// Jour 2 — Session 01

L'ART DE LA
MANIPULATION

Ingénierie Sociale & Phishing

🎭 Social Engineering 📧 Phishing 📱 Smishing & Vishing 🧠 Psychologie de l'attaque

root@gaboctf:~$ // L'humain est la faille la plus exploitable

← → POUR NAVIGUER | ESPACE POUR AVANCER

// 01 · Warm-up

Hier on a vu que...

✅ ACQUIS J1

CIA — les 3 piliers fondamentaux
Les types d'attaquants
Le contexte gabonais & africain
Les métiers de la cybersécurité

❓ QUESTION DU JOUR

"Si je vous envoie un email de votre banque vous demandant de changer votre mot de passe... combien d'entre vous cliqueraient ?"

90% des cyberattaques commencent par un email

// 02 · Définition

L'Ingénierie Sociale

"Manipuler psychologiquement une personne pour qu'elle divulgue des informations ou effectue une action contre ses intérêts."

Cible l'humain — pas les machines. Un firewall ne protège pas contre la manipulation
Aucun outil technique requis — juste de la psychologie, du culot et de la préparation
92% des cyberattaques réussies commencent par de l'ingénierie sociale
Fonctionne sur tout le monde — y compris les experts, si le scénario est bien construit

POURQUOI ÇA MARCHE — LES 5 LEVIERS

😰 PEUR

"Votre compte sera supprimé dans 1h" → la peur désactive le raisonnement logique

⚡ URGENCE

"Agissez maintenant !" → pas le temps de vérifier, on agit avant de réfléchir

🤝 CONFIANCE

"Je suis de votre banque" → on obéit à l'autorité sans questionner

🎁 CURIOSITÉ / 💰 CUPIDITÉ

"Vous avez gagné un prix" → l'appât du gain fait baisser la vigilance instantanément

// 03 · Les Attaques

Les 4 vecteurs principaux

EMAIL

📧

PHISHING

Email frauduleux imitant une entité de confiance (banque, opérateur, admin IT). Vise à voler des identifiants ou installer un malware via une pièce jointe ou un lien piégé.

→ Exemple Gabon : faux email "Airtel Money — compte suspendu"

SMS

📱

SMISHING

Phishing par SMS. Très efficace en Afrique où le mobile est le premier outil de communication. L'attaquant usurpe un numéro court pour paraître légitime.

→ "BGFI : transaction suspecte. Cliquez : bit.ly/bgfi-secure"

APPEL

📞

VISHING

Phishing par appel vocal. L'attaquant se fait passer pour votre banque, opérateur ou support IT. La voix humaine crée une pression immédiate difficile à ignorer.

→ "Airtel ici — confirmez votre code SIM pour la mise à jour"

CIBLÉ

🎯

SPEAR PHISHING

Version ultra-ciblée : l'attaquant connaît votre nom, poste, collègues, projets en cours. Il construit un message sur mesure. Taux de succès 3x plus élevé que le phishing classique.

→ "Bonjour [Prénom], suite à notre réunion de lundi…"

// 04 · Techniques avancées

Le Pretexting & la mise en scène

C'EST QUOI ?

Le pretexting c'est inventer un scénario fictif mais crédible pour obtenir ce qu'on veut. L'attaquant joue un rôle — comme un acteur — et prépare son histoire à l'avance.

Basé sur de l'OSINT — recherches préalables sur la cible (LinkedIn, site web, réseaux sociaux)
Plus le scénario est personnalisé et contextualisé, plus il est crédible
Cible souvent des personnes en position d'autorité ou de service — secrétaires, admins, help desk
Difficile à détecter car aucune technique informatique n'est impliquée

SCÉNARIOS RÉELS — AU GABON ET AILLEURS

🎭 RÔLE : Support IT

"Je suis du service informatique. Votre compte va être suspendu dans 2h si vous ne me donnez pas votre mot de passe pour la migration."

🎭 RÔLE : DRH

"C'est la direction des ressources humaines. J'ai besoin de votre matricule et votre numéro de compte pour le virement de la prime."

🎭 RÔLE : Opérateur Airtel

"Airtel ici. Nous effectuons une mise à jour de sécurité de votre SIM. Confirmez le code reçu par SMS pour valider."

🎭 RÔLE : Auditeur externe

"Je suis mandaté par la direction pour un audit. Envoyez-moi la liste complète des employés avec leurs accès."

