Offre spéciale 2024 : 2 mois SoSafe offerts pour toute souscription ! En savoir plus.

Un personnage, représentant un hacker et portant un sweat à capuche et des lunettes de soleil, tient dans sa main une pomme verte dans laquelle est gravé le crâne d'un squelette, symbolisant les dangers du quid pro quo en matière de cybersécurité.

Quid pro quo attacks

Dans une attaque quid pro quo, l’assaillant laisse miroiter un bénéfice à sa victime en échange d’informations sensibles, d’un accès au système ou d’une action spécifique.

28 octobre 2024 · 17 min de lecture

Qu’est-ce qu’une attaque quid pro quo ?

Les attaques quid pro quo sont un type d’ingénierie sociale où l’attaquant propose un service ou un avantage en échange d’informations ou d’un accès à un système. Imaginez qu’une personne se faisant passer pour un technicien en informatique vous contacte en vous proposant de rendre votre ordinateur plus rapide. Vous avez l’impression que votre interlocuteur est fiable et il réussit à vous convaincre que vous avez besoin de ses services. De fait, il vous aide à améliorer les performances de votre ordinateur et vous pensez avoir fait une bonne affaire. Et si, pendant qu’il travaillait à accélérer le fonctionnement de votre appareil, il avait eu accès à des fichiers sensibles et dérobé vos données personnelles ? C’est le principe « donnant-donnant » des attaques quid pro quo.

Ces dernières années, les attaques d’ingénierie sociale ont connu un réel essor et le quid pro quo ne fait pas exception à la règle. Selon le Rapport 2023 sur la criminalité sur Internet du FBI, le nombre d’arnaques à l’assistance technique, l’une des formes de quid pro quo les plus fréquentes, a augmenté pour la troisième année consécutive en 2023. Plus inquiétant encore, c’est la troisième forme de cybercriminalité la plus coûteuse pour l’année 2023, avec plus de 900 millions de dollars de pertes occasionnées.

Ces statistiques montrent bien les graves répercussions financières que peuvent avoir les attaques quid pro quo et soulignent toute l’importance d’adopter des mesures préventives et de se tenir informé·e des différentes stratégies imaginées par les assaillants pour tromper leurs victimes.

Une personne utilise son ordinateur et y reçoit des offres, un sourire aux lèvres, tandis qu’un hacker vêtu d’un sweat à capuche, sur la droite, récupère des données sensibles.

Anatomie d’une attaque quid pro quo : comment fonctionne cette arnaque ?

De la première prise de contact à l’escroquerie finale, les attaques quid pro quo suivent un schéma savamment calculé pour manipuler leur cible. Il est donc intéressant de se pencher sur les différentes étapes de cette méthode bien rodée pour mieux les comprendre et savoir se défendre.

  • Approche : L’attaque commence souvent de manière innocente, par une offre de service. L’assaillant peut ainsi se présenter comme un technicien informatique désireux de vous aider ou vous proposer une offre défiant toute concurrence, de sorte que la prise de contact n’éveille pas vos soupçons. Par exemple, une fenêtre pop-up apparaît dans votre navigateur Internet pour vous informer de la présence de virus sur votre appareil et vous proposer un antivirus gratuit.
  • Création d’une relation de confiance : Lorsque la victime a mordu à l’hameçon, l’attaquant passe à l’étape suivante du plan et cherche à instaurer une relation de confiance. Il peut tenir sa promesse d’aide ou de service, ou fournir un produit qui semble authentique pour que sa victime n’ait pas le sentiment d’être en danger.
  • Exploitation : Enfin, lorsqu’il pense avoir été suffisamment crédible, l’attaquant tire parti de la situation. Une fois la victime rassurée, il va lui demander des informations sensibles ou un accès à l’un de ses appareils… et le piège se referme. Le cybercriminel est parvenu à ses fins : il a obtenu un accès à des données confidentielles ou réussi à compromettre la sécurité de la victime.
Graphisme présentant les trois étapes d’une attaque quid pro quo en cybersécurité. La première étape : « Approche » consiste à présenter à la victime une offre extrêmement alléchante. La seconde étape « Création d’une relation de confiance » est illustrée par une poignée de main qui symbolise l’acceptation et la confiance de la victime dans un produit qui semble authentique. La troisième étape « Exploitation » correspond à la phase où l’attaquant demande et obtient de la victime des informations sensibles.

