• Laetitia Michel

Social engineering et FOVI

Dernière mise à jour : sept. 21



“On dit d’une personne qu’elle a recours à la manipulation (ou ingénierie sociale) lorsqu’elle utilise l’influence et la persuasion pour duper les gens en se faisant passer pour quelqu’un qu’elle n’est pas. In fine, le manipulateur sait exploiter autrui afin d’obtenir des renseignements, en s’aidant ou non de moyens technologiques.” Kevin D. Mitnick, L’art de la supercherie.


Dans le contexte de la sécurité de l’information, l'ingénierie sociale (ou social engineering en anglais), fait référence à des pratiques de manipulation psychologique à des fins d’escroquerie. Ces pratiques exploitent les faiblesses psychologiques, sociales et plus largement organisationnelles pour permettre, par une mise en confiance, d’obtenir quelque chose de la personne ciblée. Cela peut être un bien, un service, un virement bancaire, un accès physique, un accès à un système informatique, une divulgation d’informations tels que des mots de passe, des renseignements sur l’entreprise en vue d’une attaque, etc.

Afin d’accentuer le concept de tromperie, les termes 'piratage psychologique' ou 'fraude psychologique' sont parfois utilisés.


Dans cette vidéo, Jessica Clark, social engineer hacker, fait une démonstration du pouvoir de l'ingénierie sociale.

La plupart des escroqueries par ingénierie sociale s’effectuent généralement en 4 phases :

  • La première, optionnelle selon les cas, est la collecte d’informations, qui vise à comprendre suffisamment le contexte de l'attaque, afin de construire une accroche réussie et ainsi recueillir des informations de base sur la personne et/ou l’organisation visée en utilisant toutes les ressources à sa disposition, tels que les réseaux sociaux, la presse économique, les sites de type Infogreffe, etc. C’est aussi durant cette phase que l’attaquant va planifier la meilleure approche possible, et définir la (ou les personnes) qui servira pour son plan.


  • La seconde phase est l’établissement de la relation entre l’attaquant et la personne visée, qui sert à mettre en place les conditions d’un “jeu” réussi. C’est pendant cette phase que l’attaquant va contacter la personne et/ou l'organisation, créer un sentiment de proximité et ainsi prendre le contrôle de l’interaction.


  • La troisième phase est l’exploitation des vulnérabilités identifiées. Cette phase vise à soustraire un maximum d'informations. L'attaquant va alors faire durer les choses aussi longtemps que possible pour y parvenir. C’est durant cette phase que l’attaquant va renforcer le contrôle de la relation et ainsi extraire le plus d’informations possible.


  • La quatrième et dernière phase est la sortie, qui vise à clôturer l’interaction, idéalement, sans éveiller les soupçons et en convaincant la cible de ne rien dire. L’attaquant veillera également à couvrir ses traces durant cette phase finale.

Suivant l’ampleur de l’attaque prévue et de la récompense à la clé, certains attaquants n’hésitent pas à étendre leur plan sur des semaines voir des mois, allant parfois jusqu'à entrer en contact directement avec leur(s) cible(s). Si une entreprise est visée, ils pourront par exemple se faire engager en tant qu’employés ou prestataires. Étant en son sein, ils auront directement accès à tout un tas de ressources. Ils pourront également plus aisément gagner la confiance des personnes internes nécessaires pour l’exécution de leur plan.



Les FOVI, Faux Ordres de Virement Internationaux


Une forme connue de l’ingénierie sociale et en hausse ces dernières années : Les Faux Ordres de Virement Internationaux (FOVI) .


La « fraude au président », l’un des plus connu des FOVI, consiste à convaincre le collaborateur d’une entreprise ayant les droits nécessaires (Comptables, assistant(e) de direction, etc.) à effectuer un virement bancaire. Pour se faire, l’attaquant, usurpant l’identité d’un dirigeant grâce à des informations préalablement recueillies, prendra contact avec sa victime (le plus souvent par téléphone). Il insistera sur le caractère urgent de l’action à effectuer en se faisant le plus persuasif possible. La plupart du temps, le collaborateur, convaincu et voulant bien faire, s’exécutera.


Une deuxième attaque connue aux FOVI appelée « changement de RIB » consiste à envoyer un mail à un collaborateur en se faisant passer pour un fournisseur, et lui demandant de diriger ses versements vers un autre compte bancaire (appartenant aux attaquants).

Pour parer aux plus d’éventualités possibles, certains attaquants, se faisant passer pour le fournisseur, vont envoyer un email en amont afin de faire modifier les coordonnées de la fiche client (numéro de téléphone, email, etc.).

Ainsi, lors de la demande de changement de RIB quelques jours plus tard, si l’entreprise procède à une vérification auprès du fournisseur, l’appel ou l’email aboutira sur le téléphone/boite mail de l’attaquant qui n’aura qu’à confirmer le changement de RIB.

Reconnaitre les signes d’une attaque :


  • Une demande de virement à l'international, non planifiée, au caractère urgent et confidentiel. Dans ce cas, n’hésitez pas à contactez votre interlocuteur habituel avec les coordonnées connues de la société, ou demander vérification auprès d’un autre dirigent.


  • Tout changement de coordonnées téléphoniques ou mails.


  • Le contact direct d'un attaquant se faisant passer pour un membre de la société ou un responsable qui va faire usage de flatterie ou de menace dans le but de manipuler son interlocuteur.


  • Pour asseoir sa crédibilité et usurper une fonction, l'escroc apportera une abondance de détails sur l'entreprise et son environnement : données personnelles concernant le chef d'entreprise, ses collaborateurs... ceci doit vous alerter.

Que faire si vous êtes victime de Faux Ordres de Virement International, ou si vous pensez l’être?


  • Identifiez les virements frauduleux et demandez leur suspension auprès de la banque.


  • Si le virement a déjà été effectué, demandez le retour des fonds auprès de la banque.


  • Conservez des preuves en votre possession : toutes informations (par ex. numéro de téléphone, emails, ordres de virements, factures) qui pourront vous servir pour signaler l’escroquerie aux autorités.


  • Si la fraude a pu être permise par le piratage d’un compte de messagerie, changez immédiatement son mot de passe.


  • Déposez une plainte auprès de la Gendarmerie ou de la Police en vous munissant de toutes les preuves en votre possession.

Pour plus de renseignements sur les FOVI, les mesures préventives et la marche à suivre en cas d'attaque, n’hésitez pas à aller consulter la fiche récapitulative du site gouvernemental cybermalveillance.



Vous souhaitez être informé(e) de nos actualités, et recevoir nos derniers articles de blog directement dans votre boite mail ? Abonnez-vous à notre newsletter mensuelle!




Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos expert en cybersécurité !




40 vues

Posts récents

Voir tout