Attaques Quid Pro Quo: Comment les Pirates Informatiques Réussissent à vous Manipuler

quid pro quo social engineering attack

Table des matières

Partager cet article

Les attaques de type « quid pro quo » ne sont pas une nouvelle forme d’ingénierie sociale. Cependant, en 2025, elles sont devenues plus sophistiquées que jamais.

Dans ce guide, nous verrons ce que sont les attaques de type « quid pro quo », comment les repérer et comment éviter d’en être victime.

Si vous souhaitez en savoir plus sur les attaques d’ingénierie sociale, consultez notre cours de sensibilisation à la sécurité du courrier électronique et à la protection de la vie privée.

Mailfence - Obtenez votre email gratuit et sécurisé.

4.1 sur base de 177 avis utilisateurs

Mailfence - Obtenez votre email gratuit et sécurisé.

4.1 sur base de 177 avis utilisateurs

Attaque Quid Pro Quo: C’est Quoi ?

Une attaque de type « quid pro quo » est une technique d’ingénierie sociale dans laquelle un pirate informatique promet un bénéfice en échange d’informations qui peuvent ensuite être utilisées pour voler de l’argent et des données, ou prendre le contrôle d’un compte d’utilisateur sur un site web.

Le terme « quid pro quo » vient du latin et signifie littéralement « une chose contre une autre ». Vous me donnez quelque chose, je vous donne quelque chose.

Parmi les expressions similaires, citons « un échange de bons procédés » ainsi que du « donnant-donnant ». En substance, elles signifient toutes qu’il existe un accord entre deux parties pour un échange de biens ou de services.

Cette notion d’échange est cruciale car nous obéissons, en tant qu’êtres humains, à la loi de la réciprocité psychologique. Cela signifie que lorsque quelqu’un nous donne quelque chose ou nous rend service, nous nous sentons obligés de lui rendre la pareille.

Comment les attaquants utilisent-ils ce concept dans un contexte d’ingénierie sociale?

Voici un scénario très simple :

  1. vous êtes contacté par un (prétendu) employé du service informatique qui vous propose d’effectuer un audit de votre ordinateur ;
  2. il propose de supprimer les virus potentiels qui pourraient réduire les performances de votre ordinateur ;
  3. mais pour ce faire, il a besoin de votre login et de votre mot de passe ;
  4. vous les fournissez sans poser de questions.

Boum! Vous venez d’être victime d’une attaque de type « quid pro quo ».

Les attaques de type « quid pro quo » sont basées sur la manipulation et l’abus de confiance. En tant que telles, elles entrent dans la catégorie des techniques d’ingénierie sociale, telles que les attaques de phishing (y compris les attaques de spear phishing et de whaling), le baiting (appât ) ou le pretexting (prétexte).

Attaques Quid Pro Quo : Exemples concrets

Examinons maintenant quelques cas d’attaques de type « quid pro quo » et les enseignements que nous pouvons en tirer.

Escroquerie à la crypto-monnaie Axie Infinity

En 2022, Business Insider a fait état de l’une des plus grandes escroqueries à la crypto-monnaie à ce jour. L’attaque, basée sur la technique du quid pro quo, a abouti au vol de 617 millions de dollars.

Des pirates informatiques associés au groupe Lazarus de Corée du Nord ont mené une attaque sophistiquée contre Sky Mavis, le développeur du jeu Axie Infinity basé sur les NFT.

Se faisant passer pour des recruteurs sur LinkedIn, ils ont ciblé un ingénieur senior et l’ont fait participer à plusieurs faux entretiens d’embauche. Après ces entretiens, l’ingénieur a reçu une offre d’embauche frauduleuse contenant un logiciel espion.

En téléchargeant cette fausse offre, les attaquants ont eu accès au réseau blockchain de la société, qui facilite le transfert de crypto-monnaies basées sur l’Ethereum à l’intérieur et à l’extérieur du jeu. De là, les attaquants ont pu détourner des millions de dollars en crypto-monnaie.

L’augmentation des escroqueries au support technique

Pendant la pandémie, et avec l’essor du travail à distance, on a assisté à une augmentation des fraudes en matière d’assistance technique.

