Ingénierie sociale et phishing
Définition
L'ingénierie sociale est l'art de manipuler les personnes pour obtenir des informations confidentielles ou des accès non autorisés, sans exploiter de faille technique. Le phishing est la forme la plus courante : emails ou messages frauduleux imitant des entités légitimes pour voler des identifiants ou installer des malware.
| Technique |
Vecteur |
Cible |
| Phishing |
Email générique |
Masse (tout le monde) |
| Spear phishing |
Email personnalisé |
Individu ou groupe spécifique |
| Whaling |
Email exécutif |
PDG, directeurs (hauts dirigeants) |
| Vishing |
Appel téléphonique |
Individu (voix) |
| Smishing |
SMS / message texte |
Individu (mobile) |
| Pretexting |
Scénario inventé |
Support technique, faux employé |
| Baiting |
Clé USB / appât physique |
Curieux qui branche la clé |
| Tailgating |
Suivi physique |
Accès à un bâtiment sécurisé |
| Shoulder surfing |
Observation visuelle |
Mots de passe, écrans |
| Dumpster diving |
Fouille des poubelles |
Documents jetés |
Contexte
CompTIA A+ teste la reconnaissance des techniques d'ingénierie sociale, les indicateurs de phishing et les mesures de prévention. Le technicien doit savoir former les utilisateurs et mettre en place des contre-mesures techniques.
Détails techniques
Anatomie d'un email de phishing
De : support@micrоsoft.com ← Domaine trompeur (о cyrillique)
Objet : ⚠️ Votre compte sera suspendu dans 24h
Cher utilisateur,
Nous avons détecté une activité suspecte sur votre compte.
Cliquez ici pour vérifier votre identité :
[Vérifier mon compte] → https://micr0soft-verify.suspicious-site.com/login
Si vous n'agissez pas dans les 24 heures, votre compte sera
définitivement supprimé.
Microsoft Support
Indicateurs de phishing (red flags)
| Indicateur |
Exemple |
| Urgence artificielle |
"Agissez maintenant ou votre compte sera fermé" |
| Fautes d'orthographe |
"Micrisoft", "votre conpte" |
| Domaine suspect |
micr0soft.com, paypa1.com |
| Lien ne correspondant pas |
Texte dit "microsoft.com", URL réelle différente |
| Pièce jointe inattendue |
facture.pdf.exe, document.docm |
| Demande d'informations sensibles |
Mot de passe, numéro de carte |
| Salutation générique |
"Cher client" au lieu du nom |
| Adresse d'expéditeur incohérente |
"support@gmail.com" pour Microsoft |
Techniques d'ingénierie sociale détaillées
| Technique |
Mécanisme exploité |
Exemple |
| Authority |
Respect de l'autorité |
"Je suis le directeur IT, donnez-moi votre mot de passe" |
| Urgency |
Peur et pression temporelle |
"Votre compte sera bloqué dans 1 heure" |
| Intimidation |
Menace |
"Si vous ne coopérez pas, je signale à votre supérieur" |
| Consensus |
Preuve sociale |
"Tous vos collègues ont déjà changé leur mot de passe" |
| Scarcity |
Rareté |
"Offre limitée, cliquez maintenant" |
| Familiarity |
Confiance |
Se faire passer pour un collègue ou un ami |
Mesures de prévention
| Mesure |
Type |
Description |
| Formation utilisateurs |
Humain |
Simulations de phishing régulières |
| Filtrage email |
Technique |
Anti-spam, anti-phishing (Exchange Online Protection) |
| SPF, DKIM, DMARC |
Technique |
Authentification des emails |
| MFA |
Technique |
Même si le mot de passe est volé, accès bloqué |
| Politique de mots de passe |
Organisationnel |
Complexité, rotation, non-réutilisation |
| Badges d'accès |
Physique |
Empêcher le tailgating |
| Déchiquetage de documents |
Physique |
Éliminer le dumpster diving |
| Filtres d'écran |
Physique |
Prévenir le shoulder surfing |
Que faire si on clique sur un lien de phishing
- Ne pas entrer de mot de passe ni d'informations
- Déconnecter du réseau (Wi-Fi/câble)
- Changer immédiatement les mots de passe éventuellement compromis
- Scanner le système avec un anti-malware
- Signaler l'incident au service IT / équipe sécurité
- Documenter l'incident
Exemple concret
Un comptable reçoit un email apparemment de son PDG demandant un virement urgent de 15 000 € vers un nouveau fournisseur. L'email provient de "pdg@entreprise-corp.com" au lieu de "pdg@entreprise.com". Le comptable contacte le PDG par téléphone : celui-ci confirme ne jamais avoir envoyé cet email. C'est une attaque de type whaling/BEC (Business Email Compromise). Le technicien IT renforce le filtrage DMARC et organise une formation anti-phishing.
