ITSkillsCenter
Cybersécurité

Tutoriel : Comprendre les attaques par ingénierie sociale

8 min de lecture

L’ingenierie sociale : la menace la plus dangereuse

L’ingenierie sociale exploite la psychologie humaine plutot que les failles techniques pour obtenir des informations confidentielles ou pousser a des actions dangereuses. Au Senegal, c’est la methode d’attaque la plus repandue : pas besoin de competences en hacking quand on peut simplement convaincre quelqu’un de donner son code PIN Wave ou ses identifiants bancaires.

Selon les statistiques, plus de 90% des cyberattaques reussies commencent par de l’ingenierie sociale. Ce guide vous apprend a reconnaitre ces manipulations et a vous en proteger.

Les 6 principes psychologiques exploites

Robert Cialdini a identifie les leviers de persuasion que les attaquants utilisent systematiquement :

Principe Comment l’attaquant l’utilise Exemple concret au Senegal
Autorite Se fait passer pour un superieur, un agent de police, un employe de banque « Je suis du service securite d’Orange, votre compte est compromis »
Urgence Cree une pression temporelle pour empecher la reflexion « Vous avez 15 minutes pour confirmer sinon votre compte Wave est bloque »
Reciprocite Offre quelque chose d’abord pour creer une obligation « J’ai credite votre compte de 5000 FCFA par erreur, renvoyez-moi 4000 »
Rarete Presente une opportunite unique qui va disparaitre « Offre speciale Expresso : 10 Go pour 1000 FCFA, tapez ce code USSD maintenant »
Sympathie Se montre amical, flatteur, ou partage des points communs « Mon frere, je suis aussi de Touba, aide-moi juste avec ce transfert »
Preuve sociale Pretend que tout le monde le fait deja « Tous tes collegues ont deja donne leurs infos pour la mise a jour du systeme »

Les types d’attaques par ingenierie sociale

1. Phishing (hameconnage)

L’attaque la plus courante. L’attaquant envoie des messages imitant une entite de confiance pour voler des informations :

  • Email phishing : faux email de votre banque avec un lien vers un faux site de connexion
  • SMS phishing (smishing) : « CBAO : Acces non autorise detecte, verifiez ici : cbao-securite.com » (faux domaine)
  • WhatsApp phishing : tres repandu au Senegal. Message d’un « ami » dont le compte est pirate demandant de l’aide financiere urgente
  • Voice phishing (vishing) : appel telephonique se faisant passer pour un agent Orange Money ou Wave

Comment detecter :

  • Verifiez l’URL : cbao.sn est legitime, cbao-securite.com ne l’est pas
  • Survolez les liens avant de cliquer (sur PC) ou appuyez longuement (sur mobile)
  • Les fautes d’orthographe et la mise en forme approximative sont des indices
  • Aucune banque ou service ne demande vos identifiants par email, SMS ou telephone

2. Spear phishing (hameconnage cible)

Contrairement au phishing de masse, le spear phishing vise une personne precise avec des informations personnalisees :

  • L’attaquant etudie votre profil LinkedIn, Facebook, vos publications
  • Il sait votre nom, votre poste, vos collegues, vos projets en cours
  • Le message est credible car il contient des details vrais

Exemple reel : un comptable d’une entreprise a Dakar recoit un email de son « directeur » (adresse email tres similaire) lui demandant de faire un virement urgent de 2 millions FCFA a un fournisseur. Le directeur etant en deplacement, le comptable ne peut pas verifier en personne et execute le virement. C’etait une fraude (arnaque au president / BEC).

