Qu’est-ce que l’ingénierie sociale ? Types et conseils

En matière de cybersécurité, le talon d’Achille est souvent le facteur humain. Les entreprises peuvent déployer les logiciels de détection d’intrusion et antivirus les plus récents, basés sur l’IA, mais un seul collaborateur piégé peut ouvrir la porte à un attaquant. C’est précisément ce que vise l’ingénierie sociale : les individus et leurs émotions.

Contrairement aux attaques techniques qui exploitent les failles des logiciels ou des systèmes, ces attaques peuvent se dissimuler dans les communications quotidiennes. Elles peuvent se présenter sous forme d’emails, d’appels téléphoniques, de liens d’apparence anodine, ou même parfois d’un site Web de confiance piraté.

Notre guide vous donne la définition de l’ingénierie sociale et les tactiques que les escrocs utilisent pour manipuler leurs victimes. Il vous offre également des mesures de défense pratiques pour détecter et éviter ces escroqueries.

Qu’est-ce qu’une attaque par ingénierie sociale ?

L’ingénierie sociale est une forme de manipulation psychologique qui incite les individus à entreprendre des actions qui fragilisent la sécurité. Ces actions peuvent inclure :

• Partage d’identifiants de connexion
• Validation de paiements frauduleux
• Installation de malwares
• Octroi d’accès à des systèmes protégés et restreints

Plutôt que d’exploiter des failles de code ou d’infrastructure, les attaquants exploitent les réactions humaines prévisibles et suscitées par l’urgence, la peur, la curiosité ou l’autorité. C’est pourquoi cette approche est parfois qualifiée de « piratage humain ».

Ils étudient la façon dont les individus réagissent aux déclencheurs émotionnels, puis utilisent ces pressions pour contourner leur vigilance. Comme l’action est volontaire, ces attaques peuvent franchir les firewalls et autres défenses techniques.

L’ingénierie sociale n’est souvent que la première étape. Une fois l’accès au réseau établi, les attaquants peuvent s’accorder des permissions dans le système, déployer des malwares, voler des données ou se déplacer au sein des réseaux.

Comment fonctionne l’ingénierie sociale ?

Les attaques par ingénierie sociale se déroulent généralement par étapes, chaque interaction étant conçue pour paraître routinière et crédible. Les attaquants commencent par recueillir des informations sur leur cible. Les profils publics, les informations professionnelles, les données issues de précédentes violations de données et les activités en ligne quotidiennes fournissent souvent suffisamment de contexte pour élaborer une approche convaincante.

Grâce à ces informations, l’attaquant prend contact de manière à s’intégrer aux flux de travail habituels. Les messages peuvent sembler provenir de l’équipe informatique, d’un établissement financier, d’un fournisseur ou d’un collègue, faisant souvent référence à des systèmes, des noms ou des processus réels pour renforcer leur légitimité. Ils sont souvent formulés de manière à paraître urgents (« votre compte sera bloqué »), officiels (« vérification de sécurité par le fisc ») ou alléchants (« récompense disponible et à demander »), créant ainsi une réaction émotionnelle qui prend le pas sur le jugement éclairé.

Une fois la confiance établie, l’attaquant exerce une pression ou une incitation pour provoquer une action, comme l’ouverture d’une pièce jointe. Par exemple, en septembre 2023, des pirates informatiques ont infiltré le système de MGM Resorts en passant un simple appel téléphonique au service d’assistance informatique, en se faisant passer pour un collaborateur et en demandant une réinitialisation de mot de passe. 

Ce qui rend l’ingénierie sociale particulièrement dangereuse, c’est qu’elle ne repose généralement pas sur des failles techniques. Elle exploite les habitudes routinières : les collaborateurs qui suivent des demandes internes, les utilisateurs qui ignorent rapidement les alertes ou les équipes financières qui font confiance aux factures vérifiées.

Types d’ingénierie sociale

Les différentes attaques par ingénierie sociale exploitent les mêmes faiblesses et émotions humaines, ce qui explique leur similitude. Un email d’hameçonnage (phishing) peut inciter à la manipulation, et un faux appel à l’« assistance technique » peut mener à un échange de services. Dans certains cas, ces tactiques dégénèrent en incidents plus graves tels que des violations de données, des fraudes à l’échelle de l’entreprise ou des vols d’identité.

L’étude des types les plus courants permet de reconnaître rapidement les schémas de manipulation, avant qu’ils ne dégénèrent en dommages réels.

