Phylapp
Maîtrise des risques liés aux réseaux sociaux

Les attaques exploitant l’ingénierie sociale via les réseaux

L'ingénierie sociale via les réseaux sociaux — fraude au président, faux recruteurs, exploitation des connexions communes — génère 50 milliards de dollars de pertes BEC cumulées. Aucune technique ne remplace les procédures de vérification organisationnelles.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 12 lectures

Points clés

  • L'ingénierie sociale est la technique d'attaque à la plus haute efficacité et au plus faible coût pour les adversaires — les réseaux sociaux en ont décuplé la portée et la précision.
  • Les attaques BEC (Business Email Compromise) et les fraudes au président exploitent systématiquement les informations collectées sur les réseaux sociaux pour construire des scénarios convaincants.
  • Les attaques via faux recruteurs, faux partenaires ou faux collègues sur LinkedIn représentent un vecteur d'intrusion croissant contre les organisations dans tous les secteurs.
  • Aucune défense technique ne peut totalement neutraliser l'ingénierie sociale — la résilience organisationnelle repose sur des procédures de vérification et une culture de vigilance.

L'ingénierie sociale exploite les biais humains naturels — confiance, autorité, réciprocité, urgence — pour contourner les défenses techniques. Les réseaux sociaux ont transformé l'échelle et la précision de ces attaques : là où un attaquant devait autrefois construire une couverture laborieusement, il peut désormais s'appuyer sur des profils authentiques, des connexions communes vérifiables et des contextes professionnels précis pour construire en quelques heures une identité fictive indiscernable.

La direction doit comprendre que l'ingénierie sociale n'est pas un problème de conscience individuelle des employés — c'est un problème de procédures organisationnelles. Les employés les plus vigilants peuvent être trompés lorsque le scénario est suffisamment précis. La résilience exige des contre-mesures procédurales, pas seulement comportementales.

La fraude au président : l'ingénierie sociale à impact financier direct

La fraude au président — Business Email Compromise (BEC) dans sa terminologie technique — consiste à usurper l'identité d'un dirigeant pour instruire un virement frauduleux. Cette attaque est précédée d'une collecte approfondie sur les réseaux sociaux : identité de la cible (directeur financier), identité du dirigeant usurpé, relation entre les deux personnes, banque de l'organisation, périodes de déplacement du dirigeant. Plus ces informations sont précises, plus le scénario est convaincant.

Le FBI estime que les pertes mondiales liées aux BEC dépassent 50 milliards de dollars cumulés depuis 2013. Les réseaux sociaux professionnels ont significativement facilité ces attaques en rendant publiques les informations organisationnelles autrefois accessibles uniquement à l'intérieur de l'organisation.

Les faux recruteurs comme vecteur d'intrusion

La création de faux profils de recruteurs sur LinkedIn pour approcher des employés de sociétés ciblées est une technique documentée et croissante. Ces faux recruteurs construisent des échanges progressifs, gagnent la confiance de leurs cibles et transmettent finalement des documents malveillants présentés comme des offres ou des questionnaires de candidature. La technique est particulièrement efficace car elle exploite une situation normale — recevoir une offre d'emploi attractive — qui ne déclenche pas de méfiance naturelle.

Le groupe Lazarus a notamment utilisé cette technique pour la compromission de Ronin Bridge (620M$) et contre des chercheurs en sécurité travaillant sur des vulnérabilités zero-day, collectant leurs recherches sous couvert d'échanges académiques.

L'exploitation des connexions communes pour renforcer la crédibilité

Un attaquant qui se présente comme une relation de premier niveau d'une connexion LinkedIn de confiance bénéficie automatiquement d'une crédibilité supérieure à celle d'un inconnu total. Les réseaux sociaux permettent aux attaquants de cartographier les relations professionnelles de leurs cibles et de construire des prétextes exploitant ces connexions — "J'ai travaillé avec votre collègue X sur le projet Y" — pour créer un sentiment de familiarité validant la légitimité de la demande.

Cette technique de "watering hole social" rend les vérifications d'identité habituelles moins efficaces : la connexion commune est réelle, même si la personne qui s'en réclame ne l'est pas.

Des procédures de vérification adaptées à l'ère sociale

Les contre-mesures efficaces reposent sur des procédures organisationnelles non contournables : validation de tout virement sortant au-delà d'un seuil par un canal distinct et vérifié (appel sur un numéro connu, pas un numéro transmis dans le message), principe du "jamais par email seul" pour les demandes urgentes et inhabituelles, et formation des équipes à la signalisation des demandes inhabituelles sans risque de sanctions pour les faux positifs.

