Lancement du Mois européen de la cybersécurité sur le thème de l’ingénierie sociale

02.10.2023 - En octobre se tient le Mois européen de la cybersécurité (European Cybersecurity Month, ECSM). Cette vaste campagne annuelle, organisée conjointement par l’Agence de l’Union européenne pour la cybersécurité (ENISA) et les États membres, a pour thème cette année l’ingénierie sociale. En sa qualité de partenaire de l’ENISA, le NCSC joue un rôle actif dans la campagne. Pour attirer l’attention de la population sur la question de l’ingénierie sociale, il a élaboré avec différentes organisations des contenus spécifiques pour les jeunes, pour les personnes actives et pour les seniors. Les réseaux partenaires se chargent de diffuser les contenus de la campagne dans toute la Suisse.

En plus de maîtriser les aspects techniques, les cybercriminels savent souvent habilement tromper leurs victimes. Quand ils ont recours à la manipulation psychologique pour obtenir de l’argent ou des informations de grande valeur, on parle d’ingénierie sociale. Celle-ci consiste à exploiter certains traits fondamentaux de l’être humain comme la convoitise, la confiance, la curiosité, la peur ou le respect des autorités. Tout l’art est d’endormir la méfiance. Chantal Billaud, directrice suppléante à la Prévention suisse de la criminalité (PSC), est confrontée au quotidien à de telles pratiques. Elle nous en dit plus sur l’ingénierie sociale ci-dessous.

Manipulation psychologique dans la sphère de la cybercriminalité – entretien réalisé par le NCSC avec Chantal Billaud de la PSC

Qu’est-ce que l’ingénierie sociale?
L’ingénierie sociale est un terme tiré de l’anglais «social engineering» qui est apparu avec l’essor de la cybercriminalité. Cette pratique consiste pour les cybercriminels à manipuler les personnes au moyen de différentes techniques dans le but, par exemple, de mettre la main sur leurs données, d’obtenir l’accès à leurs appareils numériques, ou encore de leur dérober de l’argent.

Comment évaluez-vous le risque actuel dû à l’ingénierie sociale?
Les cybercriminels usent de telles techniques depuis l’apparition des cyberdélits. Comme les experts ne cessent de le répéter, c’est l’humain qui est le principal maillon faible de la cybersécurité. Le risque reste donc d’actualité et d’importance. C’est pourquoi la sensibilisation est primordiale. Le fait est que plus les mesures techniques supplémentaires de protection s’améliorent, moins les tentatives d’ingénierie sociale ont de chances d’aboutir.

Quelles sont les caractéristiques essentielles de l’ingénierie sociale sous l’angle psychologique, d’une part, et sous l’angle criminologique, d’autre part?
On ne saurait appréhender ces deux angles séparément. Sous l’angle psychologique, on se place dans l’optique de la victime et, sous l’angle criminologique, dans l’optique de l’agresseur. Or, la victimologie (hypothèses et théories sur les facteurs de victimisation) relève aussi de la criminologie et, donc, les deux disciplines s’intéressent à la même chose; les cybercriminels misent sur certaines faiblesses humaines pour obtenir les accès ou les informations qu’ils convoitent. Selon le type d’escroquerie, différentes vulnérabilités (optique de la victime) donnent lieu à des manipulations spécifiques (optique de l’agresseur). Les faiblesses exploitées vont du besoin d’amour au pur appât du gain. Quant aux manipulations exercées, elles vont de l’envoi d’un simple spam faisant miroiter un gain à une loterie espagnole jusqu’à un travail d’espionnage de plusieurs heures ou jours mené auprès des décideurs de l’entreprise visée.