// 05 · Démo — Anatomie d'un Phishing

Disséquons un vrai email de phishing

De : [email protected]

À : [email protected]

Objet : ⚠️ URGENT — Votre compte Mobile Money va être suspendu

Cher(e) client(e),

Nous avons détecté une activité suspecte sur votre compte Airtel Money. Pour éviter la suspension de votre compte dans les 24 heures, vous devez confirmer vos informations immédiatement.

Cliquez ci-dessous pour sécuriser votre compte :

🔒 SÉCURISER MON COMPTE MAINTENANT

Si vous ne répondez pas, votre compte sera définitivement bloqué. — Service Sécurité Airtel Gabon

// 06 · Démo — Les Red Flags

Les 6 signaux d'alarme

01

Adresse email suspecte — Ne regardez pas le nom affiché, regardez le vrai domaine.

"support@airte1-gabon.com" ≠ "airtel.com" → 1 lettre suffit

02

Urgence artificielle — "24h", "immédiatement", "compte suspendu". L'urgence est conçue pour court-circuiter votre cerveau avant que vous réfléchissiez.

03

Lien qui ne correspond pas — Survolez le lien sans cliquer. L'URL réelle s'affiche en bas du navigateur. Si elle est différente du site annoncé → STOP.

"Cliquez ici" → redirige vers bit.ly/xk8q2p

04

Demande d'infos sensibles — Une vraie banque, un vrai opérateur ne vous demande JAMAIS votre mot de passe, code PIN ou code OTP par email ou SMS. Jamais.

05

Formule générique — "Cher client" au lieu de votre prénom = envoi en masse. L'attaquant ne vous connaît pas. Exception : le spear phishing utilise votre vrai prénom.

06

Mise en page ou logos suspects — Logo flou, couleurs légèrement décalées, police différente. L'attaquant a copié le site mais pas parfaitement.

💡 Astuce : comparez avec le vrai site dans un autre onglet

// 07 · Cas Réel Gabon

Le SIM Swapping au Gabon

"L'attaquant appelle votre opérateur en se faisant passer pour vous. Il transfère votre numéro sur sa SIM. Vous perdez le réseau. Il reçoit tous vos SMS — y compris les codes OTP de votre Mobile Money."

🔴 COMMENT ÇA SE PASSE

L'attaquant collecte vos infos (nom, numéro, opérateur) via OSINT
Il appelle l'opérateur avec un prétexte ("téléphone perdu")
Il récupère votre numéro sur une nouvelle SIM
Il réinitialise vos comptes via SMS

✅ SE PROTÉGER

Activer un code PIN sur votre SIM
Ne pas lier tous vos comptes à votre numéro mobile
Utiliser une app d'authentification (pas SMS)
Alerter immédiatement si vous perdez le réseau

// 07b · Dans la tête de l'attaquant

Comment un phishing est fabriqué

🔴 LES ÉTAPES DE L'ATTAQUE

01

Reconnaissance — OSINT sur la cible. LinkedIn, site web, réseaux sociaux.

02

Enregistrement domaine — "airte1-gabon.com" pour 10€/an. En 5 minutes.

03

Clonage du site — copie exacte de la vraie page de login. Outil : HTTrack.

04

Envoi massif — via GoPhish ou outils SMTP. 10 000 emails en quelques minutes.

05

Collecte — les identifiants arrivent en temps réel dans un dashboard.

⚡ CE QUE ÇA COÛTE À L'ATTAQUANT

Nom de domaine ~10€

Hébergement serveur ~5€/mois

GoPhish (outil envoi) GRATUIT

Temps de préparation ~2 heures

Gain potentiel ILLIMITÉ

⚠️ Ces techniques sont illégales. Cette slide existe pour vous apprendre à vous défendre.

// 07c · Démo Live

🔴 DÉMO LIVE — Construire un phishing

CE QUE VOUS ALLEZ VOIR — EN TEMPS RÉEL — 20 MINUTES

// ÉTAPES DE LA DÉMO

Étape 1 — On choisit une cible fictive : "Airtel Gabon"
Étape 2 — On enregistre un faux domaine similaire
Étape 3 — On construit l'email frauduleux
Étape 4 — On envoie à une adresse de test
Étape 5 — On observe ce que reçoit l'attaquant

// CE QUE VOUS DEVEZ RETENIR

Un phishing convaincant se crée en moins de 2h
Aucune compétence technique avancée requise
Les outils sont légaux et gratuits — c'est l'usage qui est criminel
La même connaissance sert à tester et défendre votre organisation

NOTE ÉTHIQUE IMPORTANTE

"Tout ce que vous voyez ici s'effectue dans un cadre légal contrôlé. Reproduire ces techniques sur des systèmes réels sans autorisation est un crime punissable par la loi. Le but : comprendre l'attaque pour mieux la contrer."

root@gaboctf:~$ // Regardez. Posez des questions. Prenez des notes.

