Ingénierie sociale

En sécurité informatique, l'ingénierie sociale (social engineering en anglais) est une technique par laquelle un·e attaquant·e manipule psychologiquement des utilisateur·ice·s pour les amener à effectuer des actions préjudiciables, comme divulguer leurs identifiants ou d'autres informations sensibles.

Par exemple, lors d'une attaque de hameçonnage, l'utilisateur·ice pense se connecter à un site sur lequel il·elle possède un compte, alors qu'en réalité il·elle fournit ses informations de connexion à un faux site contrôlé par l'attaquant·e.

Les attaques d'ingénierie sociale se distinguent des autres attaques car elles ne ciblent pas des vulnérabilités logicielles ou matérielles, mais visent les utilisateur·ice·s, les poussant à prendre de mauvaises décisions. Cela les rend difficiles à contrer, même si certains choix de conception des systèmes peuvent réduire leur efficacité, voire les rendre impossibles.

La défense contre l'ingénierie sociale consiste souvent à enseigner aux utilisateur·ice·s des pratiques sûres, comme ne pas cliquer sur les liens dans les courriels. Cependant, l'expérience montre que tout le monde peut être vulnérable à l'ingénierie sociale, en particulier lorsqu'il·elle est fatigué·e, occupé·e ou stressé·e.