L’ingénierie sociale implique notamment de mettre en confiance les personnes ciblées. Comment s’y prennent les cybercriminels?
La manipulation exercée ne peut fonctionner que si la personne est en confiance. À la différence du piratage technique, les escrocs essaient d’amener leurs cibles à effectuer une action à leur profit, par exemple à leur communiquer leur mot de passe, à les laisser accéder à leur ordinateur, à cliquer sur un lien, à ouvrir une pièce jointe ou à utiliser une clé USB infectée. Pour faire une analogie évocatrice, le piratage s’apparente au vol par effraction classique, et le vol de données avec manipulation psychologique au vol à l’astuce. Dans le premier cas, les criminels fracturent la porte et, dans le second, ils s’introduisent par ruse chez leur victime. Sur le terrain psychologique, les individus qui se livrent à l’ingénierie sociale doivent non seulement savoir gagner la confiance des personnes, mais aussi maîtriser les autres formes de manipulation qui leur permettront d’atteindre la cible visée.      

Pourriez-vous nous donner un exemple concret?
Des exemples d’ingénierie sociale, on en voit tous les jours. Tout courriel de fraude au paiement anticipé fait intervenir des méthodes d’ingénierie sociale, et il en va de même des courriels de hameçonnage et des demandes de contact reçues sur les réseaux sociaux de la part d’inconnus (beaux, passionnément amoureux et accomplis). L’arnaque aux sentiments, aussi appelée «romance scam» ou «love scam», est une forme d’escroquerie typique, fondée sur la manipulation psychologique. Les escrocs consacrent toute leur énergie criminelle à créer un lien de confiance et à établir une situation de dépendance émotionnelle.

Le magazine des consommateurs Kassensturz/Espresso en a donné un excellent exemple: https://www.srf.ch/sendungen/kassensturz-espresso/multimedia-teil-1-honey-i-miss-you-so-much.

Le mode opératoire est toujours le même: obtenir la confiance de la victime, gagner son cœur pour la réduire à un état de dépendance émotionnelle, simuler un coup dur, en appeler à l’amour et au dévouement de l’autre et lui demander de l’argent afin que la rencontre puisse enfin avoir lieu. Les échanges peuvent se poursuivre durant des mois, voire des années.

Qui sont les victimes de l’ingénierie sociale?
Comme je l’ai déjà dit, tout le monde est confronté au quotidien à l’ingénierie sociale. Pour que la tentative de manipulation aboutisse, la victime doit être dans un état de grande faiblesse. Si de plus ses compétences médiatiques sont faibles ou si elle sous-estime les possibilités de manipulation sur la toile, l’escroquerie aura davantage de chances de succès.

En bref, personne n’est à l’abri des cybercriminels, qui savent tirer parti de toutes sortes de vulnérabilités. Et qui de nous n’a pas parfois un moment de faiblesse? La PSC a rédigé un article sur la question: https://www.skppsc.ch/fr/qui-craque-pour-les-escrocs/.

Comment les cybercriminels trouvent-ils leurs victimes? Les choisissent-ils sur la base de caractéristiques spécifiques?
J’en reviens à mon analogie avec le vol par effraction: les malfaiteurs en quête de petits montants se servent d’outils simples et exploitent toutes les opportunités qui s’offrent à eux. Ils frappent tous azimuts. Dans les cas où les mesures de sécurité sont insuffisantes, l’intrusion réussit sans peine, tandis que dans les autres, il leur faut repartir bredouilles.

C’est pareil avec les spams. Les mêmes tentatives de manipulation et de vol de données sont menées à l’encontre d’un très grand nombre de personnes. Quelques-unes tombent dans le panneau, alors que toutes les autres effacent le message.

Quand des cybercriminels cherchent à faire une grosse prise, ils se préparent plus soigneusement, comme un bandit qui voudrait dévaliser une banque. Dans le cas de l’arnaque au président par exemple, les escrocs effectuent souvent un gros travail de préparation: ils espionnent les données de l’entreprise, s’informent sur les décideurs, etc. Ce faisant, ils mettent toutes les chances de leur côté et le butin s’annonce bien plus élevé. La recette est donc la même que pour la criminalité classique (et d’ailleurs pour toute transaction légale): plus le gain espéré est élevé, et plus les préparatifs seront minutieux.

