Glossaire relatif à la confidentialité

Ingénierie sociale

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Qu’est-ce que l’ingénierie sociale ?

L’ingénierie sociale décrit une variété de tactiques utilisées par les acteurs malveillants pour tromper un individu afin qu’il fasse quelque chose qu’il ne ferait pas normalement, surtout (mais pas exclusivement) en ligne. Le hameçonnage est un type courant d’ingénierie sociale en ligne ; d’autres incluent les scarewares, le prétexte et le pharming. Le succès d’une attaque d’ingénierie sociale repose souvent sur la manipulation d’une personne plutôt que sur l’attaque d’un système complet ou d’un logiciel ou matériel d’une entreprise.

Comment fonctionne l’ingénierie sociale ?

Certaines tactiques jouent sur les émotions d’une personne en créant de la peur, de l’enthousiasme, de la panique ou un sentiment d’urgence. L’hypothèse étant qu’une personne dans cet état baissera sa garde et sera plus facile à tromper.

D’autres tactiques reposent sur la familiarité ou l’inattention. L’attaque semble venir d’une source familière ; ainsi, l’individu partage par inadvertance des données sensibles telles que des mots de passe ou des informations bancaires, ou se laisse piéger en cliquant sur des liens menant à des sites web contrefaits ou à des logiciels malveillants.

Exemples d’ingénierie sociale

Hameçonnage (phishing)

Lors d’une attaque de hameçonnage, une personne est trompée pour qu’elle partage ses mots de passe personnels, souvent via un site web factice qui imite un site légitime. Par exemple, une personne peut recevoir un e-mail semblant provenir d’un détaillant où elle fait souvent ses achats, avec un message du type « Vous avez gagné une carte-cadeau ! ». Cliquez ici pour réclamer votre prix ! » Le site web vers lequel ils sont dirigés peut être une imitation convaincante ; lorsque la personne tente de se connecter, le hameçonneur collecte le nom d’utilisateur et le mot de passe, et les utilise pour accéder à son compte sur le site légitime.

Scareware

Les scarewares (ou alarmiciels) affichent souvent des messages contextuels avec un langage urgent comme « Votre ordinateur est infecté. » Le message propose également un bouton incitant au téléchargement ou à la mise à jour d’un logiciel ou à une autre forme de protection. Mais à la place, la personne télécharge un logiciel malveillant.

Prétexte

Le prétexte utilise généralement les SMS (messages texte) pour tromper une personne et lui faire fournir des données personnelles aux escrocs. Par exemple, un message peut prétendre provenir d’un directeur de banque local, avec un message du type « Il y a un problème avec votre compte chèque » et un lien qui (soi-disant) mène au site web de leur banque pour un suivi. Le lien fourni pourrait alors mener à un site web factice qui demande à la personne de prouver son identité en fournissant des données personnelles ou des informations de connexion.

Pharming

Les attaques de pharming exploitent souvent les réseaux sociaux, avec des messages d’urgence factices comme « Votre compte a été piraté. Changez votre mot de passe immédiatement. » Le bouton Mettre à jour le compte installera un logiciel malveillant qui redirige vers un site web contrefait la prochaine fois que la personne essaiera d’accéder à son compte sur les réseaux sociaux. Lorsqu’ils se « connectent » au site contrefait, ils finissent par donner aux attaquants leur mot de passe, qui peut ensuite être utilisé pour accéder à des comptes légitimes. Notez également que si la personne suit la pratique dangereuse de réutiliser les mêmes noms d’utilisateur/mots de passe (ou très similaires) sur différents sites ou applications, les attaquants peuvent alors accéder à ces autres sites et applications.

Ingénierie sociale sur le lieu de travail

L’ingénierie sociale est également un moyen pour les acteurs malveillants d’essayer d’entrer dans les entreprises ou leurs systèmes en ciblant les employés. Dans un cadre professionnel, les attaquants peuvent utiliser une (ou plusieurs) techniques d’ingénierie sociale pour amener un employé ou un groupe d’employés à commettre une erreur, exposant ainsi leur entreprise et leurs collègues à des violations de données, des logiciels malveillants ou d’autres attaques. Les entreprises adoptent les pratiques de cybersécurité pour se défendre contre ces types d’attaques (et d’autres). Les employés jouent un rôle vital dans cette défense lorsqu’ils suivent les protocoles de sécurité de leur employeur.

Que dois-je faire si je suis attaqué ?

