SkipToMainContent

Arnaques en ligne

Tout ce qu'il faut savoir sur les attaques d'ingénierie sociale

March 14, 2022

De manière générale, on peut supposer que lorsqu'un cybercriminel veut prendre le contrôle d'un ordinateur, il commence par chercher une vulnérabilité logicielle sur l'appareil en question. Par conséquent, vous pensez peut-être qu'il suffit de maintenir vos logiciels à jour et de disposer d'un antivirus puissant qui protège vos appareils numériques contre les virus ou les logiciels malveillants. Ce n'est malheureusement pas le cas. Il existe un autre type de cybermenace en plein essor qu'aucun pare-feu et aucune protection antivirus ne parviennent à bloquer : l'ingénierie sociale.   

Les experts en ingénierie sociale ont appris que, parfois, le moyen le plus efficace et souvent le plus simple d'atteindre leurs objectifs ne passe pas par l'appareil mais par l'utilisateur. Cela signifie qu'une fois que vous avez compris ce qu'est l'ingénierie sociale et comment elle fonctionne, vous pouvez utiliser ces connaissances pour vous défendre et pour éviter de tomber dans le piège des attaques d'ingénierie sociale en ligne les plus populaires. 

Qu'est-ce que l'ingénierie sociale ?

L'ingénierie sociale, c'est l'art d'inciter quelqu'un à communiquer des informations confidentielles. En jouant sur les émotions des individus et sur leur tendance naturelle à faire confiance, les experts en ingénierie sociale sont capables de les manipuler pour qu'ils divulguent des informations sensibles comme des mots
de passe et des coordonnées bancaires. En outre, les attaques d'ingénierie sociale sont souvent menées pour convaincre les utilisateurs de cliquer sur des pièces jointes infectées par des malwares et/ou de les ouvrir et de les télécharger. 

Techniques courantes utilisées par les experts en ingénierie sociale

Lors d'une attaque d'ingénierie sociale, l'auteur commence par recueillir le plus d'informations possible sur la personne ou l'entreprise visée (s'il souhaite obtenir des données confidentielles d'une entreprise). Plus il connaît de détails sur sa cible, plus il sera facile d'établir le contact et de gagner rapidement sa confiance. Les taquants utilisent diverses méthodes pour recueillir les informations dont ils ont besoin. Ils peuvent chercher leur cible sur Google ou l'espionner sur les réseaux sociaux.

Une fois que ces fraudeurs savent quels groupes Facebook une cible a rejoints, quelles vidéos elle regarde sur YouTube, quelles photos elle consulte sur Instagram et ce qu'elle épingle sur Pinterest, ils peuvent construire des histoires plus crédibles pour piéger leurs cibles.

S'ils recherchent des informations commerciales, ils consulteront vos contacts LinkedIn ou votre site web d'entreprise pour connaître la structure de votre entreprise. Ainsi, ils pourront se glisser dans le rôle d'un employé de l'entreprise ou d'un contact commercial crédible lors de la prise de contact.

Les attaques d'ingénierie sociale en ligne les plus courantes

Les attaques d'ingénierie sociale peuvent être très convaincantes, il est donc important de savoir à quoi elles ressemblent pour éviter d'en être victime. Les exemples ci-dessous correspondent aux attaques d'ingénierie sociale en ligne les plus courantes.

Phishing  

Le phishing est à l'origine de 90 % de toutes les fuites de données. Dans ce scénario, le fraudeur se fait passer pour une personne ou une entreprise réelle et mène généralement son attaque par le biais de messages électroniques, de chats, de publicités sur Internet ou de sites web. Il peut par exemple créer un faux site web qui demande aux utilisateurs de réinitialiser leur mot de passe ou de saisir des informations sensibles telles que leur numéro de carte de crédit ou leur numéro de téléphone. 

Spear phishing  

Le spear phishing est une variante du phishing particulièrement sophistiquée qui vise les cadres supérieurs des entreprises. L'objectif est d'exploiter les données, les informations internes et d'accéder aux outils de l'entreprise. Dans ce cas, les fraudeurs cherchent à établir un contact direct avec la victime. Parfois, ils se font passer pour des administrateurs système par message électronique, ou pour un collègue sur Facebook. Parfois, les attaquants osent même passer un appel téléphonique direct.

