ObjectifCyber

Chapitre 6 — Ingénierie Sociale & Phishing

L'ingénierie sociale exploite la psychologie humaine plutôt que les vulnérabilités techniques. Ce module couvre toutes les techniques d'ingénierie sociale testées dans l'examen Security+.

Mémorisez ! Les attaques d'ingénierie sociale exploitent des biais cognitifs : Urgence, Autorité, Intimidation, Preuve sociale (tout le monde le fait), Familiarité, Confiance. Reconnaître ces déclencheurs est la première défense.
PrincipeExemple d'exploitation
Urgence"Votre compte sera fermé dans 2h si vous ne cliquez pas maintenant"
Autorité"Je suis le PDG / l'IT security / le directeur — vous devez me donner accès"
Intimidation"Si vous ne suivez pas ces instructions, vous serez licencié / poursuivi"
Preuve sociale"Tous vos collègues ont déjà créé leur compte sur ce nouveau système"
Familiarité/ConfianceSe faire passer pour un collègue, un fournisseur connu ou un ami
RéciprocitéRendre un service pour créer une obligation de réciprocité
Scarcité"Il n'en reste que 3 — achetez maintenant" (manipulation de l'anxiété de manque)

TechniqueDescriptionSpécificité
PhishingEmail frauduleux massif imitant une organisation légitimeLarge public, pas ciblé
Spear PhishingPhishing très ciblé sur une personne ou organisation spécifiquePersonnalisé avec OSINT
WhalingSpear phishing ciblant les cadres dirigeants (CEO, CFO)Enjeux financiers élevés (BEC)
VishingVoice Phishing — appel téléphonique frauduleuxSupport IT, banque, impôts
SmishingSMS Phishing — message texte frauduleuxLien malveillant ou numéro surtaxé
PharmingManipulation du DNS pour rediriger vers un site malveillantPas de lien dans l'email — le site légitime est détourné
Clone PhishingCopie exacte d'un email légitime avec liens remplacésTrès difficile à détecter

Scénario BEC : Un comptable reçoit un email du "PDG" (adresse usurpée ou compte compromis) lui demandant de virer urgement 200 000 € à un nouveau fournisseur. "C'est urgent et confidentiel — ne le mentionnez à personne." L'urgence, l'autorité et la confidentialité sont des drapeaux rouges caractéristiques d'un BEC. Solution : procédure de vérification hors-bande (appel téléphonique) pour tout virement non standard.

Astuce Examen

SPF = liste des serveurs autorisés à envoyer pour ce domaine. DKIM = signature cryptographique de l'email. DMARC = politique définissant que faire si SPF/DKIM échouent (quarantine, reject, none). Pour prévenir l'email spoofing : implémenter SPF + DKIM + DMARC ensemble.

1. Un attaquant laisse plusieurs clés USB étiquetées "Salaires Q4 - CONFIDENTIEL" dans le parking de l'entreprise cible. Quelle technique d'ingénierie sociale utilise-t-il ?

Baiting = attirer la victime avec quelque chose d'attrayant (l'appât). Une clé USB étiquetée "Salaires" exploite la curiosité. La victime la branche sur son PC — le malware s'installe. Baiting peut aussi être des téléchargements gratuits de logiciels piratés.

2. Un email très détaillé est envoyé au DAF d'une entreprise en le mentionnant par son prénom, référençant son récent voyage à Paris et demandant un virement urgent. Quelle attaque est-ce ?

Whaling = spear phishing ciblant spécifiquement les dirigeants (baleines = grandes cibles). L'OSINT (LinkedIn, articles de presse) permet de personnaliser l'attaque avec des détails crédibles (voyage à Paris). L'objectif est souvent un virement bancaire (BEC).

3. Un employé qui se fait passer pour un auditeur externe et appelle le service comptable pour demander un listing des comptes bancaires "pour la vérification annuelle" utilise quelle technique ?

Pretexting = créer un scénario fictif (prétexte) crédible pour obtenir des informations. L'attaquant joue un rôle (auditeur, IT support, enquêteur) pour convaincre la victime de divulguer des informations qu'elle ne devrait pas partager.

4. Le pharming diffère du phishing traditionnel en ce que :

Pharming = manipulation DNS (empoisonnement du cache DNS ou modification du fichier hosts). L'utilisateur tape "www.mabanque.com" mais est redirigé vers un faux site. Aucun lien malveillant à cliquer — la redirection est transparente. Très difficile à détecter.

5. DMARC est un mécanisme de sécurité email qui :

DMARC (Domain-based Message Authentication, Reporting, and Conformance) = politique qui dit aux serveurs de réception quoi faire si SPF ou DKIM échouent : "none" (surveiller), "quarantine" (spam), "reject" (bloquer). Empêche l'usurpation du domaine de l'expéditeur.

6. Un attaquant entre dans un bureau sécurisé en suivant de près un employé autorisé qui tient la porte ouverte par politesse. Cette technique est appelée :

Tailgating = suivre physiquement une personne autorisée pour accéder à une zone sécurisée sans s'authentifier. Exploite la politesse sociale (tenir la porte). Contre-mesures : mantrap (sas de sécurité), formation, signalisation "Ne pas tenir la porte".

7. DKIM (DomainKeys Identified Mail) protège contre :

DKIM = signature cryptographique ajoutée à chaque email par le serveur d'envoi. Le serveur de réception vérifie la signature avec la clé publique du domaine (publiée dans le DNS). Garantit que l'email n'a pas été modifié en transit et vient bien du domaine déclaré.

8. Quelle est la contre-mesure la plus efficace contre le Business Email Compromise (BEC) ?

Le BEC contourne les filtres techniques (email du vrai compte compromis). La vérification hors-bande (appel direct, rencontre physique) est la seule protection fiable. Un appel au numéro du PDG connu (pas celui dans l'email) peut révéler la fraude avant le virement.

9. Quel principe psychologique est exploité par un email de phishing qui dit "Votre compte Amazon sera supprimé dans 24h si vous ne cliquez pas ici pour le vérifier" ?

Le compte à rebours ("24h") crée une urgence artificielle pour court-circuiter la réflexion critique. Sous pression temporelle, les gens agissent avant de vérifier. La formation doit enseigner : "l'urgence dans un email = drapeau rouge, vérifiez d'abord."

10. SPF (Sender Policy Framework) protège contre :

SPF = enregistrement DNS qui liste les serveurs autorisés à envoyer des emails pour ce domaine. Si un email prétend venir de "monentreprise.com" mais vient d'un serveur non listé dans le SPF de ce domaine, les serveurs de réception peuvent le rejeter ou le marquer comme suspect.