Reconnaître une attaque quid pro quo

Il peut être difficile de faire la différence entre une offre authentique de produits ou de services et une attaque quid pro quo. Quelques indices peuvent cependant vous mettre sur la voie. Si vous remarquez l’un des signes suivants, redoublez de vigilance et demandez de l’aide le cas échéant :

  • Offres ou demandes non sollicitées : Une offre ou une demande non sollicitée peut être le signe d’un quid pro quo. En général, les recruteuses ou recruteurs ne contactent pas spontanément quelqu’un pour lui proposer un poste et les technicien·ne·s en informatique n’apparaissent pas comme par magie sur le pas de la porte… Pas plus que les assistances médicales que vous n’avez pas demandées.
  • Forte pression : Les auteurs d’attaques par ingénierie sociale sont passés maîtres dans l’art de générer un sentiment d’urgence qui pousse les gens à agir sans réfléchir. Les formulations du type « Cette offre ne durera pas longtemps », « D’autres acheteurs potentiels sont sur le point d’acheter ce produit », « Cette offre a déjà reçu de nombreuses candidatures » ou « Le nombre de postes vacants est limité » doivent vous mettre la puce à l’oreille.
  • Demandes d’informations personnelles ou financières : Comme le principe du quid pro quo repose sur un échange apparemment équitable, les demandes d’informations personnelles peuvent sembler aller de soi et être nécessaires à la conclusion du marché. Soyez vigilant·e si les demandes qui vous sont faites sortent de l’ordinaire et touchent, par exemple, à votre numéro de sécurité sociale ou à vos coordonnées bancaires. Dans les transactions authentiques, on demande rarement ce genre d’informations sensibles en amont.
  • Promesses vagues ou peu réalistes : Un adage bien connu dit que « si ça semble trop beau pour être vrai, c’est que c’est probablement faux »… C’est on ne peut plus adapté aux attaques quid pro quo. Qu’il s’agisse d’un traitement miracle, d’un secret pour gagner rapidement de l’argent ou d’un emploi qui devrait vous permettre de gagner un salaire confortable avec peu d’efforts, si l’offre qui vous est faite est peu réaliste, vous devriez y regarder à deux fois. C’est probablement un piège pour vous arnaquer et vous pousser à fournir des informations ou de l’argent à des personnes mal intentionnées.
  • Demandes suspectes de paiements : L’aspect financier doit être abordé de manière transparente et raisonnable. Si un·e prestataire exige soudain le paiement de services, de formations ou d’équipements que vous n’avez pas demandés ou que vous n’avez pas reçus, cela doit vous alerter. Soyez très vigilant·e lorsque vous recevez des demandes de paiement vagues ou injustifiées, et assurez-vous qu’il s’agit de transactions validées en amont.

Quid pro quo ou baiting

Tout comme le baiting, le quid pro quo est une tactique d’ingénierie sociale qui recourt à une forme de manipulation, mais avec un mode opératoire un peu différent.

La principale différence réside dans l’échange en lui-même. Les attaques quid pro quo reposent sur une offre spécifique. Souvent, les assaillants engagent la conversation en proposant quelque chose, comme un antivirus, une assistance technique ou une mise à niveau gratuite, en échange d’informations sensibles ou d’un accès à votre appareil. Les attaques de type baiting, quant à elles, se contentent d’appâter leurs victimes sans qu’il y ait d’accord explicite. Elles font miroiter des offres alléchantes ou promettent du contenu irrésistible pour pousser les victimes à des actions servant les intentions des cybercriminels, mais la notion d’échange n’est pas le principal moteur de cette stratégie. Les attaquants vont, par exemple, proposer à leurs cibles de télécharger un logiciel gratuit qui cache en réalité un malware.

L’approche adoptée dans le cadre du quid pro quo est souvent plus méthodique et calculée sur le long terme. Les acteurs mal intentionnés proposent une assistance ou un service, par exemple, et construisent progressivement une relation de confiance qu’ils vont ensuite détourner à leur avantage. En revanche, le baiting repose avant tout sur une supercherie tout en exploitant la curiosité de la victime ou son intérêt pour une offre attrayante. Il exploite la tendance des victimes à réagir rapidement, sous le coup de l’impulsion, lorsqu’elles sont poussées par un sentiment d’urgence ou par la curiosité.

