Pretexting : Comment les Fraudeurs Utilisent Cette Technique Contre Vous

Imaginez que vous receviez un appel du service des fraudes de votre banque, vous avertissant d’urgence d’une activité suspecte sur votre compte. L’appelant connaît votre nom complet, votre adresse et vos dernières transactions. La menace semble bien réelle – mais s’il s’agissait en fait de pretexting?

Le « pretexting » (dérivé du mot « prétexte ») est une forme sophistiquée d ‘ingénierie sociale où les malfaiteurs fabriquent des scénarios pour manipuler les individus et les amener à divulguer des informations confidentielles.

En français, le terme « attaque par faux-semblant » est également utilisé. Dans ce guide, nous explorerons tout ce que vous devez savoir sur le pretexting, y compris:

• à quoi ressemble les attaques de pretexting;
• des exemples concrets d’attaques de pretexting dans la vie réelle;
• comment repérer et éviter de devenir une victime d’attaque de pretexting.

Qu’est-ce que le Pretexting (Attaque par Faux-Semblant)?

Le pretexting est une forme d’attaque par hameçonnage (également appelée « phishing ») qui repose sur un « prétexte », c’est-à-dire un scénario fabriqué de toutes pièces. C’est pourquoi le terme « faux-semblant » (qui signifie « apparence trompeuse ») est également utilisé.

Si vous ne l’avez pas encore fait, n’oubliez pas de consulter cet article de blog qui traite en profondeur du concept de phishing. De nombreuses idées explorées dans cet article sont également applicables ici. Vous pouvez également consulter cet article qui traite de la différence entre le spam et le phishing.

L’ingénierie sociale et les attaques de phishing reposent en général sur un ou plusieurs des éléments suivants:

• Confiance : les malfaiteurs se font passer pour ce qu’ils ne sont pas (une banque, une agence gouvernementale…) en utilisant leurs logos, leur ton de voix, image de marque, etc. Ils utilisent souvent une adresse électronique très proche de la vraie (méthode appelée spoofing).
  
• Respect enver l’autorité: en tant qu’êtres humains, nous sommes habitués à nous conformer à l’autorité. En se faisant passer pour un haut fonctionnaire ou une entreprise importante comme votre banque, les malfaiteurs peuvent vous amener à révéler des données sensibles.
  
• L’urgence et la peur: les gens agissent de manière irrationnelle lorsqu’ils sont pris d’un sentiment de panique. Les attaquants exploitent ces émotions en utilisant de fausses alertes de carte de crédit, des avertissements de suppression de compte, etc.
  

Les attaques de pretexting ou par faux-semblant reposent sur ces trois éléments.

Examinons à présent un exemple plus concret.

Comment le pretexting repose sur la confiance, la le respect envers l’autorité et l’urgence

Imaginez que vous receviez un email urgent du service informatique de votre entreprise, vous avertissant d’une récente faille de sécurité.

L’email vous demande de réinitialiser immédiatement votre mot de passe afin de protéger les données sensibles de l’entreprise.

On vous fournit ensuite un lien vers une page de réinitialisation du mot de passe qui ressemble exactement au site web de votre entreprise. Ce n’est que plus tard que vous réalisez que vous venez d’envoyer vos identifiants de connexion à des malfaiteurs, et qu’il n’y a jamais eu de faille de sécurité.

Décortiquons l’anatomie de cette attaque de pretexting:

• Le prétexte: votre entreprise a subi une faille de sécurité et vous devez donc mettre à jour votre mot de passe.
  
• Confiance: les attaquants usurpent l’identité de votre service informatique et le site web vers lequel vous êtes redirigé semble tout à fait légitime.
  
• Autorité: l’email utilise un ton autoritaire et semble provenir d’un « échelon supérieur ». Nous sommes naturellement enclins à suivre les ordres et les protocoles, surtout sous prétexte de sécurité.
  
• L’urgence et la peur: l’email utilise des mots tels que « faille récente », « action immédiate » et « de toute urgence ». Cela crée un sentiment d’urgence et de peur si vous n’agissez pas rapidement.

Dans d’autres scénarios, le prétexte peut être beaucoup plus simple : votre fournisseur d’accès à Internet a besoin de vos identifiants pour améliorer votre vitesse de connexion, par exemple. Les attaques par faux-semblant peuvent même se produire dans le monde physique, ce qui les rapproche des attaques de tailgating.

Par exemple, un individu peut se faire passer pour un livreur. Il convainc alors le réceptionniste de lui donner accès à une zone sécurisée pour livrer un colis.

Les meilleures attaques de pretexting s’appuient sur la confiance, la conformité et l’urgence pour construire leur faux-semblant. C’est pourquoi il est essentiel de les repérer pour éviter d’en être victime.

Exemples Célèbres d’Attaques de Pretexting

Examinons maintenant plusieurs cas très médiatisés d’attaques de pretexting et les enseignements que nous pouvons en tirer.

