Ingénierie sociale et phishing
Définition
L'ingénierie sociale est une technique de manipulation psychologique visant à tromper une personne pour qu'elle divulgue des informations confidentielles ou effectue une action nuisible. Le phishing (hameçonnage) est la forme la plus courante : un e-mail, SMS ou site web frauduleux qui imite une source de confiance pour voler des identifiants ou des données.
| Technique | Vecteur | Objectif |
|---|---|---|
| Phishing (e-mail) | E-mail frauduleux | Vol d'identifiants |
| Smishing | SMS frauduleux | Clic sur un lien malveillant |
| Vishing | Appel téléphonique | Soutirer des informations |
| Pretexting | Fausse identité | Accéder à des systèmes |
| Baiting | Clé USB abandonnée | Infection par malware |
| Tailgating | Suivi physique | Accès non autorisé à un bâtiment |
Contexte
IC3 consacre une part importante à l'ingénierie sociale car c'est la menace qui touche le plus les utilisateurs non techniques. Le candidat doit savoir identifier un e-mail de phishing, reconnaître les techniques de manipulation et adopter les bons réflexes.
Détails techniques
Anatomie d'un e-mail de phishing
De : service-securite@banque-france-secure.com ← Domaine suspect
Objet : ⚠️ URGENT : Votre compte sera bloqué ! ← Urgence artificielle
Cher client,
Nous avons détecté une activité suspecte. ← Prétexte alarmiste
Cliquez ici pour vérifier votre identité : ← Lien piégé
https://banque-fr.malicious-site.com/login ← URL différente du vrai site
Si vous n'agissez pas dans les 24h, votre ← Pression temporelle
compte sera définitivement bloqué.
Cordialement,
Le Service Sécurité ← Signature vague
Signaux d'alerte du phishing
| Signal | Exemple |
|---|---|
| Adresse expéditeur suspecte | info@amaz0n-support.xyz au lieu de @amazon.fr |
| Urgence / menace | "Votre compte sera supprimé dans 24h" |
| Fautes d'orthographe | "Cher(e) cliant" |
| Lien trompeur | Texte dit "amazon.fr" mais l'URL pointe ailleurs |
| Demande de données sensibles | "Confirmez votre mot de passe et numéro de carte" |
| Pièce jointe inattendue | facture.pdf.exe |
Réflexes corrects face à un message suspect
- Ne pas cliquer sur les liens ni ouvrir les pièces jointes
- Vérifier l'adresse de l'expéditeur (pas seulement le nom affiché)
- Survoler le lien sans cliquer pour voir l'URL réelle
- Contacter l'organisation directement via son site officiel (pas via le lien du mail)
- Signaler le message comme spam/phishing dans la messagerie
- En entreprise, alerter le service informatique
Comparaison des techniques
| Technique | Sophistication | Cible | Défense |
|---|---|---|---|
| Phishing de masse | Faible | Tout le monde | Filtres anti-spam |
| Spear phishing | Élevée | Personne ciblée | Vigilance, formation |
| Whaling | Très élevée | Dirigeants | Procédures de vérification |
Astuce IC3 : Si un e-mail vous semble suspect, ne répondez jamais directement. Ouvrez un nouveau navigateur et allez vous-même sur le site officiel de l'organisation pour vérifier.
Exemple concret
Un employé reçoit un e-mail de "son directeur" demandant un virement urgent de 5 000€ vers un nouveau fournisseur. L'adresse est directeur@entreprise-fr.com au lieu de directeur@entreprise.fr. C'est du spear phishing. Le bon réflexe : appeler le directeur par téléphone pour confirmer avant tout virement, surtout si la demande est inhabituelle ou urgente.