L’ingénierie sociale est une technique de manipulation psychologique utilisée pour amener une personne à révéler des informations confidentielles ou à effectuer une action compromettante (ex. : cliquer sur un lien, transférer de l’argent, donner un mot de passe).
L’usurpation d’identité est l’une de ses formes les plus courantes :
L’attaquant se fait passer pour quelqu’un de légitime (collègue, supérieur, service informatique, partenaire) afin de gagner la confiance de la victime et obtenir des accès, des données ou des privilèges.
Contrairement aux attaques techniques (exploits, ransomwares), l’ingénierie sociale cible le maillon humain souvent le plus vulnérable… mais aussi le plus résilient, s’il est formé.
Mécanismes typiques d’usurpation d’identité
| Technique | Comment ça marche | Exemple concret |
|---|---|---|
| Phishing par email | Envoi d’un message imitant une source de confiance | « Bonjour Agnès, votre compte Google Drive va être suspendu. Cliquez ici pour le vérifier. » (lien vers faux site de login) |
| Appel vocal (vishing) | Appel téléphonique se faisant passer pour le support IT | « Ici le RSSI central, nous détectons une intrusion sur votre NAS. Veuillez désactiver temporairement le chiffrement… » |
| Usurpation interne | Utilisation d’un compte compromis pour envoyer des messages « normaux » | Un collègue dont la messagerie est piratée vous demande : « Peux-tu me renvoyer la dernière sauvegarde chiffrée ? » |
| Usurpation externe crédible | Création d’une fausse identité cohérente (site web, email pro, LinkedIn) | Un « consultant en accessibilité » vous contacte pour « auditer votre WordPress » — en réalité, il cherche des failles |
Objectifs de l’attaquant
- Obtenir des identifiants (login/mot de passe, clés SSH)
- Accéder à des systèmes internes (NAS, serveurs, bases de données)
- Déclencher un transfert d’argent (fraude au président)
- Installer un malware ou un backdoor
- Contourner l’authentification multifacteur (via phishing interactif)
Comment s’en prémunir ? (bonnes pratiques)
1. Vérification systématique
- Jamais d’action sensible sans confirmation hors canal : si un email demande une action critique, appeler la personne (avec un numéro connu, pas celui de la signature !).
- Utiliser des canaux de communication séparés pour valider les demandes inhabituelles.
2. Culture de la méfiance bienveillante
- Former les équipes à remettre en question poliment :
« Désolé, je dois vérifier — peux-tu m’appeler depuis ton poste fixe ? » - Normaliser le refus : dire non à une demande suspecte ne doit pas être perçu comme de la défiance personnelle.
3. Principes de sécurité renforcés
- Authentification forte (MFA) sur tous les accès critiques (Google Workspace, GitHub, Hetzner, etc.)
- Moindres privilèges : limiter qui peut accéder à quoi (ex. : pas de droits admin sur le NAS pour tous)
- Audit des accès : surveiller les connexions inhabituelles (pays, heure, IP)
4. Simulations régulières
- Organiser des tests de phishing internes (outils open source comme GoPhish)
- Débrider la discussion après : « Tu as cliqué ? Super, parlons-en — ce n’est pas une erreur, c’est une occasion d’apprendre. »