Les auteurs d’attaque quid pro quo cherchent à tromper leur cible dans l’intention bien établie d’accéder à des données sensibles ou à un système. Le baiting est davantage axé sur le piège tendu aux victimes pour les amener à certaines actions données, par exemple à cliquer sur un lien corrompu ou à télécharger un fichier infecté.

Les attaques quid pro quo activent le levier psychologique de la réciprocité, faisant en sorte que les personnes se sentent débitrices de celles ou ceux qui leur ont fait une faveur. Les victimes fournissent alors des informations de leur plein gré, pensant rendre le service rendu. Le baiting, pour sa part, s’appuie plutôt sur la contrainte et exploite l’appât du gain ou la crainte de manquer une aubaine. Les victimes peuvent avoir l’impression de recevoir quelque chose de valeur, mais sans que le mécanisme de la réciprocité soit enclenché.

Graphisme comparant le quid pro quo et le baiting en cybersécurité. À gauche, le quid pro quo, symbolisé par une poignée de main et un cadenas, est présenté comme un échange : outils contre données sensibles. À droite, le baiting, symbolisé par un cheval de Troie et un cadenas, est présenté comme une offre : cadeaux ou réductions permettant l’infection par malwares. Sous chaque illustration figure une brève explication.

Principales tactiques utilisées dans les attaques quid pro quo

Le quid pro quo peut prendre différents visages : offres d’emploi alléchantes, fraudes aux dons pour associations caritatives ou stratégies d’investissement douteuses. Leur dénominateur commun ? Toutes cherchent à « donner pour recevoir » et vous font miroiter monts et merveilles pour vous amener à céder quelque chose de valeur. Dressons un panorama des principales formes que ces attaques peuvent prendre :

  • Assistance technique : L’auteur de l’attaque se présente comme un·e technicien·ne informatique, et dit généralement travailler pour une société renommée. Il ou elle propose de vous aider à résoudre un problème (fictif) sur votre ordinateur, en vous faisant croire, par exemple, que vous avez été infecté par un virus. Pour vous « aider », ils vous demandent de les autoriser à prendre le contrôle de votre appareil à distance. Il s’agit d’un échange de bons procédés apparemment innocent, mais qui permet généralement aux cybercriminels de se procurer des données sensibles ou d’installer un logiciel malveillant sur votre système.
  • Mise à niveau de logiciel : Les attaquants se font passer pour les commerciaux d’une société bien connue de développement de logiciels. Ils proposent à leurs victimes une offre alléchante : une mise à niveau gratuite ou à moindre coût de leur logiciel. Attention au piège : pour profiter de cette proposition apparemment intéressante, les victimes doivent fournir leurs informations personnelles ou leurs identifiants et mots de passe de connexion.
  • Offre de formation ou d’évolution de carrière : Cette variante consiste à faire miroiter aux personnes contactées des opportunités d’évolution de carrière ou de formation en leur garantissant une place au sein d’une institution prestigieuse ou un travail très bien rémunéré en échange de données personnelles.
  • Points d’accès sans fil ou Wi-Fi gratuits : Certains cybercriminels ingénieux ont mis au point des réseaux Wi-Fi ou des points d’accès sans fil corrompus, souvent cachés sous des noms qui semblent authentiques. Ils proposent alors des accès gratuits à Internet. Cependant, lorsque les utilisateurs se connectent à ces réseaux, les attaquants sont en mesure d’intercepter et de surveiller leurs activités en ligne, de s’emparer de leurs informations de connexion et de dérober d’autres données sensibles.
  • Promotions : Les assaillants utilisent le pouvoir d’attraction des produits gratuits, gadgets ou cartes cadeau, pour appâter leurs victimes et les inciter à fournir des informations personnelles ou à compromettre leur sécurité par certaines actions. Souvent, ces offres gratuites sont factices, mais l’attrait d’un gain financier est suffisamment tentant pour que les victimes acceptent de divulguer leurs données sans rien recevoir en retour.
  • Sondage : Les attaquants se servent de sondages pour attirer leurs victimes et promettent des cadeaux attrayants aux personnes qui y répondent. Attirées par cette promesse de récompense, les cibles répondent au questionnaire. Celui-ci est habilement conçu pour recueillir des informations personnelles ou sensibles qui pourront ensuite être utilisées à des fins malveillantes.
  • Demande d’avis sur une entreprise : Vous pouvez recevoir un e-mail, un SMS ou un appel téléphonique vous invitant à donner votre avis sur une entreprise alors que vous ne l’avez pas sollicitée. Soyez prudent·e. Dans la réalité, les entreprises suivent une procédure bien définie pour recueillir des avis. Il peut s’agir d’une ruse visant à vous extorquer de précieuses données.
  • Faux scientifique : Certains attaquants se présentent comme des chercheurs et utilisent ce prétexte pour extorquer des informations sensibles à d’innocentes victimes. Vérifiez toujours leurs références et l’objet de leur étude pour ne pas tomber dans ce piège.