Hameçonnage (emails et messages trompeurs)

L’hameçonnage (phishing) est un message frauduleux qui vous incite à divulguer des données sensibles, à installer un malware, à accorder un accès ou à transférer de l’argent. Il semble être authentique, car les escrocs réutilisent les logos, les formulations et les mises en page d’entreprises légitimes. En 2024, l’hameçonnage était le cybercrime le plus signalé aux États-Unis, avec plus de 193 000 cas enregistrés par le FBI.

Hameçonnage en masse (Spray-and-Pray)

Dans l’hameçonnage en masse, les attaquants envoient des messages identiques au plus grand nombre de personnes possible. Ces messages exploitent souvent des marques connues ainsi que l’urgence pour augmenter les chances de clic. Même un faible taux de réussite peut générer d’importants profits pour les escrocs.

Début 2025, CoGUI a généré plus de 580 millions d’emails frauduleux, se faisant passer pour Amazon, Apple et d’autres grandes entreprises.

Hameçonnage ciblé (Spear Phishing)

Contrairement à l’hameçonnage en masse, l’hameçonnage ciblé est extrêmement précis. Les attaquants effectuent des recherches sur une personne ou un petit groupe spécifique et conçoivent des messages sur mesure à partir de données publiques issues des réseaux sociaux, des sites d’entreprises ou des bases de données de courtiers.

Par exemple, un attaquant spécialisé dans l’hameçonnage ciblé peut envoyer un email semblant provenir d’un collègue et contenant une pièce jointe malveillante ou un lien vers une fausse page de connexion. L’objectif typique est d’obtenir un accès, de voler des données sensibles ou de s’infiltrer au sein d’une organisation.

Lorsque ce type d’attaque ciblée vise des cadres supérieurs ou d’autres personnalités importantes, on parle souvent de « whaling » (une « baleine » étant prise pour cible). Dans certains cas, cela sert de point d’entrée à des escroqueries de plus grande envergure, notamment la compromission de messageries professionnelles. Un cas notoire concerne une entreprise aérospatiale autrichienne qui a été victime d’un email usurpant l’identité de son PDG et a perdu environ 50 millions d’euros.

Hameçonnage vocal (Vishing)

Les auteurs d’attaques par hameçonnage vocal vous contactent par téléphone ou utilisent des messages préenregistrés. Les campagnes d’hameçonnage vocal modernes utilisent parfois des voix générées par IA ou des fichiers audio falsifiés (deepfake) qui imitent de vraies personnes. 

Dans une affaire largement médiatisée impliquant Arup, des criminels ont utilisé la technologie deepfake en temps réel pour usurper l’identité du directeur financier d’Arup et d’autres collègues lors d’un appel vidéo. Les attaquants ont convaincu un collaborateur du secteur financier à Hong Kong de lui transférer 25 millions de dollars.

Arnaques au support sur les réseaux sociaux (Angler Phishing)

Ce type d’hameçonnage exploite la confiance accordée au service client sur les réseaux sociaux. Les attaquants repèrent les plaintes ou les demandes d’assistance, puis répondent depuis de faux comptes d’apparence officielle. Ces messages redirigent les utilisateurs vers de faux liens de soi-disant « vérification » qui permettent de récupérer leurs identifiants.

Hameçonnage par SMS/texte (Smishing)

Les attaquants envoient un SMS qui ressemble à une alerte provenant d’une banque, d’un service de livraison ou d’une autre entité de confiance, généralement accompagné d’un lien sur lequel cliquer. Un exemple classique de smishing est un SMS affirmant : « La livraison de votre colis est retardée. Cliquez sur ce lien pour la reprogrammer » ou « Activité suspecte détectée sur votre compte bancaire, vérifiez ici ». Le lien mène généralement vers une fausse page de connexion qui vole vos identifiants ou vers un site qui infecte votre téléphone avec un malware.

Hameçonnage via les moteurs de recherche

Les escrocs créent de faux sites Web qui imitent des marques ou des services connus et utilisent des publicités payantes ou des techniques de référencement pour apparaître en tête des résultats de recherche. Cliquer sur ces sites peut exposer vos identifiants de connexion ou vos informations de paiement et entraîner des téléchargements malveillants ou des redirections.

Prétextes (histoires d’usurpation d’identité)

Une attaque par prétexte consiste à créer une histoire convaincante pour justifier des demandes inhabituelles. Les escrocs se renseignent sur leurs cibles et usurpent l’identité de personnes de confiance, telles que des techniciens du support informatique, des collaborateurs des ressources humaines ou des auditeurs, tout en imitant le langage, les procédures ou les politiques internes pour paraître légitimes.