3. Pretexting (mise en scene)

L’attaquant cree un scenario elabore pour gagner votre confiance :

  • Se fait passer pour un technicien informatique venu « reparer un probleme »
  • Appelle en se presentant comme un employe de la DGI (impots) pour verifier votre NINEA
  • Pretend etre un auditeur de la banque qui fait un « controle de routine »

4. Baiting (appat)

L’attaquant laisse un appat physique ou numerique :

  • Cle USB piegee : une cle USB « oubliee » dans le parking ou la salle d’attente de votre entreprise. La curiosite pousse a la brancher
  • Telechargement gratuit : « Telecharger Sage Comptabilite gratuit » – en realite un malware
  • WiFi gratuit : un point d’acces WiFi ouvert « WiFi_Gratuit_Dakar » mis en place pour intercepter vos donnees

5. Tailgating / Piggybacking (acces physique)

L’attaquant entre dans un batiment securise en suivant un employe :

  • Porte un uniforme de livreur ou de technicien
  • Porte des cartons et demande qu’on lui tienne la porte
  • Se presente a l’accueil avec un faux rendez-vous

6. Quid pro quo

L’attaquant offre un service en echange d’informations :

  • « Je suis du support technique, je peux resoudre votre probleme si vous me donnez votre mot de passe »
  • « Remplissez ce sondage pour gagner 10 000 FCFA de credit telephonique » (collecte de donnees personnelles)

Arnaques par ingenierie sociale courantes au Senegal

L’arnaque WhatsApp du « proche en difficulte »

Scenario : vous recevez un message WhatsApp d’un numero inconnu avec la photo de profil de votre ami/parent disant : « Salut, j’ai change de numero. J’ai un probleme urgent, peux-tu m’envoyer 50 000 FCFA par Wave ? Je te rembourse demain. »

Defense : appelez TOUJOURS votre proche sur son ancien numero pour verifier. Ne faites jamais de transfert suite a un message d’un « nouveau numero ».

L’arnaque au code de verification

Scenario : quelqu’un vous contacte et vous dit qu’il a envoye un code par erreur sur votre numero, et vous demande de le lui renvoyer. Ce code est en realite le code de verification pour prendre le controle de votre WhatsApp ou Wave.

Defense : ne partagez JAMAIS un code recu par SMS, meme si la personne pretend que c’est le sien.

L’arnaque USSD Orange Money

Scenario : on vous demande de taper un code comme *144*1*NUMERO*MONTANT# en vous faisant croire que c’est pour recevoir de l’argent. En realite, c’est la commande pour ENVOYER de l’argent.

Defense : ne tapez jamais un code USSD dicte par quelqu’un d’autre. Si vous ne comprenez pas ce que fait un code USSD, ne l’executez pas.

La fausse offre d’emploi

Scenario : offre d’emploi attractive sur Facebook ou par email demandant des « frais de dossier » de 25 000 FCFA via Wave, ou collectant vos pieces d’identite (CNI, passeport) pour du vol d’identite.

Defense : un employeur legitime ne demande jamais d’argent au candidat. Verifiez l’existence de l’entreprise sur le RCCM.

Le faux support technique

Scenario : popup sur votre ecran « Votre ordinateur est infecte ! Appelez le 33 XXX XX XX immediatement ». L’operateur installe ensuite un logiciel de prise en main a distance.

Defense : fermez le navigateur (Ctrl + W ou Alt + F4). Aucun message de securite legitime ne vous demande d’appeler un numero.

Comment se proteger : les reflexes a developper

La methode STOP

  1. Stop : arretez-vous et ne reagissez pas impulsivement
  2. Think (Reflechissez) : est-ce que cette demande est normale ? Est-ce que cette personne devrait me demander ca ?
  3. Observe : verifiez les details (adresse email, numero de telephone, URL, fautes d’orthographe)
  4. Protect : si c’est suspect, coupez la communication et contactez l’entite par ses canaux officiels

10 regles d’or contre l’ingenierie sociale

  1. Ne donnez jamais un mot de passe ou code PIN par telephone, SMS ou email
  2. Verifiez toujours l’identite de votre interlocuteur par un canal different
  3. Ne cliquez pas sur les liens dans les SMS ou emails inattendus
  4. Ne branchez jamais une cle USB trouvee
  5. Ne partagez jamais de codes de verification recus par SMS
  6. Mefiez-vous de l’urgence : si c’est urgent, c’est probablement une arnaque
  7. Verifiez les URL avant de saisir des informations
  8. Ne faites pas de virement sous la pression emotionnelle
  9. Limitez les informations personnelles sur les reseaux sociaux
  10. En cas de doute, dites « je vous rappelle » et contactez l’entite directement

