Chapitre 6 — Ingénierie Sociale & Phishing
L'ingénierie sociale exploite la psychologie humaine plutôt que les vulnérabilités techniques. Ce module couvre toutes les techniques d'ingénierie sociale testées dans l'examen Security+.
Mémorisez ! Les attaques d'ingénierie sociale exploitent des biais cognitifs : Urgence, Autorité, Intimidation, Preuve sociale (tout le monde le fait), Familiarité, Confiance. Reconnaître ces déclencheurs est la première défense.
| Principe | Exemple d'exploitation |
|---|---|
| Urgence | "Votre compte sera fermé dans 2h si vous ne cliquez pas maintenant" |
| Autorité | "Je suis le PDG / l'IT security / le directeur — vous devez me donner accès" |
| Intimidation | "Si vous ne suivez pas ces instructions, vous serez licencié / poursuivi" |
| Preuve sociale | "Tous vos collègues ont déjà créé leur compte sur ce nouveau système" |
| Familiarité/Confiance | Se faire passer pour un collègue, un fournisseur connu ou un ami |
| Réciprocité | Rendre un service pour créer une obligation de réciprocité |
| Scarcité | "Il n'en reste que 3 — achetez maintenant" (manipulation de l'anxiété de manque) |
| Technique | Description | Spécificité |
|---|---|---|
| Phishing | Email frauduleux massif imitant une organisation légitime | Large public, pas ciblé |
| Spear Phishing | Phishing très ciblé sur une personne ou organisation spécifique | Personnalisé avec OSINT |
| Whaling | Spear phishing ciblant les cadres dirigeants (CEO, CFO) | Enjeux financiers élevés (BEC) |
| Vishing | Voice Phishing — appel téléphonique frauduleux | Support IT, banque, impôts |
| Smishing | SMS Phishing — message texte frauduleux | Lien malveillant ou numéro surtaxé |
| Pharming | Manipulation du DNS pour rediriger vers un site malveillant | Pas de lien dans l'email — le site légitime est détourné |
| Clone Phishing | Copie exacte d'un email légitime avec liens remplacés | Très difficile à détecter |
- Pretexting : créer un faux scénario (prétexte) crédible pour obtenir des informations. Ex: se faire passer pour un auditeur externe demandant des documents.
- Baiting : laisser une clé USB infectée dans un parking ou une salle de réunion — la curiosité pousse les gens à la brancher. Ou promesse de contenu gratuit pour télécharger un malware.
- Tailgating / Piggybacking : accès physique non autorisé en suivant de près une personne autorisée. Profiter qu'une porte s'ouvre pour entrer sans s'authentifier.
- Quid Pro Quo : offrir quelque chose en échange d'informations ("je vous aide avec votre PC si vous me donnez votre mot de passe").
- Shoulder Surfing : observer par-dessus l'épaule d'une personne pour voir ses mots de passe ou données sensibles.
- Dumpster Diving : fouiller les poubelles pour trouver des documents contenant des informations sensibles (organigrammes, mots de passe, documents internes).
- Business Email Compromise (BEC) : usurpation d'un email d'un dirigeant (ou compromission réelle du compte) pour demander des virements frauduleux ou des informations.
- Typosquatting : enregistrer un domaine similaire au domaine légitime (gooogle.com, paypa1.com) pour piéger les victimes.
Scénario BEC : Un comptable reçoit un email du "PDG" (adresse usurpée ou compte compromis) lui demandant de virer urgement 200 000 € à un nouveau fournisseur. "C'est urgent et confidentiel — ne le mentionnez à personne." L'urgence, l'autorité et la confidentialité sont des drapeaux rouges caractéristiques d'un BEC. Solution : procédure de vérification hors-bande (appel téléphonique) pour tout virement non standard.
- Formation et sensibilisation : la première et la plus importante défense. Formation régulière, tests de phishing simulés.
- SPF, DKIM, DMARC : contrôles de sécurité email pour prévenir l'usurpation de domaine (email spoofing).
- Anti-phishing dans les clients mail : filtrages, alertes sur emails externes, avertissements sur les domaines suspects.
- MFA : même si les credentials sont volés via phishing, le MFA empêche l'accès (sauf si MFA bombing).
- Procédures de vérification : pour tout demande inhabituelle (virement, changement de compte), vérifier hors-bande (appel au numéro connu, pas celui fourni dans l'email).
Astuce Examen
SPF = liste des serveurs autorisés à envoyer pour ce domaine. DKIM = signature cryptographique de l'email. DMARC = politique définissant que faire si SPF/DKIM échouent (quarantine, reject, none). Pour prévenir l'email spoofing : implémenter SPF + DKIM + DMARC ensemble.