Tutoriel : Comprendre les attaques par ingénierie sociale

Pourquoi l’ingénierie sociale est la pire menace au Sénégal ?

Aucun antivirus ne bloque l’ingénierie sociale : ce n’est pas un logiciel à détecter mais un humain (vous) à manipuler. C’est aussi le vecteur n°1 des fraudes mobile money au Sénégal — les pirates n’ont pas besoin d’être hackers, juste convaincants au téléphone ou en WhatsApp. La meilleure défense n’est pas technique mais psychologique : un seul réflexe (« je rappelle plus tard sur un numéro officiel ») bloque 90 % des attaques. Cet article vous donne les patterns pour les reconnaître en 5 secondes.

L’ingenierie sociale : la menace la plus dangereuse

L’ingenierie sociale exploite la psychologie humaine plutôt que les failles techniques pour obtenir des informations confidentielles ou pousser a des actions dangereuses. Au Sénégal, c’est la méthode d’attaque la plus repandue : pas besoin de compétences en hacking quand on peut simplement convaincre quelqu’un de donner son code PIN Wave ou ses identifiants bancaires.

Selon les statistiques, plus de 90% des cyberattaques reussies commencent par de l’ingenierie sociale. Ce guide vous apprend a reconnaitre ces manipulations et a vous en protéger.

Les 6 principes psychologiques exploites

Robert Cialdini a identifie les leviers de persuasion que les attaquants utilisent systematiquement :

Les types d’attaques par ingenierie sociale

1. Phishing (hameçonnage)

L’attaque la plus courante. L’attaquant envoie des messages imitant une entite de confiance pour voler des informations :

• Email phishing : faux email de votre banque avec un lien vers un faux site de connexion
• SMS phishing (smishing) : « CBAO : Accès non autorise détecté, vérifiez ici : cbao-sécurité.com » (faux domaine)
• WhatsApp phishing : très repandu au Sénégal. Message d’un « ami » dont le compte est piraté demandant de l’aide financiere urgente
• Voice phishing (vishing) : appel telephonique se faisant passer pour un agent Orange Money ou Wave

Comment détecter :

• Vérifiez l’URL : cbao.sn est legitime, cbao-sécurité.com ne l’est pas
• Survolez les liens avant de cliquer (sur PC) ou appuyez longuement (sur mobile)
• Les fautes d’orthographe et la mise en forme approximative sont des indices
• Aucune banque ou service ne demande vos identifiants par email, SMS ou téléphone

2. Spear phishing (hameçonnage ciblé)

Contrairement au phishing de masse, le spear phishing vise une personne precise avec des informations personnalisees :

• L’attaquant etudie votre profil LinkedIn, Facebook, vos publications
• Il sait votre nom, votre poste, vos collegues, vos projets en cours
• Le message est credible car il contient des details vrais

Exemple réel : un comptable d’une entreprise a Dakar recoit un email de son « directeur » (adresse email très similaire) lui demandant de faire un virement urgent de 2 millions FCFA a un fournisseur. Le directeur etant en deplacement, le comptable ne peut pas vérifier en personne et exécute le virement. C’etait une fraude (arnaque au president / BEC).

3. Pretexting (mise en scene)

L’attaquant crée un scenario elabore pour gagner votre confiance :

• Se fait passer pour un technicien informatique venu « réparer un problème »
• Appelle en se presentant comme un employe de la DGI (impots) pour vérifier votre NINEA
• Pretend être un auditeur de la banque qui fait un « contrôle de routine »

4. Baiting (appat)

L’attaquant laisse un appat physique ou numérique :

• Clé USB piegee : une clé USB « oubliee » dans le parking ou la salle d’attente de votre entreprise. La curiosite pousse a la brancher
• Téléchargement gratuit : « Télécharger Sage Comptabilite gratuit » – en réalité un malware
• WiFi gratuit : un point d’accès WiFi ouvert « WiFi_Gratuit_Dakar » mis en place pour intercepter vos données

5. Tailgating / Piggybacking (accès physique)

L’attaquant entre dans un batiment sécurisé en suivant un employe :

• Porte un uniforme de livreur ou de technicien
• Porte des cartons et demande qu’on lui tienne la porte
• Se présente a l’accueil avec un faux rendez-vous

6. Quid pro quo

L’attaquant offre un service en echange d’informations :

