Formation Cybersécurité (Sensibilisation)
Module 2 : Phishing et ingénierie sociale
2.3 Ingénierie sociale : les 6 leviers psychologiques exploités par les attaquants
Au-delà du phishing, l'ingénierie sociale recouvre toutes les techniques de manipulation visant à obtenir un comportement de la cible. Reconnaître les 6 leviers psychologiques universels (Cialdini, 1984) permet de désarmer 90 % des manipulations.
Les 6 leviers psychologiques de Cialdini (1984)
Robert Cialdini, Influence: The Psychology of Persuasion, 1984 — base théorique de toute formation moderne en social engineering
Autorité : la première arme
L'expérience de Milgram (1963) a démontré que les humains obéissent volontiers à une autorité perçue, même contre leurs valeurs morales. Les attaquants exploitent ce levier en se faisant passer pour :
- Un dirigeant de l'entreprise (PDG, DG, DAF, DRH) — fraude au président
- Une autorité publique : police, gendarmerie, fisc, douanes, juge, huissier
- Un service informatique interne : DSI, support technique, RSSI
- Une autorité externe reconnue : banque centrale, CNIL, ANSSI, ACPR
- Un cabinet d'avocats traitant un dossier confidentiel
Marqueurs typiques : usage de titres complets (« Maître Dupont »), références à des numéros de dossier inventés mais crédibles, ton ferme et un peu impatient, refus de tout délai. Plus le titre est impressionnant, plus la cible hésite à demander des justifications — c'est précisément le mécanisme à briser.
Parade : toute autorité légitime accepte d'être vérifiée. Un véritable policier accepte que vous rappeliez le commissariat. Un véritable PDG accepte un coup de fil de confirmation. Si l'interlocuteur refuse la vérification, c'est qu'il y a un problème.
Urgence et rareté : court-circuiter la réflexion
L'urgence et la rareté désactivent le cerveau analytique (système 2 selon Kahneman) au profit du cerveau réactif (système 1). Sous pression, vous agissez avant de réfléchir.
Formules typiques :
- « Action immédiate requise sinon votre compte sera suspendu »
- « Cette offre expire dans 30 minutes »
- « Plus que 3 places disponibles »
- « Le directeur attend votre virement avant la fin de la matinée »
- « Si vous ne validez pas avant ce soir, nous serons contraints de... »
Parade : se forcer à introduire un délai artificiel. Quand une demande arrive avec urgence, prendre volontairement 30 minutes ou 1 heure avant d'agir. Si la demande est légitime, ce délai n'aura aucune conséquence sérieuse. Si elle ne l'est pas, vous aurez le temps de vérifier — et l'attaquant n'attendra pas, ce qui révélera sa nature.
Réciprocité, preuve sociale, sympathie, engagement
Réciprocité : nous sommes câblés pour rendre un service à qui nous en a rendu un. Exploit typique : l'attaquant « rend service » (vous tient la porte d'un bâtiment sécurisé, vous donne une info utile), créant une dette psychologique qu'il monnaie ensuite. La fameuse attaque « tailgating » (suivre une personne badgée dans une porte verrouillée) exploite ce levier — on tient la porte par politesse.
Preuve sociale : nous suivons ce que font les autres, surtout dans l'incertitude. Exploit : « 87 % de vos collègues ont déjà validé ce formulaire / installé cette appli / payé cette facture ». Les chiffres sont inventés mais la pression est réelle.
Sympathie : nous accordons plus à ceux que nous trouvons sympathiques, qui nous ressemblent, qui partagent nos intérêts. Exploit : l'attaquant prend le temps d'établir une relation avant de demander quelque chose (« je vois sur LinkedIn que vous êtes aussi passionné de course à pied, moi aussi ! D'ailleurs, j'aurais besoin de votre aide pour... »). Cette tactique est notamment utilisée par les attaques d'État ciblant les diplomates ou cadres dirigeants.
Engagement / Cohérence : ayant accepté une petite chose, nous sommes plus enclins à accepter une plus grande dans la continuité. C'est la technique du « pied dans la porte ». Exploit typique en plusieurs étapes : sondage anodin (5 min), puis demande de petite information (téléphone), puis demande plus engageante (RIB, identifiants). Chaque étape s'appuie sur la précédente : « vous avez déjà accepté de remplir le sondage, pourquoi refuser de me donner votre téléphone ? ».
L'ingénierie sociale physique : tailgating, piggybacking, dumpster diving
L'ingénierie sociale ne se limite pas au monde numérique. Des attaquants physiques pénètrent des entreprises pour voler du matériel, des documents, ou installer des dispositifs.
- Tailgating : suivre une personne badgée à travers un accès verrouillé. L'attaquant prétend avoir oublié son badge, porte un colis encombrant pour qu'on lui tienne la porte, ou simule une conversation téléphonique pour passer inaperçu.
- Piggybacking : variante du tailgating où la victime sait qu'elle laisse entrer quelqu'un (« mon collègue arrive juste derrière moi »). Souvent involontaire.