Un autre point encore: les cybercriminels qui ont recours à des spams ou à d’autres envois de masse n’ont quasiment rien à faire au départ mais se démènent – dans le contexte de l’ingénierie sociale notamment – dès que quelqu’un a «mordu à l’hameçon». Dans le cas de l’arnaque aux sentiments ou encore de la fraude à l’investissement, ils consacrent beaucoup de temps et d’énergie à ferrer leur victime. Ils lui écrivent, lui téléphonent et cherchent à la convaincre par tous les moyens de la véracité de leur proposition (pactole en bitcoins, demande en mariage d’un éminent professeur canadien, etc.).

Y a-t-il un lien entre la situation personnelle et la probabilité d’être victime d’ingénierie sociale (p. ex. sentiment subjectif de manque d’argent, de prestige, ou encore d’affection ou d’attention)?
Comme vous l’aurez compris, pour qu’une escroquerie réussisse, l’appât doit plaire au poisson.

Les victimes d’ingénierie sociale ont souvent honte d’être tombées dans le piège. Que leur dites-vous?
Nous constatons en effet, dans le cadre d’arnaques aux sentiments notamment, qu’au-delà de la perte financière subie, les victimes perdent totalement confiance en autrui et surtout qu’elles se méfient de leurs propres émotions. Nous nous attachons à attirer leur attention sur la perfidie et le professionnalisme des cybercriminels, et sur le fait que personne ou presque n’est à l’abri. En outre, la police sévit contre les actes criminels et non contre les sentiments légitimes des personnes lésées. Ce sont les auteurs de telles fraudes qui devraient avoir honte et non les victimes, mais nous ne pouvons hélas rien faire à ce niveau.

Quelles sont les conséquences financières et émotionnelles de l’ingénierie sociale?
La perte dépend de la situation concrète. Les dégâts seront d’autant plus importants que les victimes se sont impliquées émotionnellement, comme dans les cas d’arnaque aux sentiments, qui sont généralement les pires sur ce plan-là. Il existe des groupes d’entraide pour les victimes de telles arnaques. Dans les cas graves, nous recommandons un soutien psychothérapeutique.

Par ailleurs, une escroquerie implique toujours une perte financière, dont la gravité dépend fortement du rapport entre le montant perdu et la fortune totale de la personne.

Le montant du préjudice subi ne donne donc qu’une indication relative de son impact.

À quoi reconnaît-on l’ingénierie sociale et comment peut-on s’en protéger?
Il s’agit d’une activité bien trop complexe et évolutive pour qu’il soit possible de donner une réponse générale à cette question. L’adage qui dit que si quelque chose semble trop beau pour être vrai, ça l’est probablement, peut servir de guide en l’espèce. Qu’est-ce que cela implique toutefois pour une personne financièrement aux abois qui, en désespoir de cause, accepte une offre censée résoudre tous ses problèmes? Il est difficile de garder la tête froide en pareilles circonstances. D’où le conseil suivant: si une proposition – financière ou sentimentale – vous semble particulièrement bienvenue et séduisante, réfléchissez-y avant d’y donner suite. De fait, afin que les personnes n’aient pas le temps de la réflexion, les cybercriminels les mettent généralement sous pression. Il est également recommandé d’impliquer ses amis et ses proches, qui porteront souvent un regard plus neutre sur les faits. Souvent aussi, il vaut la peine de consulter Google. Car si les méthodes d’escroquerie évoluent rapidement, la toile réagit elle aussi très vite et, bien souvent, les premières victimes postent des messages en ligne. En cas de doute, il est également possible de s’adresser à la PSC ou à la police cantonale.

Qu’aimeriez-vous encore dire pour terminer aux personnes qui nous lisent?
Sur Internet, absolument tout ce qui est susceptible d’être manipulé et utilisé à mauvais escient l’est toujours. Et de telle façon qu’il est impossible aux internautes de démêler le vrai du faux. En outre, la situation promet de s’aggraver encore considérablement avec le recours à l’intelligence artificielle. Par conséquent, une saine méfiance est de mise et, en cas de doute, il faudrait toujours s’adresser à des experts et à des personnes de confiance du monde physique.

Pour en savoir plus:

Dernière modification 02.10.2023

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/2023/ecsm-2023-start.html