• « Je suis du support technique, je peux résoudre votre problème si vous me donnez votre mot de passe »
• « Remplissez ce sondage pour gagner 10 000 FCFA de credit telephonique » (collecte de données personnelles)

Arnaques par ingenierie sociale courantes au Sénégal

L’arnaque WhatsApp du « proche en difficulte »

Scenario : vous recevez un message WhatsApp d’un numéro inconnu avec la photo de profil de votre ami/parent disant : « Salut, j’ai change de numéro. J’ai un problème urgent, peux-tu m’envoyer 50 000 FCFA par Wave ? Je te rembourse demain. »

Defense : appelez TOUJOURS votre proche sur son ancien numéro pour vérifier. Ne faites jamais de transfert suite a un message d’un « nouveau numéro ».

L’arnaque au code de vérification

Scenario : quelqu’un vous contacte et vous dit qu’il a envoyé un code par erreur sur votre numéro, et vous demande de le lui renvoyer. Ce code est en réalité le code de vérification pour prendre le contrôle de votre WhatsApp ou Wave.

Defense : ne partagez JAMAIS un code reçu par SMS, même si la personne pretend que c’est le sien.

L’arnaque USSD Orange Money

Scenario : on vous demande de taper un code comme *144*1*NUMERO*MONTANT# en vous faisant croire que c’est pour recevoir de l’argent. En réalité, c’est la commande pour ENVOYER de l’argent.

Defense : ne tapez jamais un code USSD dicte par quelqu’un d’autre. Si vous ne comprenez pas ce que fait un code USSD, ne l’executez pas.

La fausse offre d’emploi

Scenario : offre d’emploi attractive sur Facebook ou par email demandant des « frais de dossier » de 25 000 FCFA via Wave, ou collectant vos pieces d’identité (CNI, passeport) pour du vol d’identité.

Defense : un employeur legitime ne demande jamais d’argent au candidat. Vérifiez l’existence de l’entreprise sur le RCCM.

Le faux support technique

Scenario : popup sur votre écran « Votre ordinateur est infecte ! Appelez le 33 XXX XX XX immédiatement ». L’opérateur installe ensuite un logiciel de prise en main a distance.

Defense : fermez le navigateur (Ctrl + W ou Alt + F4). Aucun message de sécurité legitime ne vous demande d’appeler un numéro.

Comment se protéger : les reflexes a développer

La méthode STOP

1. Stop : arretez-vous et ne reagissez pas impulsivement
2. Think (Reflechissez) : est-ce que cette demande est normale ? Est-ce que cette personne devrait me demander ca ?
3. Observe : vérifiez les details (adresse email, numéro de téléphone, URL, fautes d’orthographe)
4. Protect : si c’est suspect, coupez la communication et contactez l’entite par ses canaux officiels

10 règles d’or contre l’ingenierie sociale

1. Ne donnez jamais un mot de passe ou code PIN par téléphone, SMS ou email
2. Vérifiez toujours l’identité de votre interlocuteur par un canal différent
3. Ne cliquez pas sur les liens dans les SMS ou emails inattendus
4. Ne branchez jamais une clé USB trouvee
5. Ne partagez jamais de codes de vérification reçus par SMS
6. Mefiez-vous de l’urgence : si c’est urgent, c’est probablement une arnaque
7. Vérifiez les URL avant de saisir des informations
8. Ne faites pas de virement sous la pression emotionnelle
9. Limitez les informations personnelles sur les réseaux sociaux
10. En cas de doute, dites « je vous rappelle » et contactez l’entite directement

Protéger votre entreprise contre l’ingenierie sociale

Formation des employes

La technologie seule ne suffit pas. Vos employes sont la premiere ligne de defense :

• Sessions de sensibilisation : organisez des formations trimestrielles avec des exemples réels
• Tests de phishing internes : envoyez de faux emails de phishing pour mesurer la vigilance. Des outils gratuits comme GoPhish permettent de le faire
• Procedure d’escalade : definissez clairement a qui signaler un message suspect (responsable IT, direction)
• Culture du doute : encouragez les employes a poser des questions sans crainte d’être juges

Procedures anti-fraude pour les PME

• Double validation : tout virement supérieur a 500 000 FCFA doit être valide par 2 personnes
• Vérification telephonique : tout changement de RIB fournisseur doit être confirme par appel sur un numéro connu
• Politique de mots de passe : aucun mot de passe ne doit être communiqué par email ou téléphone, même entre collegues
• Visiteurs : badge obligatoire, accompagnement permanent, registre d’entree
• Cles USB : interdire les clés USB personnelles. Fournir des clés USB chiffrees de l’entreprise