Par exemple, un attaquant se faisant passer pour un technicien informatique peut prétendre qu’un audit système a révélé un problème de compte et demander les identifiants de connexion pour « résoudre le problème ». Dans d’autres cas, cette demande peut inciter la victime à télécharger un malware, à envoyer de l’argent à des criminels ou à se nuire à elle-même ou à l’organisation pour laquelle elle travaille. L’objectif est de gagner la confiance de la victime grâce à un récit convaincant et de la persuader d’entreprendre une action risquée.

Compromission des emails professionnels

Cette escroquerie est une fraude très ciblée qui exploite la confiance pour déclencher une action financière spécifique. Les escrocs se font passer pour des dirigeants, des collaborateurs du service financier ou des fournisseurs de confiance après avoir étudié les rôles internes, les flux de travail et les processus de paiement.

Par exemple, un collaborateur du service financier peut recevoir un email semblant provenir d’un cadre supérieur demandant un virement urgent ou une modification des coordonnées bancaires d’un fournisseur. Le message est conçu pour paraître anodin ou confidentiel, mais son but est de transférer des fonds vers un compte contrôlé par un escroc. Ce niveau de personnalisation a engendré d’importantes pertes financières : aux États-Unis, le FBI a recensé 2,7 milliards de dollars de pertes liées à cette fraude pour la seule année 2024.

Quid pro quo

L’escroquerie par quid pro quo (donnant-donnant) repose sur un échange explicite : l’attaquant propose son aide, un service ou une récompense en échange d’informations ou d’un accès. Il s’agit essentiellement d’une tactique de « service contre service » qui exploite la réciprocité.

L’attaquant peut proposer de résoudre un problème, mais demander à la victime d’installer un logiciel d’accès à distance ou de partager ses identifiants dans le cadre de cette « assistance ». Une fois l’accès obtenu, les attaquants peuvent voler des données, installer des logiciels espions ou créer des portes dérobées pour accéder ultérieurement à l’appareil.

Attaque par appât (Baiting)

L’attaque par appât exploite la curiosité ou la cupidité pour vous inciter à télécharger des malwares déguisés en cartes-cadeaux, en accès gratuit à du contenu payant ou en autres « cadeaux ». De nombreuses arnaques se cachent sur de fausses pages de téléchargement présentées comme des outils ou des mises à jour. Cliquer dessus peut installer silencieusement des logiciels espions, enregistreurs de frappe (keyloggers), ou d’autres programmes malveillants. 

L’appâtage physique est également fréquent. Les attaquants peuvent déposer des clés USB infectées sur des parkings, dans des toilettes ou des ascenseurs, avec une étiquette intrigante comme « Données salariales RH » ou « Confidentiel », espérant que quelqu’un les connecte par curiosité ou pour identifier le propriétaire.

Dans un cas signalé, un malware a été découvert dans deux centrales électriques américaines et se serait propagé via des clés USB infectées introduites dans des systèmes sécurisés.

Faux virus (Scareware)

Alors que l’attaque par appât repose sur la tentation, le scareware exploite la peur. Cette tactique utilise des messages alarmistes pour inciter les victimes à télécharger de faux logiciels de sécurité ou à payer pour des services de « nettoyage » inutiles. Elle imite souvent les alertes antivirus ou les avertissements système prétendant que votre appareil est infecté ou en danger. Cliquer sur la fenêtre contextuelle installe un malware ou vous redirige vers des sites d’assistance frauduleux.

Attaque de point d’eau et hameçonnage en session (Watering Hole)

Une attaque par point d’eau se produit lorsque des pirates informatiques injectent du code malveillant dans des sites Web régulièrement visités par un groupe spécifique, tels qu’un forum professionnel ou le site d’un fournisseur. Le simple chargement de la page compromise peut infecter votre appareil sans que vous vous en rendiez compte. 

L’hameçonnage en session repose sur un principe similaire au sein d’une session de navigation active. Au lieu de compromettre le site lui-même, les attaquants injectent de fausses invites ou fenêtres contextuelles pendant que vous utilisez déjà un site Web légitime. Ces invites imitent souvent des demandes de reconnexion, des notifications de mise à jour ou des alertes de sécurité. Comme elles apparaissent au sein d’une session de confiance, elles peuvent paraître crédibles et sont plus difficiles à détecter que les attaques par email ou par téléphone.