Les attaques quid pro quo peuvent sembler assez faciles à repérer, mais il ne faut pas perdre de vue que les attaquants misent souvent sur la tendance de leurs cibles à être trop sûres d’elles. Se croire au-dessus du lot nous rend, en réalité, plus vulnérables.

Le facteur humain : pourquoi nous tombons dans le piège du quid pro quo

Les attaques quid pro quo réussissent principalement parce qu’elles reposent sur des techniques de manipulation psychologique. En proposant leur aide ou en faisant une faveur à leur victime, les attaquants font en sorte que celle-ci se sente redevable et soit donc plus disposée à accéder à leur requête. Ce mécanisme est accentué par le principe de réciprocité, une tendance naturelle profondément ancrée dans le comportement humain.

En outre, les assaillants se présentent généralement comme des personnes de confiance, des experts ou des figures d’autorité – informaticien, représentant d’un service client, etc. – afin de gagner plus facilement la confiance de leur cible. Les gens sont davantage susceptibles de faire ce qu’on leur demande s’ils pensent avoir affaire à une figure d’autorité.

Par ailleurs, les cybercriminels jouent sur la notion d’urgence avec des offres à durée limitée ou des menaces. L’objectif est d’exercer une pression sur la cible pour la pousser à agir rapidement, sans réfléchir, de sorte qu’elle tombe plus facilement dans le piège qui lui est tendu.

Quelques exemples concrets d’attaques quid pro quo

Les techniques utilisées dans les attaques quid pro quo pour faire illusion et exercer une forme de manipulation psychologique peuvent piéger même les entreprises les plus résilientes et les personnes les plus à l’aise avec la technologie. Les conséquences, comme nous allons le voir, peuvent être dramatiques.

Le piratage à 620 millions de dollars en cryptomonnaie

L’univers de la cryptomonnaie fait souvent les frais de cyberattaques en tout genre, et les attaques quid pro quo ne font pas exception à la règle. En 2022, les hackers du groupe Lazarus se sont fait passer pour des recruteurs sur LinkedIn et ont réussi à piéger un ingénieur senior de chez Sky Mavis, le studio créateur du jeu Axie Infinity. Ils lui ont fait passer une série d’entretiens d’embauche au cours de laquelle l’ingénieur a été amené à télécharger un fichier infecté par un spyware. Les cybercriminels ont alors eu accès au réseau blockchain d’Axie Infinity et pu y dérober 620 millions de dollars en cryptomonnaie. C’est l’un des plus gros vols de cryptomonnaie de l’histoire.

Fraude aux soins de santé au détriment des plus vulnérables

Nous savons tous que de nombreuses arnaques ont fleuri sur Internet en 2020 pour tenter de profiter de la pandémie. Les auteurs continuent malheureusement à miser sur les problèmes de santé pour se remplir les poches aux dépens des plus vulnérables.

Les personnes âgées, notamment, sont souvent la cible de ces escroqueries qui, à force de promesses mensongères, cherchent à leur extorquer des informations médicales privées. Début 2024, aux États-Unis, des personnes mal intentionnées ont ainsi tenté d’escroquer de nombreuses personnes âgées en leur proposant des services gratuits, des équipements ou des cartes cadeaux. En échange, les victimes devaient fournir leurs informations personnelles et la confirmation de leur éligibilité aux services de l’assurance-santé Medicare. Les cibles étaient contactées par téléphone, en ligne ou par SMS, par le biais de publicités mensongères leur proposant des services « gratuits » ou « intégralement remboursés ».

Une variante de ce type d’attaque propose l’envoi de tests génétiques à domicile alors que ni le ou la destinataire ni son médecin ne les ont commandés. Cette pratique cache une tentative d’usurpation d’identité ou de facturation abusive. Si la victime ne se méfie pas et accepte de se soumettre au test génétique, l’assurance-maladie lui refusera le remboursement de ce test non prescrit et la personne devra en assumer les frais qui peuvent s’élever à plusieurs milliers de dollars.