Outils techniques complementaires

• Filtre anti-phishing : activer les filtres dans Gmail/Outlook + solutions comme Proofpoint pour les entreprises
• DMARC/SPF/DKIM : configurer ces enregistrements DNS pour empecher l’usurpation de votre domaine email
• Gestionnaire de mots de passe : déployer Bitwarden Teams pour toute l’équipe
• 2FA obligatoire : imposer l’authentification a deux facteurs sur tous les comptes professionnels

Que faire si vous etes victime

1. Ne paniquez pas et ne tentez pas de « pieger » l’attaquant en retour
2. Changez immédiatement tous les mots de passe des comptes potentiellement compromis
3. Signalez l’incident a votre banque ou operateur mobile (Wave : 33 869 65 65, Orange Money : 145)
4. Documentez : gardez les preuves (captures d’écran, emails, numéros de téléphone de l’attaquant)
5. Deposez plainte : rendez-vous a la Division Speciale de Cybersecurite de la police ou a la gendarmerie
6. Prevenez vos contacts si votre compte a été piraté pour éviter qu’ils soient a leur tour victimes
7. Surveillez vos comptes bancaires pendant les semaines suivantes pour détecter des operations suspectes

Erreurs fréquentes

1. Faire confiance à la voix au téléphone

Cause : on entend « c’est moi » avec la voix d’un proche et on agit. Avec l’IA générative en 2026 (informations vérifiées en avril 2026, susceptibles d’évoluer) (ElevenLabs, Whisper-cloning), 30 secondes d’audio public suffisent à cloner une voix à l’identique.

Solution : instaurez avec votre famille un code-mot de sécurité partagé uniquement à l’oral. En cas de doute, demandez le code-mot ou rappelez sur le numéro habituel.

2. Croire qu’on est « trop intelligent pour se faire avoir »

Cause : les profils techniques (devs, admins, comptables) se croient immunisés contre l’ingénierie sociale. Or les attaques BEC (Business Email Compromise) ciblent justement ces profils en exploitant la pression hiérarchique.

Solution : personne n’est immunisé. La fatigue, le stress et la pression baissent la vigilance. Mettez en place des procédures qui ne dépendent pas de votre vigilance personnelle (double validation, callback obligatoire).

3. Cliquer pour « voir si c’est vraiment du phishing »

Cause : par curiosité, on clique sur le lien suspect « juste pour voir ». Le simple clic enregistre votre IP, votre user-agent et confirme à l’attaquant que votre adresse est active.

Solution : pour analyser un lien suspect, copiez-le (clic droit > Copier le lien) et collez-le dans VirusTotal ou urlscan.io. Jamais cliquer directement.

4. Ne pas signaler après avoir résisté

Cause : on reconnaît une tentative d’arnaque, on ne tombe pas dedans, mais on ne signale rien. L’attaquant continue de cibler vos collègues moins vigilants.

Solution : signalez systématiquement : dans Gmail/Outlook (bouton « Signaler comme phishing »), à votre IT interne, et au CERT-SN pour les attaques d’envergure. Une attaque évitée par vous est une menace pour votre entreprise.

5. Confiance dans les « procédures KYC » improvisées

Cause : un « agent CBAO » vous appelle pour une « mise à jour KYC obligatoire » et vous demande votre numéro de carte bancaire complet, CVV, et date d’expiration. Vous fournissez tout par sentiment d’obligation administrative.

Solution : aucune banque, aucun télécom, aucune administration ne vous demandera JAMAIS : code PIN, CVV, mot de passe, code OTP par téléphone. C’est une règle absolue, sans exception.

Exercice pratique : testez votre vigilance

Analysez ces scenarios et identifiez l’attaque :

Lectures complémentaires

• Reconnaître un email de phishing — la version mail détaillée.
• Détecter et éviter les arnaques en ligne au Sénégal — vue large multi-canal.
• Protéger votre compte WhatsApp — vecteur n°1 d’ingénierie sociale au Sénégal.
• Créer une politique de sécurité informatique — pour formaliser les procédures anti-BEC.
• Référence officielle : CISA — Social Engineering et SANS Security Awareness.
• Outils : GoPhish (test interne), VirusTotal, urlscan.io.