Ces procédures doivent être testées régulièrement par des simulations réalistes — pas des tests évidents que tout le monde reconnaît, mais des scénarios suffisamment précis pour tester la robustesse réelle des comportements sous pression.

Études de cas

Lazarus Group — Faux recruteurs ciblant les développeurs blockchain

Le groupe Lazarus (Corée du Nord) a systématiquement utilisé de faux profils de recruteurs sur LinkedIn pour approcher des développeurs travaillant sur des plateformes blockchain et de finance décentralisée. La compromission de Ronin Bridge d'Axie Infinity en 2022 (620 millions de dollars volés) a débuté par ce vecteur. Un développeur a reçu une offre d'emploi fictive via LinkedIn, a téléchargé un document contenant un malware et a compromis sa machine de travail, donnant aux attaquants un point d'entrée dans l'infrastructure.

FBI BEC Alert — 50 milliards de dollars de pertes cumulées

Le FBI Internet Crime Complaint Center (IC3) a publié en 2023 des données montrant que les pertes cumulées liées aux attaques BEC (Business Email Compromise) dépassent 50 milliards de dollars depuis 2013. Ces attaques, qui exploitent systématiquement les informations collectées sur les réseaux sociaux pour construire des scénarios convaincants, touchent des organisations de toutes tailles dans tous les secteurs. Les secteurs financier, immobilier et public sont les plus fréquemment ciblés en termes de montants dérobés.

Recherche en sécurité — Ciblage de chercheurs par Lazarus via Twitter/X

Google Project Zero a documenté en 2021 une campagne de Lazarus Group ciblant des chercheurs en sécurité travaillant sur des vulnérabilités zero-day. Les attaquants créaient de faux profils de recherche convaincants, publiaient de vrais contenus de qualité pendant plusieurs mois pour construire leur crédibilité, puis approchaient les cibles pour des collaborations. Les documents de recherche partagés contenaient des exploits zero-day ciblant les machines des chercheurs. Plusieurs chercheurs ont été compromis malgré une expertise avancée en sécurité.

États-Unis — Fraude BEC contre des municipalités

La ville de Puerto Rico a perdu 2,6 millions de dollars en 2020 lors d'une attaque BEC où un email usurpant l'identité d'un partenaire commercial a convaincu un employé de transférer des fonds vers un compte frauduleux. L'attaquant avait identifié via les réseaux sociaux la relation entre les deux organisations, le nom et l'email du contact habituel et la nature des transactions habituelles. Ce niveau de précision a rendu le scénario suffisamment convaincant pour tromper un employé expérimenté.

Autriche — FACC, 50 millions d'euros perdus (Fake President)

FACC, fabricant autrichien de pièces aéronautiques, a perdu 50 millions d'euros en 2016 lors d'une fraude au président où des attaquants avaient utilisé des informations publiques pour construire un scénario de "projet acquisition confidentiel" exigeant un virement urgent. L'email usurpait l'identité du PDG avec une précision suffisante pour tromper l'équipe financière. Le CFO et le PDG ont tous deux été licenciés suite à cet incident, illustrant les conséquences personnelles de l'échec à maintenir des procédures de vérification robustes.

Corée du Nord — Ingénierie sociale contre les experts en sanctions

Des enquêteurs de l'ONU ont documenté des campagnes de Lazarus ciblant via LinkedIn et email des experts travaillant sur les sanctions contre la Corée du Nord. Ces experts recevaient des demandes d'entretien ou de contribution à des publications de think tanks fictifs, conçus pour collecter des informations sur les travaux en cours et les communications diplomatiques. La sophistication des faux profils — incluant de vrais historiques de publications et des affiliations académiques vérifiables — rendait leur détection particulièrement difficile.

Articles similaires

Les réseaux sociaux sont devenus un vecteur d’exposition majeur des organisations

Les réseaux sociaux sont devenus le premier outil de reconnaissance des attaquants : organigrammes, projets, prestataires — tout est visible avant la première attaque technique.

24 mai 2026 7 min

Pourquoi l’image numérique peut devenir une faille de sécurité

L'image numérique institutionnelle est une cible : usurpation de marque, désinformation, phishing exploitant la crédibilité — plus une organisation est reconnue, plus son image est précieuse pour les attaquants.

24 mai 2026 7 min

Les erreurs fréquentes dans la gestion des comptes institutionnels

Les comptes institutionnels sur les réseaux sociaux sont gérés sans les contrôles appliqués aux SI internes : mots de passe partagés, absence de MFA, comptes orphelins — un angle mort organisationnel à corriger en priorité.

24 mai 2026 7 min
WhatsApp