Proteger votre entreprise contre l’ingenierie sociale

Formation des employes

La technologie seule ne suffit pas. Vos employes sont la premiere ligne de defense :

  • Sessions de sensibilisation : organisez des formations trimestrielles avec des exemples reels
  • Tests de phishing internes : envoyez de faux emails de phishing pour mesurer la vigilance. Des outils gratuits comme GoPhish permettent de le faire
  • Procedure d’escalade : definissez clairement a qui signaler un message suspect (responsable IT, direction)
  • Culture du doute : encouragez les employes a poser des questions sans crainte d’etre juges

Procedures anti-fraude pour les PME

  • Double validation : tout virement superieur a 500 000 FCFA doit etre valide par 2 personnes
  • Verification telephonique : tout changement de RIB fournisseur doit etre confirme par appel sur un numero connu
  • Politique de mots de passe : aucun mot de passe ne doit etre communique par email ou telephone, meme entre collegues
  • Visiteurs : badge obligatoire, accompagnement permanent, registre d’entree
  • Cles USB : interdire les cles USB personnelles. Fournir des cles USB chiffrees de l’entreprise

Outils techniques complementaires

  • Filtre anti-phishing : activer les filtres dans Gmail/Outlook + solutions comme Proofpoint pour les entreprises
  • DMARC/SPF/DKIM : configurer ces enregistrements DNS pour empecher l’usurpation de votre domaine email
  • Gestionnaire de mots de passe : deployer Bitwarden Teams pour toute l’equipe
  • 2FA obligatoire : imposer l’authentification a deux facteurs sur tous les comptes professionnels

Que faire si vous etes victime

  1. Ne paniquez pas et ne tentez pas de « pieger » l’attaquant en retour
  2. Changez immediatement tous les mots de passe des comptes potentiellement compromis
  3. Signalez l’incident a votre banque ou operateur mobile (Wave : 33 869 65 65, Orange Money : 145)
  4. Documentez : gardez les preuves (captures d’ecran, emails, numeros de telephone de l’attaquant)
  5. Deposez plainte : rendez-vous a la Division Speciale de Cybersecurite de la police ou a la gendarmerie
  6. Prevenez vos contacts si votre compte a ete pirate pour eviter qu’ils soient a leur tour victimes
  7. Surveillez vos comptes bancaires pendant les semaines suivantes pour detecter des operations suspectes

Exercice pratique : testez votre vigilance

Analysez ces scenarios et identifiez l’attaque :

Scenario Type d’attaque Indice revelateur
« Bonjour, je suis de la SONATEL, nous mettons a jour votre ligne. Confirmez votre code PIN SIM » Vishing + Pretexting Un operateur ne demande jamais le PIN SIM par telephone
Email de « DHL » avec piece jointe « facture_livraison.exe » Phishing + Baiting Extension .exe, DHL ne facture pas par email non sollicite
Votre « patron » sur WhatsApp : « Achete 5 cartes iTunes de 50 000 FCFA chacune et envoie les codes » Spear phishing / BEC Demande inhabituelle, methode de paiement irreversible
SMS : « Felicitations ! Vous avez gagne la loterie Orange. Envoyez 10 000 FCFA de frais de dossier » Phishing + Quid pro quo Payer pour recevoir un gain = toujours une arnaque
« Cle USB trouvee » etiquetee « Salaires 2024 – Confidentiel » Baiting Etiquette concue pour attiser la curiosite
#ingénierie sociale #manipulation #prévention
Besoin d'un site web ?

Confiez-nous la Création de Votre Site Web

Site vitrine, e-commerce ou application web — nous transformons votre vision en réalité digitale. Accompagnement personnalisé de A à Z.

À partir de 350.000 FCFA
Parlons de Votre Projet
Publicité

Articles Similaires