La chose la plus importante que vous puissiez faire est de rester vigilant. Évaluez soigneusement tout message qui est urgent, alarmant, ou semble trop beau pour être vrai.

  • Si c’est un e-mail suspect, examinez de près l’adresse e-mail de l’expéditeur. Ne répondez pas à l’e-mail, et ne cliquez sur aucun lien, à moins que vous ne soyez sûr qu’il provienne d’une source fiable.
  • Ne visitez pas des URLs qui semblent inhabituelles (par exemple, « alert-officialsite.com » vs. « officialsite.com »). Pour être encore plus prudent, ne cliquez jamais sur des liens dans un texte, e-mail ou pop-up; saisissez directement le §URL du site dans la barre d’adresse de votre navigateur, ou utilisez l’application officielle de l’entreprise.
  • Si vous vous trouvez sur un site Web et qu’il semble suspect, faites confiance à votre instinct. N’interagissez pas avec un site Web s’il semble d’une manière ou d’une autre différent de d’habitude.
  • Si vous soupçonnez qu’un de vos comptes a été compromis, changez immédiatement votre mot de passe sur ce site/application, et sur tout autre site/application où vous utilisez le même mot de passe (ou même un mot de passe similaire). Et souvenez-vous que vous devriez toujours utiliser des mots de passe très distincts pour chaque site et application; cela peut limiter les dommages si un compte est compromis. Un gestionnaire de mots de passe réputé peut vous aider.

Comment puis-je éviter d’être ciblé par l’ingénierie sociale dès le départ ?

Il y a plusieurs mesures que vous pouvez prendre pour minimiser les chances de devenir une cible de l’ingénierie sociale dès le début.

  • Vérifiez toujours le site que vous visitez et/ou auquel vous saisissez des informations personnelles (par exemple « google.com » vs. « gooooooogle.com »).
  • Évitez de télécharger, de vous inscrire à, ou de partager des informations personnelles sur toute application ou service, sauf si c’est pour quelque chose que vous avez recherché.
  • Approchez avec une extrême prudence tout site Web, e-mail ou message texte qui vous offre de manière inattendue une récompense, ou vous dit que vous devez télécharger ou mettre à jour un logiciel.
  • Activez la fonctionnalité de navigation sécurisée dans votre navigateur Web. Tous les navigateurs principaux, comme Brave, prennent en charge cette fonctionnalité; elle peut vous avertir si vous êtes sur le point de visiter un site de hameçonnage connu.
  • Gardez toujours les logiciels que vous utilisez à jour afin qu’ils disposent des derniers correctifs de sécurité. C’est particulièrement important pour votre système d’exploitation (OS) et votre navigateur, qui vous indiqueront souvent quand ils doivent être mis à jour.
  • Utilisez un gestionnaire de mots de passe pour stocker en toute sécurité tous vos mots de passe et pour générer des mots de passe aléatoires et uniques pour chaque compte et site web auxquels vous accédez.
  • Activez l’authentification à deux facteurs (2FA), ou l’authentification multifacteur, sur chaque compte qui la prend en charge. Cela ne préviendra pas les attaques, mais cela limitera les dégâts si vous êtes ciblé : même si un attaquant obtient votre mot de passe, il n’aura pas votre second facteur (en général un code numérique unique et à usage unique qui est également requis avant que vous ne puissiez accéder à votre compte sur un site ou une application).
  • Installez et mettez à jour les applications uniquement via l’App Store officiel, ou auprès de sociétés réputées.
  • Évitez d’installer des extensions dans votre navigateur. Si vous devez les installer, faites-le uniquement via le store officiel pour ces extensions, tel que le Chrome Web Store. (Notez que les navigateurs comme Brave ont un bloqueur de pub intégré, les boucliers Brave, ce qui signifie que vous n’aurez pas besoin d’installer une extension de blocage des pubs.)
  • N’entrez des informations personnelles que sur des sites Web qui utilisent HTTPS (cherchez « https:// » dans la barre d’adresse de votre navigateur), et évitez de le faire sur des sites non-HTTPS. Dans Brave, les connexions sont automatiquement mises à niveau vers le HTTPS. Si vous êtes connecté à un réseau Wi-Fi public ou non sécurisé ou à un FAI non fiable, essayez d’utiliser un VPN.

Prêt à braver le nouvel Internet avec Brave ?

Brave a été conçu par une équipe de pionniers du Web axés sur les performances et la confidentialité. Aidez-nous à rendre la navigation meilleure.