// 08 · Atelier

⚡ Atelier — Détecte le piège

PAR BINÔMES — 15 MINUTES

Analysez ces 5 messages. Pour chacun, décidez : PHISHING ou LÉGITIME ? Justifiez votre réponse.

📱 SMS : "BGFI Bank : Transaction de 250 000 FCFA détectée. Si ce n'est pas vous, cliquez : bit.ly/bgfi-secure"

📧 Email : "Bonjour Jean-Marc, suite à notre réunion de lundi, voici le document demandé en PJ."

📱 WhatsApp : "Félicitations ! Vous avez été sélectionné pour gagner un iPhone 15. Envoyez vos coordonnées au 077-XXX-XXX"

📧 Email de votre IT : "Mise à jour obligatoire de votre mot de passe avant vendredi. Lien : monentreprise-secure-login.net"

📱 SMS Airtel : "Votre facture de 5 500 FCFA est disponible sur MyAirtel. Connectez-vous sur myairtel.gabon.com"

// 08 · Correction

Correction — Les réponses

🎣 PHISHING SMS BGFI — bit.ly masque l'URL réelle. Une banque ne raccourcit jamais ses liens.

✅ LÉGITIME Email Jean-Marc — Personnalisé, contextualisé. Mais vérifiez quand même l'expéditeur et la PJ.

🎣 PHISHING WhatsApp iPhone — Classique arnaque par cupidité. Aucune entreprise sérieuse n'offre des prix par WhatsApp.

🎣 PHISHING Email IT — Domaine "monentreprise-secure-login.net" ≠ domaine officiel. Spear phishing.

✅ LÉGITIME SMS Airtel — Domaine officiel "myairtel.gabon.com". Mais toujours taper l'URL manuellement.

// 09 · Défense

Les réflexes qui sauvent

🔍

Vérifiez le vrai expéditeur — Pas le nom affiché. Cliquez sur le nom pour voir l'adresse complète. Lisez le domaine lettre par lettre.

"BGFI Bank" peut cacher bgfii-bank.net

🖱️

Survolez avant de cliquer — L'URL réelle s'affiche en bas du navigateur ou en info-bulle. Si l'adresse est bizarre ou différente du site attendu, ne cliquez pas.

📞

Raccrochez et rappelez — Si quelqu'un vous appelle en demandant une action urgente, raccrochez. Appelez vous-même le numéro officiel de l'organisation. Ne rappelez pas le numéro entrant.

🔐

Activez le MFA partout — L'authentification à deux facteurs signifie que même si votre mot de passe est volé, l'attaquant ne peut pas se connecter sans le second code.

App recommandée : Google Authenticator ou Authy (pas SMS)

⏸️

La règle des 3 secondes — Avant tout clic, toute réponse, tout téléchargement : pausez 3 secondes. Demandez-vous : est-ce que j'attendais ce message ? Qui me le demande vraiment ?

🗣️

Signalez — ne gardez pas pour vous — Un message suspect que vous signalez peut protéger 50 autres personnes. En entreprise, un email de phishing non signalé peut compromettre tout le réseau.

// 09b · Hygiène numérique

🔑 Le mot de passe — théorie

✅ UN BON MOT DE PASSE C'EST QUOI ?

Long — minimum 12 caractères, idéalement 16+
Complexe — majuscules + minuscules + chiffres + symboles
Unique — un mot de passe différent par compte
Imprévisible — aucun mot du dictionnaire, aucune info personnelle
Mémorable via une phrase : J'ai2chatsNoirs!

🔴 CE QU'IL NE FAUT JAMAIS FAIRE

Utiliser son prénom, date de naissance, ville
Réutiliser le même mot de passe partout
Écrire son mot de passe sur un post-it
Le partager, même avec un collègue de confiance

⏱️ LONGÉVITÉ — QUAND LE CHANGER ?

