Retour au blog
Threat actorsingénierie socialehistoire

Kevin Mitnick : ce que le plus célèbre hacker nous a appris sur l'ingénierie sociale

Publié le 2026-04-137 min de lectureFlorian

Qui était Kevin Mitnick

Kevin Mitnick (1963-2023) est probablement le hacker le plus célèbre de l'histoire. Dans les années 1980 et 1990, il a compromis les systèmes de Pacific Bell, Nokia, Motorola, Sun Microsystems, Fujitsu et d'autres entreprises majeures. Sa particularité : son arme principale n'était pas la technologie, mais l'ingénierie sociale.

Arrêté en 1995 après une traque de deux ans par le FBI, il a passé cinq ans en prison (dont huit mois en isolement). Après sa libération, il est devenu consultant en sécurité et a fondé Mitnick Security Consulting. Il est décédé le 16 juillet 2023 d'un cancer du pancréas.

L'ingénierie sociale selon Mitnick

Mitnick a codifié les techniques d'ingénierie sociale dans son livre "The Art of Deception" (2002). Son principe central : la faille la plus facile à exploiter n'est pas dans le logiciel, c'est dans l'humain.

Prétexting : créer un scénario crédible pour obtenir des informations. Mitnick appelait les standards téléphoniques des entreprises en se faisant passer pour un technicien, un manager ou un auditeur. Avec chaque appel, il obtenait un fragment d'information qui rendait l'appel suivant plus crédible.

Piggybacking : exploiter la confiance établie par d'autres. Si vous connaissez le nom du responsable IT et les termes techniques de l'entreprise, les employés supposent que vous êtes légitime.

Quid pro quo : offrir quelque chose en échange de l'information. Mitnick se faisait passer pour le support technique et "aidait" les employés à résoudre un problème fictif, obtenant leurs identifiants au passage.

Ses techniques qui fonctionnent encore en 2026

L'appel au support technique

Mitnick appelait les employés en se faisant passer pour le support IT. En 2026, cette technique est utilisée par les groupes de ransomware (comme dans l'attaque Uber 2022) via des appels Teams, des messages Slack et des notifications MFA.

La collecte d'informations par fragments

Chaque information obtenue rend l'attaque suivante plus crédible. Un nom d'employé, un numéro de téléphone interne, un nom de projet. Mitnick n'avait besoin que d'un annuaire et d'un téléphone. En 2026, LinkedIn, les réseaux sociaux et les fuites de données fournissent ces fragments à grande échelle.

L'exploitation de l'autorité

Se faire passer pour quelqu'un de haut placé dans la hiérarchie pour court-circuiter les procédures de sécurité. Mitnick se faisait passer pour des managers. En 2026, les deepfakes audio et vidéo rendent cette technique encore plus convaincante.

L'urgence artificielle

Créer un sentiment d'urgence pour empêcher la cible de réfléchir. "Le serveur est en panne, j'ai besoin de votre mot de passe immédiatement." Cette technique est la base du phishing moderne.

Ce que Mitnick nous a appris

1. La sécurité technique sans sensibilisation humaine est incomplète. Les meilleures firewalls ne protègent pas contre un employé qui donne ses identifiants par téléphone.

2. L'information est la clé. Plus un attaquant connaît votre organisation (noms, rôles, projets, technologies), plus il est convaincant. Limitez les informations publiquement disponibles.

3. Les procédures doivent résister à la pression sociale. Un processus de vérification d'identité qui peut être contourné par un appel "urgent" d'un "manager" n'est pas un processus de sécurité.

4. La confiance est une vulnérabilité. Les humains sont câblés pour faire confiance et aider. Les attaquants exploitent cette disposition naturelle.

L'héritage en 2026

Malgré les progrès technologiques, l'ingénierie sociale reste le vecteur d'attaque le plus efficace. Les attaques Uber 2022, MGM Resorts 2023 et des dizaines d'autres incidents majeurs reposent sur les mêmes principes que Mitnick a décrits il y a 25 ans.

La différence en 2026 : l'IA amplifie les capacités de l'attaquant. Les deepfakes audio permettent de cloner la voix d'un dirigeant. Les LLM génèrent des emails de phishing parfaits dans n'importe quelle langue. Mais les défenses restent les mêmes : vérification d'identité robuste, procédures résistantes à la pression, et sensibilisation continue.

CleanIssue intègre l'évaluation de la résistance à l'ingénierie sociale dans ses audits. Parce que la meilleure technologie du monde ne protège pas contre un humain qui fait confiance à la mauvaise personne.

Articles liés

Trois analyses proches pour continuer la lecture sur la meme surface de risque.

Hacks célèbresingénierie sociale

Uber 2022 : l'attaque par ingénierie sociale qui a tout compromis

Un attaquant de 18 ans a compromis l'intégralité des systèmes d'Uber via du social engineering et du MFA fatigue. Chronologie et leçons.

2026-04-08 · 7 min de lecture
Threat actorsAPT

APT28 et APT29 : les opérations cyber russes décryptées

Profils d'APT28 (Fancy Bear) et APT29 (Cozy Bear) : organisations, tactiques, opérations notables et implications pour la cybersécurité européenne.

2026-04-12 · 8 min de lecture
Threat actorsransomware

Cl0p, LockBit, ALPHV : l'écosystème ransomware moderne en 2026

Cartographie de l'écosystème ransomware en 2026 : le modèle RaaS, les principaux groupes, leurs tactiques et l'évolution vers l'extorsion pure.

2026-04-11 · 8 min de lecture

Sources

Rédigé par Florian
Revu le 2026-04-13

Analyse éditoriale fondée sur la documentation officielle des éditeurs, projets et autorités concernées.

Services associés

Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.

Audit Complet

Documenter toutes les failles prioritaires et obtenir un vrai plan de remédiation.

Revue Externe

Obtenir rapidement une lecture claire de l'exposition réelle de votre produit.

Besoin d'une revue externe de votre SaaS RH ?

Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

Parler de votre audit