-Unis, s’en souviennent encore comme si c’était hier !
Cas concret : comment une entreprise a été piégée en 40 minutes
Un cybercriminel a contacté le support technique d’une grande entreprise, prétendant être un employé en difficulté avec son accès. Après une série de manipulations. Il a récupéré les informations de réinitialisation du compte. Il a utilisé ces informations pour accéder à des comptes privilégiés. Il a compromis les serveurs internes en moins de 40 minutes. Autant dire qu’ils auraient pu gagner 30 minutes via des logs d’info stealers !
Comment se protéger contre l’ingénierie sociale ? Unit 42 recommande une approche en profondeur pour lutter contre l’ingénierie sociale : former continuellement les employés : apprendre à repérer les signes d’attaques (phishing, deepfakes, faux supports). Votre serviteur donne des cours sur le sujet à OTERIA Cyber School ou encore à la Cyber Management School (en France). Je propose aussi des ateliers et conférences sur le sujet. U42 propose aussi de mettre en place de l’authentification multifactorielle (MFA) avec alerte. Exiger une vérification avancée avant toute modification de compte. Une « triple » authentification humaine par exemple. Sensibiliser aux attaques IA et permettre de reconnaître les deepfakes et les courriels générés par IA. Comme ces fausses annonces que ZATAZ a constaté sur le site Le Bon Coin. Une veille dans le darkweb est aussi conseillé. La surveillance des accès aux comptes et bloquer les accès suspects et analyser les comportements anormaux.
Les signaux d’alerte à surveiller
Une demande urgente et émotionnelle (ex. « Mon compte est bloqué, c’est une urgence !« ).
Un langage inhabituel ou des fautes d’orthographe dans un courriel interne.
Un appel téléphonique non sollicité demandant un changement d’accès.
Une tentative d’accès depuis un pays inhabituel.
Je vous propose d’autres exemples ICI.
L’ingénierie sociale est, depuis toujours, l’un des vecteurs d’attaque les plus efficaces pour les cybercriminels. Plus simple et plus rentable qu’une intrusion technique, elle contourne les barrières de sécurité en exploitant la faiblesse humaine.
Pour rester informé sur les enjeux de cybersécurité, inscrivez-vous à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.