Talonnage (Tailgating et Piggybacking)

Le « tailgating » se produit lorsque des attaquants s’introduisent physiquement dans un espace non autorisé, tel qu’un centre de données, à l’insu de la victime. Par exemple, un attaquant peut suivre de près un collaborateur dans un immeuble de bureaux fermé à clé, et bloquer la porte avant qu’elle ne se referme. Cette tactique exploite les comportements de courtoisie courants, comme tenir la porte ouverte pour quelqu’un. 

Le « piggybacking » diffère légèrement : l’attaquant obtient l’accès grâce à l’aide d’un utilisateur autorisé. Cela peut impliquer une session authentifiée active, des appareils sans surveillance ou l’autorisation d’accéder à une zone sécurisée, par exemple lorsqu’une personne tient une porte à accès restreint ouverte ou partage ses identifiants.

Prise de contrôle de compte

Les arnaques par prise de contrôle de compte se propagent via des comptes compromis qui envoient des messages à des amis ou des collègues. Les attaquants utilisent de vrais profils pour envoyer des liens ou des pièces jointes crédibles, ce qui incite les victimes à baisser leur garde. Une fois qu’un contact clique dessus, le malware peut prendre le contrôle de son compte et continuer à propager l’escroquerie.

Catfishing

Les attaques de type « catfishing » (également appelées arnaques relationnelles ou « escroqueries à la manipulation ») exploitent la confiance émotionnelle. Les escrocs tissent de fausses relations à long terme en utilisant des photos volées et des témoignages personnels. Une fois la confiance établie, ils demandent de l’argent ou proposent des investissements frauduleux, souvent sur une période de plusieurs semaines ou mois.

Comment se protéger des attaques par ingénierie sociale

Même les experts en sécurité peuvent se faire piéger par une arnaque si elle paraît crédible et correspond à leurs attentes.

Les firewalls et les antivirus, à eux seuls, ne peuvent empêcher une personne de suivre de fausses instructions d’apparence légitime. La surface d’attaque par ingénierie sociale est si vaste qu’une simple négligence de la part d’un membre de la famille ou d’un collaborateur peut compromettre l’ensemble d’un réseau ou d’une base de données.

Cependant, il est possible de réduire considérablement ce risque en combinant vigilance, bonnes pratiques et outils de sécurité fiables :

• Vérifiez les demandes inattendues : vérifiez systématiquement tout message demandant de l’argent, des identifiants, un accès interne ou des actions inhabituelles, même s’il semble provenir d’un contact connu.
• Examinez attentivement les informations de l’expéditeur : soyez attentifs aux fautes d’orthographe ou aux modifications subtiles dans les adresses électroniques, comme « @paypaIl.com » au lieu de « @paypal.com ».
• Prenez le temps de la réflexion : les escrocs misent sur l’urgence. Si un message exige une action immédiate, prenez votre temps et vérifiez avant de répondre.
• Vérifiez les liens ou pièces jointes inconnus : survolez les liens pour confirmer l’adresse réelle, analysez les fichiers suspects avec un antivirus ou évitez-les tout simplement.
• Ignorez les offres alléchantes : les promotions trop belles pour être vraies, les remboursements soudains ou les notifications de gains cachent généralement un piège.
• Soyez attentifs au ton et au contexte : méfiez-vous des messages au langage étrange, aux formules de salutation inhabituelles ou envoyés à un moment inattendu.
• Évitez de trop partager d’informations en ligne : plus les criminels trouvent de détails vous concernant sur les réseaux sociaux et les courtiers en données, plus il leur est facile de gagner votre confiance.
• Vérifiez la sécurité du site : le protocole HTTPS et l’icône de cadenas indiquent que la connexion est chiffrée, mais ne garantissent pas la légitimité du site. Avant de saisir des données sensibles, vérifiez que le nom de domaine est correctement orthographié et correspond à celui du site Web officiel.
• Utilisez des mots de passe forts : utilisez des mots de passe uniques pour chaque compte et mettez-les à jour régulièrement afin d’éviter qu’une faille de sécurité n’en compromette d’autres.
• Activez l’authentification à deux facteurs : ajoutez une exigence de code à usage unique pour vos connexions chaque fois que cela est possible. 
• Maintenez vos systèmes à jour : activez les mises à jour logicielles automatiques, activez les filtres anti-spam et utilisez un logiciel antivirus fiable.
• Protégez vos activités en ligne avec un VPN : connectez-vous à un service VPN de renom pour protéger votre trafic et votre localisation contre les intercepteurs, notamment sur les réseaux Wi-Fi publics.
• Sensibilisez : encouragez vos collaborateurs ou les membres de votre foyer à signaler les messages suspects et à participer à des formations ou à des simulations d’hameçonnage.

FAQ