Hygiène numérique : se protéger des attaques quid pro quo

Il n’existe pas de protection absolue contre les attaques quid pro quo, mais en appliquant quelques bonnes pratiques de sécurité, vous aurez plus de chances de les détecter et de ne pas tomber dans le panneau. Voici quelques idées pour améliorer l’hygiène numérique de votre entreprise et aider vos employé·e·s à identifier les attaques quid pro quo pour se soustraire à leurs tactiques de manipulation :

  • Formation des employé·e·s : Sensibilisez votre équipe aux dangers des attaques quid pro quo et donnez-leur des consignes claires pour identifier les éventuelles menaces et y réagir. Des sessions régulières de formation continue aiguiseront leur vigilance.
  • Méthode d’authentification forte : Mettez en place de solides mesures d’authentification pour contrôler l’identité des personnes qui cherchent à accéder au système ou à se procurer des informations sensibles. Vous pouvez notamment opter pour l’authentification multifacteur (MFA) et des procédures de vérification.
  • Politiques de sécurité complètes : Créez des politiques de sécurité complètes précisant les modalités de traitement, de partage et de protection des données sensibles et faites-les appliquer. Veillez à ce que vos employé·e·s connaissent ces politiques et s’y conforment.
  • Plan d’intervention en cas d’incident : Préparez-vous au pire et élaborez un plan d’intervention en cas d’incident où la procédure à suivre en cas de violation de sécurité est expliquée étape par étape. En cas d’attaque, chaque seconde compte pour limiter les dégâts.
  • Suivi et évaluation réguliers : Assurez un suivi continu de la cybersécurité de votre entreprise et procédez régulièrement à des évaluations. Ces audits fréquents vous permettront de déceler les éventuelles vulnérabilités et marges d’amélioration.

La supercherie du « donnant-donnant » : comment construire la résilience de votre entreprise grâce à SoSafe

Si vous êtes victime d’une attaque quid pro quo, les conséquences peuvent être désastreuses pour votre entreprise. Or, nous savons qu’aujourd’hui les technologies émergentes comme l’IA et les deepfakes rendent les menaces encore plus difficiles à identifier qu’avant. La question n’est plus de savoir s’il faut se protéger, mais comment se protéger. En adoptant une stratégie de gestion globale du risque humain, vous pouvez transformer votre personnel en une ligne de défense solide, capable de reconnaître les pièges et de les signaler, au lieu de tomber dedans.

Chez SoSafe, le facteur humain est au cœur de nos efforts en matière de cybersécurité. C’est la raison pour laquelle notre plateforme de formation en ligne propose une expérience pédagogique immersive et personnalisée, permettant aux employé·e·s d’apprendre précisément ce qu’ils ont besoin de connaître sans perdre un temps précieux en informations inutiles. Les leçons sont gamifiées et s’appuient sur une pédagogie narrative pour motiver l’apprenant·e et maintenir son intérêt.

La sensibilisation à la cybersécurité ne se limite cependant pas à la théorie. Elle nécessite une mise en pratique des connaissances acquises au quotidien pour installer de nouveaux réflexes dans la durée. Nos simulations de phishing sont adaptées sur mesure aux besoins et aux habitudes de vos employé·e·s pour remédier plus efficacement à leurs lacunes en matière de sensibilisation.

Une approche plus holistique de la gestion du risque humain renforcera la résilience de votre entreprise face au contexte de plus en plus complexe des menaces en ligne actuelles.

Offre spéciale 2024 :
2 mois SoSafe offerts pour toute souscription !

Vous cherchez à instaurer une culture de sécurité solide dans votre entreprise et à gérer le risque humain de manière efficace ? Pour toute souscription en 2024, SoSafe vous offre 2 mois supplémentaires gratuits. Bénéficiez d’une plateforme complète et performante, conçue pour engager vos collaborateurs et libérer votre temps.

En savoir plus
Homme excité entouré d'un ordinateur portable et d'icônes

Demander une démo

Découvrez comment notre plateforme peut vous aider à armer votre équipe contre les menaces cyber pour assurer la sécurité de votre entreprise. Réservez une démo : l’un de nos experts vous contactera prochainement.