Compte bancaire / email Tous les 3 mois

Réseaux sociaux Tous les 6 mois

Après une fuite de données Immédiatement

Si partagé avec quelqu'un Immédiatement

💡 LA SOLUTION : GESTIONNAIRE DE MDP

Un gestionnaire génère et retient des mots de passe complexes à ta place. Tu n'en retiens qu'un seul — le maître.

Bitwarden 1Password KeePass ✅ Gratuit & Open Source

// 09c · Atelier

⚡ Atelier — Classement de mots de passe

PAR ÉQUIPES — 10 MINUTES

Classez ces mots de passe du plus faible (1) au plus robuste (8)

? 123456

? password

? Libreville2024

? P@ssw0rd!

? beni2003

? Tr0pic@lF1sh!

? j@imeLesM@ngues2024!

? X#9kL$2mPq@7vNz!

CORRECTION — CLASSEMENT

1 123456 cracké en <1 sec

2 password top 10 mondial

3 beni2003 info personnelle

4 Libreville2024 mot du dico + date

5 P@ssw0rd! substitutions prévisibles

6 Tr0pic@lF1sh! 12 chars, bon mix

7 j@imeLesM@ngues2024! long + phrase

8 X#9kL$2mPq@7vNz! aléatoire 16 chars ✅

💡 Le n°7 est presque aussi fort que le n°8 et beaucoup plus mémorable → la phrase de passe est la meilleure approche humaine

// 10 · Impact

L'impact en chiffres

92%

des attaques réussies
via ingénierie sociale

Cela signifie que les antivirus et firewalls ne suffisent pas. L'humain reste la première porte d'entrée.

3.4B

emails de phishing
par jour dans le monde

Soit 39 000 par seconde. Même si 99% sont bloqués, des millions passent les filtres chaque jour.

97%

des utilisateurs ne savent pas
reconnaître un phishing sophistiqué

Vous êtes dans les 3% qui savent — après cette formation. C'est votre avantage.

COÛT ENTREPRISE

Un seul incident de phishing coûte en moyenne $4.9 millions à une entreprise — incluant la réponse, les pertes et la réputation.

AFRIQUE / GABON

Fraudes Mobile Money par ingénierie sociale : +200% depuis 2020. Des familles perdent leur épargne en quelques minutes.

BONNE NOUVELLE

La formation réduit le risque de clic sur un phishing de 70%. Ce que vous apprenez aujourd'hui a un impact direct et mesurable.

// 11 · Discussion

Retour d'expérience 🎤

QUESTIONS OUVERTES — 10 MINUTES

Avez-vous reçu un SMS ou WhatsApp frauduleux ? Comment l'avez-vous identifié — ou pas ?
Connaissez-vous quelqu'un victime d'une arnaque Mobile Money ? Qu'est-ce qui s'est passé exactement ?
Si vous deviez attaquer votre propre entourage par ingénierie sociale — quelle émotion utiliseriez-vous et pourquoi ?
Est-ce qu'une bonne orthographe garantit qu'un email est légitime ? Pourquoi pas ?
Pourquoi selon vous les experts en cybersécurité eux-mêmes peuvent-ils être victimes ?

CE QUE CES QUESTIONS RÉVÈLENT

LA VRAIE LEÇON

L'ingénierie sociale fonctionne parce que nous sommes humains. La peur, l'urgence et la confiance ne sont pas des faiblesses — ce sont des qualités détournées.

CE QUI CHANGE APRÈS CETTE SESSION

Vous avez maintenant un cadre de réflexion. Avant de cliquer, vous allez vous poser des questions. Ce réflexe seul peut vous sauver.

root@gaboctf:~$ // Savoir comment fonctionne une attaque
root@gaboctf:~$ // c'est la meilleure défense qui existe

// Récap J2 · Preview J3

J2 — Ce qu'on a vu

✅ ACQUIS AUJOURD'HUI

Phishing, Smishing, Vishing, Spear Phishing
Pretexting et mise en scène de l'attaque
Anatomie d'un email de phishing
Les 6 red flags à repérer
Les réflexes de défense

⚡ DEMAIN — J3

Les fondations techniques
Modèle OSI, ports, protocoles
Wireshark — capturer et lire du trafic réseau
Nmap — scanner ce qui est exposé
Labo : vous mettez les mains dans le réseau

🔧 Hands-on technique

SooPHA Masterclass × Cybersécurité — Gabon 2026

L'ART DE LAMANIPULATION