- Pretexting : se présenter avec une fausse identité crédible (livreur, technicien, prestataire de ménage, journaliste, stagiaire). L'attaquant a souvent fait du repérage et connaît les noms d'employés réels.
- Dumpster diving : fouiller les poubelles de l'entreprise pour trouver des documents jetés sans destruction (organigrammes, fiches de paie, brouillons, post-its avec mots de passe...).
- Shoulder surfing : regarder par-dessus l'épaule de quelqu'un pour voir son mot de passe ou des informations sensibles. Particulièrement fréquent dans les trains, avions, espaces de coworking.
- Faux distributeurs USB : laisser tomber des clés USB piégées dans le parking ou le hall d'accueil, en pariant que quelqu'un les branchera par curiosité (taux de réussite : ~50 % selon les études).
Parade : sensibilisation à ne jamais laisser passer une personne non identifiée dans un accès sécurisé, même si elle semble crédible. Politiquement : « Désolé, je dois vous demander de présenter votre badge ou de passer par l'accueil. C'est la règle pour tout le monde. » Côté tri des déchets : destruction systématique des documents sensibles (déchiquetage croisé, broyage), même les brouillons.
L'OSINT : le travail de reconnaissance des attaquants
Avant toute attaque ciblée, l'attaquant fait son OSINT (Open Source Intelligence) : collecte d'informations publiquement disponibles sur la cible. Les sources :
- LinkedIn : organigramme complet, postes, projets, technologies utilisées (révélées par compétences listées), absences (vacances visibles sur les posts)
- Site web de l'entreprise : équipes, contacts, fournisseurs, témoignages clients, présentations corporate
- Communiqués de presse : événements à venir, acquisitions, partenariats, dirigeants en déplacement
- Réseaux sociaux personnels : Facebook, Instagram, Twitter — habitudes, opinions, photos de bureaux laissant voir des éléments sensibles (badges, écrans, post-its)
- Conférences et podcasts : intervenants, sujets traités, technologies évoquées
- Bases de données fuitées : HaveIBeenPwned, COMB+, marchés noirs — recoupent les identifiants exposés
- WHOIS, registres officiels : adresses postales, dirigeants déclarés, bilan financier
- Code source public (GitHub) : parfois des secrets oubliés dans le code (clés API, identifiants)
En 1-2 heures d'OSINT, un attaquant compétent peut construire un dossier très complet sur une cible, suffisant pour préparer un spear phishing convaincant. Parade côté entreprise : réduire la surface d'OSINT (politique de communication interne sur LinkedIn, sensibilisation aux photos « inoffensives » de poste de travail), faire régulièrement son propre OSINT pour évaluer ce qu'un attaquant pourrait trouver.
3 scénarios réels d'ingénierie sociale
Le faux livreur
Un homme en uniforme se présente à l'accueil avec un colis « personnel » pour le DG. Demande à monter le porter en personne. Une fois à l'étage, exploite l'accès pour installer un dispositif réseau ou voler des documents.
L'urgence du PDG
Email du « PDG » (en déplacement et injoignable) à la comptable : virement confidentiel et urgent pour une acquisition stratégique. Le RIB est nouveau, le montant inhabituel, mais le ton est ferme et l'urgence pressante.
Le faux support IT
Appel du « support informatique » signalant un incident sur le poste de la victime. Demande d'installer un outil de prise de main à distance pour résoudre le problème. Une fois installé, l'attaquant a un accès complet à la machine.
Les défenses universelles contre l'ingénierie sociale
5 défenses universelles qui neutralisent la quasi-totalité des techniques d'ingénierie sociale, quel que soit le canal :
- Vérification par canal indépendant : toujours rappeler ou écrire via un canal séparé de celui de la demande (téléphone à un numéro connu, pas celui de l'email)
- Délai de réflexion : s'imposer 30 minutes à 1 heure avant toute action conséquente (virement, divulgation, installation)
- Respect strict des procédures internes : suivre le workflow de validation même si la demande semble venir d'un dirigeant qui « court-circuite »
- Signalement systématique du moindre doute à la DSI / RSSI, sans crainte de paraître paranoïaque
- Politique du « si quelque chose semble bizarre, c'est probablement bizarre » — faire confiance à son intuition
Côté management : ne jamais court-circuiter les procédures de sécurité, même pour aller plus vite. Quand la direction respecte le workflow, les équipes le respectent. Quand le PDG passe outre, ses équipes apprennent que les règles ne sont pas si strictes — et l'ingénierie sociale a alors libre cours.
À retenir
- 6 leviers Cialdini : autorité, urgence/rareté, réciprocité, preuve sociale, sympathie, engagement.
- L'autorité légitime accepte d'être vérifiée. Toujours rappeler à un numéro connu.
- Urgence artificielle = signal d'alerte. Imposer un délai de 30 min pour casser la pression.
- Ingénierie sociale physique : tailgating, faux livreur, dumpster diving, shoulder surfing, USB.
- OSINT : l'attaquant collecte 1-2 h avant de cibler. Réduire sa surface publique.
- 5 défenses universelles : canal indépendant, délai, procédure, signalement, intuition.