Dans cette forme d’attaque quid pro quo, les attaquants se font passer pour du personnel d’assistance informatique et proposent leur aide aux employés. En échange de cette « aide », ils demandent des identifiants de connexion. Ils peuvent également inciter les victimes à installer des logiciels malveillants, compromettant ainsi la sécurité de l’organisation.

Cette technique d’escroquerie utilise une combinaison de quid pro quo et de « vishing« . L‘hameçonnage est une forme d’ingénierie sociale qui combine « voix » et « hameçonnage ». Il s’agit d’escroqueries par hameçonnage réalisées par téléphone.

En décembre 2024, le FBI a réitéré ses mises en garde, notamment à l’égard des personnes âgées. Voici un bref résumé du déroulement de ces attaques selon le FBI :

  • les escrocs contactent les victimes en se faisant passer pour des techniciens d’une entreprise légitime (Microsoft, McAfee, Norton, etc.), prétextant un problème avec leur appareil ;
  • la victime est invitée à rappeler un numéro et est assurée que le problème peut être résolu. Cependant, l’attaquant informe ensuite la victime que ses comptes financiers ont été piratés. Pour des raisons de sécurité, la victime doit immédiatement transférer son argent sur le compte d’un tiers ;
  • les victimes sont alors invitées à vendre des actifs, à acheter de l’or (qui sera récupéré par un coursier) ou à virer de l’argent sur d’autres comptes contrôlés par les escrocs.

Si vous souhaitez en savoir plus sur ces types d’escroqueries à l’assistance technique d’une manière amusante et divertissante, nous vous recommandons vivement de consulter les chaînes YouTube Scammer Payback et Kitboga.

Que pouvons-nous apprendre de ces attaques de type « quid pro quo » ?

Que pouvons-nous donc apprendre de ces exemples d’attaques de type « quid pro quo » ?

Tout d’abord, ne faites pas confiance, vérifiez.

Cette expression est dérivée d’un vieux proverbe russe qui dit : « Faites confiance, mais vérifiez ». L’idée est qu’il ne faut jamais faire aveuglément confiance à ce que dit quelqu’un, mais qu’il faut toujours vérifier ses affirmations.

Le piratage d’Axie Infinity, par exemple, illustre la façon dont les attaquants peuvent créer des attaques hautement ciblées et hyper-personnalisées. C’est pourquoi toute forme d’offre d’emploi non sollicitée (ou de communication non sollicitée) doit être vérifiée. Vous pouvez demander les identités, les fonctions et les vérifier sur le site officiel de l’entreprise.

Deuxièmement, ne communiquez jamais d’informations sensibles par téléphone ou par courrier électronique.

Les employés travaillant à distance sont des cibles de choix pour les attaquants qui se font passer pour du personnel d’assistance informatique. Rappelez-vous que le personnel informatique officiel ne vous demandera jamais votre mot de passe, votre numéro de carte de crédit, etc. par téléphone ou par courrier électronique.

Stratégies de Prévention: Comment Éviter les Attaques Quid Pro Quo

Dans la section précédente, nous avons abordé quelques leçons essentielles pour prévenir les attaques de type « quid pro quo ». Explorons-les un peu plus en détail.

Formation et sensibilisation

Comme pour toutes les attaques d’ingénierie sociale, la sensibilisation est la première ligne de défense:

  • organiser des ateliers pour sensibiliser les employés à la nature des attaques de type « quid pro quo », en mettant l’accent sur les tactiques utilisées par les attaquants qui offrent des services ou des avantages en échange d’informations sensibles ;
  • apprendre au personnel à identifier les offres non sollicitées, en particulier celles qui semblent trop belles pour être vraies ou qui proviennent d’une source inconnue

Protocoles de vérification

Ne faites pas confiance, mais vérifiez:

  • établir des procédures pour vérifier l’identité des personnes qui demandent des informations ou un accès sensibles. Il peut s’agir de rappeler le service d’assistance informatique par l’intermédiaire du numéro officiel.
  • le 2FA ajoute une couche supplémentaire de sécurité, en garantissant que les demandes d’accès sont légitimes.

