L’ingénierie sociale : des techniques au service d’acteurs malveillants qui peuvent coûter cher aux entreprises…

Depuis 2024, un groupe de ransomware connu sous le nom de Black Basta a intensifié ses méthodes d’attaque en utilisant Microsoft Teams. Outil de communication très utilisé par les entreprises, ce dernier apparaît désormais comme un vecteur de manipulation sociale.

Cette utilisation nouvelle de Teams a permis aux cybercriminels de cibler des centaines d’organisations dans divers secteurs tels que la finance, la technologie et les services gouvernementaux.

Mais qu’est-ce que l’ingénierie sociale ?

L’ingénierie sociale est un ensemble de techniques de manipulation qui exploitent les faiblesses humaines. Plus précisément, elles exploitent la manière dont l’être humain réfléchit et agit afin de le manipuler pour obtenir des informations confidentielles, un accès privilégié, etc.

Le cas Black Basta : une attaque bien orchestrée

Dans le cas de Black Basta, les attaquants se font passer pour des agents de support technique via des comptes factices. En contactant directement la cible sur Microsoft Teams, ils proposent une assistance immédiate, mais exigent que l’utilisateur installe un logiciel de prise en main à distance. Une fois ce malware installé, les criminels prennent le contrôle de l’ordinateur et infiltrent progressivement le système d’information de l’entreprise.

Les attaquants exploitent ici plusieurs biais cognitifs pour manipuler leur cible :

• Biais d’autorité : soumission à une figure perçue comme supérieure ou compétente.
• Biais de rapidité : pression exercée pour empêcher une réflexion critique.
• Principe de réciprocité (effet Benjamin Franklin) : tendance à rendre un service reçu.
• Principe de contraste : proposer une demande extrême avant une demande réaliste.
• Principe d’approbation : se faire apprécier ou donner l’illusion d’une idée personnelle.

Un danger au-delà du numérique : l’ingénierie sociale physique

L’ingénierie sociale ne se limite pas au domaine cyber. Elle peut également servir lors d’attaques physiques, notamment pour pénétrer dans des zones sécurisées ou obtenir des documents sensibles.

Un exemple : un attaquant peut se faire passer pour un technicien de distributeur de café grâce à un faux polo siglé, afin de franchir une première barrière de sécurité.

Les services de renseignement français limitent ces risques en interdisant par exemple les machines à café au sein de leurs sièges, pour réduire la présence de personnes extérieures.

La Red Team : tester pour mieux se protéger

C’est dans ce contexte que la méthodologie Red Team prend tout son sens. Une Red Team simule des attaques réelles pour tester la résistance d’une organisation face à différents types de menaces, en combinant :

• Ingénierie sociale
• Tests de sécurité physique
• Exploitation de failles cyber

Les 5 étapes d’un exercice de Red Team :

1. Réunion de cadrage Définir les objectifs (EFR), le périmètre testé et les règles d’engagement.

2. Phase de reconnaissance Identifier les failles, collecter des informations (plans de bâtiments, données disponibles en ligne…).

3. Intrusion initiale Prise de rendez-vous, repérage physique, cartographie des dispositifs de sécurité, collecte d’informations humaines.

4. Exécution de l’attaque Exploiter les failles identifiées pour atteindre les objectifs définis.

5. Restitution Débriefing avec le client pour exposer les chemins critiques d’attaque et recommander des actions correctives.

Conclusion

L’ingénierie sociale représente une menace sérieuse pour les entreprises. Les attaques comme celles du groupe Black Basta via Microsoft Teams montrent à quel point les techniques de manipulation psychologique peuvent être efficaces.

Connaître ces méthodes et les biais cognitifs exploités est une première étape pour s’en protéger. Les exercices de Red Team offrent une approche proactive pour identifier et corriger les failles avant qu’elles ne soient exploitées.

Sources :

• Kaspersky - Définition de l'ingénierie sociale
• Siècle Digital - Hackers et Microsoft Teams
• Wikipedia - Biais cognitifs
• Usabilis - Définition des biais cognitifs
• Triffault, A., & Beasse, L. (2025, 29 avril). Utilisation de l'OSINT dans le red team [Notes de conférence]. Journée OSINT, Campus de Sorbonne Université, Paris, France.