Hameçonnage 

Les attaques par hameçonnage sont similaires aux attaques de phishing, mais au lieu de proposer de résoudre un problème, l'attaquant offre à la victime quelque chose d'attrayant. Par exemple, une cible peut être attirée par une récompense gratuite ou une bonne affaire et, pour la recevoir, elle doit saisir des informations personnelles sensibles utiles au fraudeur.   

Technique de la contrepartie  

La technique de la contrepartie désigne un stratagème d'ingénierie sociale qui attire les victimes avec une promesse spécifique si elles révèlent des informations en retour. Les attaquants qui utilisent cette technique se font le plus souvent passer pour les employés d'un service informatique. Par exemple, ils peuvent appeler tous les employés d'une entreprise et leur promettre une solution rapide et simple. Les victimes peu méfiantes doivent simplement désactiver leur programme antivirus. Au lieu d'obtenir une solution, un malware est alors installé sur leur ordinateur.  

Comment se défendre contre les attaques d'ingénierie sociale 

La meilleure défense contre l'ingénierie sociale n'est pas d'ordre technique, c'est vous. Une bonne dose de scepticisme, associée à une attention accrue à ce que vous faites en ligne, peut vous aider à éviter les erreurs. Voici quelques conseils pour vous protéger contre les attaques d'ingénierie sociale : 

  • N'ouvrez pas les messages électroniques, ne cliquez pas sur les liens et/ou ne téléchargez pas les pièces jointes provenant de sources douteuses. 
  • Ne croyez pas aux offres alléchantes. Si une offre vous semble trop belle pour être vraie, c'est sans doute le cas. 
  • Utilisez l'authentification multifactorielle. En plus des mots de passe forts et uniques, il n'est jamais inutile d'ajouter une couche supplémentaire de sécurité à vos comptes en ligne.
  • Assurez-vous d'utiliser un logiciel antivirus à jour. Tenez-vous informé des nouveaux types de malwares qui circulent.
  • Ne répondez pas aux demandes d'informations personnelles ou de mots de passe.
  • Rejetez les conseils ou l'aide non sollicités. Les experts en ingénierie sociale peuvent vous demander votre aide pour obtenir des informations, ou proposer de vous aider, souvent en se faisant passer pour un service d'assistance technique. 

Comme vous pouvez le constater, un peu de bon sens peut suffire à arrêter les fraudeurs en ligne. Mais restez vigilants ! Les experts en ingénierie sociale sont des escrocs aguerris : ils peuvent faire croire à n'importe qui presque n'importe quoi.

Norton by Symantec devient Norton LifeLock. La protection contre l'usurpation d'identité LifeLock™ n'est pas disponible dans tous les pays.

Copyright © 2022 NortonLifeLock Inc. Tous droits réservés. NortonLifeLock, le logo NortonLifeLock, le logo en forme de coche, Norton, LifeLock et le logo Lockman sont des marques commerciales ou des marques déposées de NortonLifeLock Inc. ou de ses filiales aux États-Unis et dans d'autres pays. Firefox est une marque commerciale de Mozilla Foundation. Android, Google Chrome, Google Play et le logo Google Play sont des marques commerciales de Google, LLC. Mac, iPhone, iPad, Apple et le logo Apple sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays. App Store est une marque de service d'Apple Inc. Alexa et tous les logos associés sont des marques commerciales d'Amazon.com, Inc. ou de ses filiales. Microsoft et le logo Windows sont des marques commerciales de Microsoft Corporation aux États-Unis et dans d'autres pays. Le robot Android est une reproduction ou une modification de l'œuvre créée et partagée par Google et doit être utilisé en accord avec les conditions décrites dans le contrat d'attribution Creative Commons 3.0 Attribution License. Les autres noms peuvent être des marques commerciales de leurs détenteurs respectifs.