Des politiques de sécurité robustes

  • élaborer et diffuser des politiques de sécurité globales qui décrivent les comportements acceptables, les procédures de traitement des informations sensibles et les protocoles de signalement des activités suspectes.
  • créer un système facile à utiliser pour que les employés puissent signaler les tentatives de quid pro quo ou d’autres incidents de sécurité.

Autres bonnes pratiques pour éviter les attaques de type quid pro quo

  • Soyez toujours prudent. Rien n’est jamais totalement gratuit. Et si quelque chose semble trop beau pour être vrai, c’est probablement le cas.
  • Ne communiquez jamais d’informations personnelles si vous n’êtes pas à l’origine de l’échange. Si vous devez fournir vos identifiants de connexion à un professionnel de l’informatique légitime, veillez à les modifier par la suite.
  • Utilisez des mots de passe forts et changez-les régulièrement. Consultez notre article sur les mots de passe pour prendre de bonnes habitudes.

L’Importance de l’IA dans les Attaques Quid Pro Quo

L’intelligence artificielle (IA) a modifié la manière dont les cybercriminels organisent leurs escroqueries par ingénierie sociale.

Jusqu’à très récemment, les attaques de type « quid pro quo » reposaient sur la tromperie par l’interaction humaine. Mais l’IA permet désormais aux fraudeurs d’automatiser et d’affiner leurs méthodes avec une précision alarmante.

Les modèles d’apprentissage automatique (machine learning) traitent d’énormes quantités d’informations. Cela permet aux attaquants de créer des interactions extrêmement trompeuses. Messages sur les réseaux sociaux, bases de données ayant fait l’objet de fuites, dossiers publics… L’IA permet désormais aux attaquants de générer des communications hyperpersonnalisées qui semblent tout à fait légitimes.

Par exemple, un chatbot alimenté par l’IA peut imiter de manière convaincante un agent de support informatique, offrant une fausse assistance en échange d’informations d’identification confidentielles.

Au-delà de la manipulation textuelle, la technologie deepfake et les logiciels de voix synthétiques ajoutent une autre couche de tromperie. Les attaquants peuvent fabriquer des enregistrements audio et vidéo qui imitent des personnes réelles, ce qui donne aux demandes frauduleuses une apparence d’authenticité irréfutable.

Par conséquent, les gens sont beaucoup plus enclins à se conformer, croyant qu’ils interagissent avec un collègue ou un superviseur en qui ils ont confiance.

L’utilisation croissante de l’IA dans ces escroqueries exige une plus grande sensibilisation et de meilleures défenses de sécurité. Les entreprises et les particuliers doivent garder une longueur d’avance sur les menaces émergentes en adoptant l’authentification multifactorielle, en examinant minutieusement les demandes non sollicitées et en adoptant une approche sceptique à l’égard des offres d’assistance inattendues.

Conclusion sur les Attaques Quid Pro Quo

Une attaque de type « quid pro quo » est une cybermenace basée sur un échange de bonne volonté. Elle est d’autant plus insidieuse qu’en tant qu’êtres humains, nous pensons devoir rendre tout service fourni d’une manière ou d’une autre.

Nous espérons que cet article vous a permis de mieux comprendre ce que sont les attaques de type « quid pro quo » et comment vous en protéger. Enfin, utilisez des services sécurisés tels qu’une suite de messagerie comme Mailfence.

Vous voulez en savoir plus ? Consultez ces cours et études en ligne sur le thème de l’ingénierie sociale :

Reprenez votre vie privée en main.

Créez votre e-mail gratuit et sécurisé dès aujourd'hui.

Image de M Salman Nadeem

M Salman Nadeem

Salman travaille comme analyste de la sécurité de l'information pour Mailfence. Ses domaines d'intérêt sont la cryptographie, l'architecture et la conception de la sécurité, le contrôle d'accès et la sécurité des opérations. Vous pouvez le suivre sur LinkedIn @mohammadsalmannadeem.

Recommandé pour vous