L’attaque du groupe Lapsus$ contre Microsoft et Nvidia

En 2022, le groupe cybercriminel Lapsus$ a mené une série d’attaques de pretexting très médiatisées contre de grandes entreprises technologiques, dont Microsoft et NVIDIA.

Les malfaiteurs se sont fait passer pour des initiés de l’entreprise et ont utilisé des informations d’identification volées pour obtenir un accès non autorisé à des données sensibles.

Leur approche consistait souvent à manipuler les employés par le biais de l’ingénierie sociale afin de contourner les protocoles de sécurité. Ils se faisaient par exemple passer pour du personnel d’assistance informatique interne, contactant les employés sous prétexte d’effectuer des contrôles de sécurité de routine ou de résoudre des problèmes techniques.

Le même groupe était également responsable d’une attaque contre Otka, la société de gestion d’identité numérique, ainsi que contre Nvidia.

Pour en savoir plus sur cette attaque, consultez l’article du blog de Microsoft ici.

Fuite de données chez MGM Resorts International

En septembre 2023, la chaîne hôtelière MGM Resorts International a été victime d’une violation de données à la suite d’une attaque sophistiquée de pretexting.

Les attaquants se sont fait passer pour des employés de la société et ont contacté le service d’assistance informatique de MGM, convainquant le personnel de fournir un accès au réseau.

En se faisant passer pour des personnes de confiance et en créant un sentiment de légitimité, les malfaiteurs ont trompé les employés en leur donnant accès au réseau interne. Des données sensibles telles que les noms des clients, les numéros de téléphone, les adresses électroniques, les numéros de permis de conduire ont été acquises.

Vous trouverez plus d’informations sur cette attaque par faux-semblant dans le communiqué de presse de MGM.

Attaque de pretexting sur Retool

En août 2023, la société de logiciels Retool a subi une cyberattaque initiée par un système d’hameçonnage par SMS (également connu sous le nom de smishing).

Les attaquants se sont fait passer pour des membres de l’équipe informatique et ont fabriqué un scénario crédible, convainquant les employés de cliquer sur des liens malveillants.

Les liens étaient prétendument liés à un problème de fiche de paie. Il suffisait qu’une seule personne tombe dans le piège pour que les malfaiteurs accèdent aux systèmes internes de l’entreprise.

Au final, les attaquants ont réussi à s’emparer de 27 comptes clients, dont l’un a perdu 15 millions de dollars en crypto-monnaie.

Attaques de Pretexting: Comment les Éviter?

Les formations et cours de sensibilisations sont les meilleurs moyens pour détecter et éviter les attaques de pretexting.

Voici quelques-unes des étapes à suivre lorsqu’un email ou appel téléphonique vous semble suspect:

1. Ne communiquez jamais d’informations confidentielles par courrier électronique ou par téléphone, en particulier des informations financières.
   
2. Vérifiez toujours l’adresse électronique de l’expéditeur. Il peut s’agir d’une imitation d’une entreprise légitime dont seuls quelques caractères ont été modifiés ou omis.
   
3. N’ouvrez jamais une pièce jointe suspecte, car il s’agit d’un mécanisme de transmission standard pour les logiciels malveillants.
   
4. Survolez les liens pour vérifier la destination réelle d’un URL. Vérifiez les fautes d’orthographe dans l’URL, qui peuvent être le signe d’un site web falsifié.
   
5. N’agissez jamais sous le coup de la peur ou de l’urgence. Prenez le temps d’évaluer la situation et contactez l’expéditeur par les moyens habituels (site web officiel, numéro de téléphone, etc.).

Conclusion sur les Attaques de Pretexting

C’est tout pour ce guide sur les attaques de pretexting. Nous espérons que vous avez maintenant une meilleure compréhension de ce type d’attaque et que vous serez en mesure d’en prévenir d’autres à l’avenir.

Enfin, ne vous fiez jamais aux SMS non sollicités provenant de votre banque, de votre employeur ou même d’un ami et contenant des liens vers une application ou un site web.

Si vous souhaitez renforcer votre cybersécurité, la première chose à faire est d’opter pour un fournisseur de messagerie privée et sécurisée. Chez Mailfence, nous sommes fiers de vous offrir :

• des outils de sécurité avancés: chiffrement de bout en bout, chiffrement symétrique, signatures numériques, et bien plus encore.
  
• pas de traçage ni de publicité. Nous n’utilisons pas de traceurs publicitaires ou marketing de tiers. Nous ne suivons pas votre activité dans l’application. Mailfence ne contient aucune publicité.
  
• des lois strictes en matière de protection de la vie privée. Les serveurs de Mailfence sont basés en Belgique, où des lois strictes protègent la vie privée. Seule une décision de justice belge valide peut nous obliger à divulguer des données.

Vous souhaitez passer à la vitesse supérieure en matière de protection de la vie privée et de cybersécurité ? Créez votre compte gratuit dès aujourd’hui !

Vous voulez plonger plus profondément dans le monde des attaques par faux-semblants ? Consultez ce rapport détaillé de Verizon sur l’état des violations de données dans le monde, leurs sources et leurs conséquences.