academy
Sécurité
Confidentialité
Performance
Choisir la langue
Avast Academy Sécurité Autres menaces Qu’est-ce que l’ingénierie sociale et comment s’en prémunir

Qu’est-ce que l’ingénierie sociale et comment s’en prémunir

Dans tout système de sécurité, le maillon faible est en général l’élément humain. Même s’il est aussi possible de tromper une machine, les humains sont beaucoup plus susceptibles de céder face à différentes tactiques de manipulation. Ces tactiques portent le nom d’ingénierie sociale, et les pirates ont su créer de nombreux types d’attaques de ce genre pour accéder à des informations privées et voler des données, de l’argent et bien d’autres choses.

What_Is_Social_Engineering-Hero

Qu’est-ce que l’ingénierie sociale ?

L’ingénierie sociale recouvre plusieurs types de manipulation psychologique. Parfois, l’ingénierie sociale peut avoir des conséquences positives, par exemple pour faire la promotion d’une meilleure hygiène de vie. Mais en termes de sécurité des informations, l’ingénierie sociale sert souvent uniquement les pirates. Dans ce genre de cas, l’ingénierie sociale consiste à manipuler des personnes pour obtenir des informations sensibles, par exemple des données bancaires ou des informations intimes. L’ingénierie sociale peut donc également être considérée comme un type de cybercrime.

Hamburguer menu icon

Cette article contient :

    Comment fonctionne l’ingénierie sociale ?

    L’ingénierie sociale exploite nos biais cognitifs, qui sont un peu les « bugs du cerveau humain ». Malheureusement pour nous, nous présentons de très nombreux biais cognitifs que des individus malintentionnés cherchent à exploiter, par exemple pour s’emparer d’informations personnelles ou financières sous le nez de leurs victimes. Par exemple, nous avons tendance à faire confiance aux personnes qui nous paraissent sympathiques, attirantes ou que nous voyons comme un symbole d’autorité : autant de modèles qui peuvent se retourner contre nous dans une attaque d’ingénierie sociale.

    Les techniques d’ingénierie sociale exploitent en effet notre tendance à faire confiance. En 2018, la commission du commerce des États-Unis, la Federal Trade Commission, s’est vue contrainte de publier un avertissement suite à la prolifération d’arnaques par phishing concernant des locations de vacances, dans lesquelles les pirates se faisaient passer pour des propriétaires proposant leur bien en location. Dans la plupart des cas, les véritables coordonnées des propriétaires avaient été piratées, ce qui ne permettait pas vraiment aux victimes de douter de l’identité du propriétaire avec lequel elles négociaient une location.

    Pourquoi l’ingénierie sociale est-elle si dangereuse ?

    Les techniques de manipulation utilisées dans l’ingénierie sociale sont particulièrement insidieuses. La plupart du temps, les victimes d’attaques d’ingénierie sociale ne se rendent même pas compte qu’elles ont été manipulées avant qu’il ne soit trop tard, et le voleur a déjà eu accès aux données sensibles qu’il cherchait à obtenir. Bien que nos biais cognitifs puissent être bénéfiques, ils peuvent aussi se retourner contre nous. Les attaques d’ingénierie sociale récupèrent toutes les informations privées des utilisateurs, ce qui peut déboucher sur un vol d’identité, une fraude à l’identité, une extorsion, etc.

    Ces attaques se manifestent souvent sous forme d’e-mail, de SMS ou de message instantané d’une source en apparence tout à fait innocente.

    Les techniques d’ingénierie sociale exploitent notre tendance à accorder facilement notre confiance.Les attaques d’ingénierie sociale proviennent souvent de sources en apparence dignes de confiance.

    Et les risques ne sont pas que financiers : parfois, la cote de solvabilité et la réputation des victimes chutent et les dettes contractées en leur nom explosent. Bien que ce genre de situation soit réversible, les démarches pour tout rétablir peuvent prendre des mois et d’incessants allers-retours entre les différentes entreprises et autorités impliquées. Un logiciel antivirus peut vous aider, mais il ne rendra pas votre cerveau invulnérable pour autant. Le meilleur moyen d’éviter les attaques d’ingénierie sociale est d’apprendre à les identifier au premier coup d’œil et de les éviter autant que possible.

    Si vous pensez avoir été victime d’une attaque d’ingénierie sociale et que quelqu’un a eu accès à vos informations personnelles, Avast BreachGuard peut vous aider. BreachGuard parcourt le Dark Web pour voir si vos informations personnelles ont été impliquées dans une fuite de données et vous explique comment réagir si c’est le cas. 

    Et si vos données ont fini par atterrir dans les bases de données d’un courtier en données, Avast BreachGuard vous aide à les en retirer et à évaluer vos protocoles de sécurité afin que vous soyez certain que cette situation ne se reproduira plus. Ne vous laissez pas piéger par les attaques d’ingénierie sociale, téléchargez BreachGuard dès aujourd’hui et renforcez vos défenses numériques.

    Disponible aussi sur Mac

    Disponible aussi sur Mac

    Disponible aussi sur Mac

    Disponible aussi sur Mac

    En quoi consistent les attaques d’ingénierie sociale ?

    Avez-vous déjà été victime d’une attaque d’ingénierie sociale ? Vous ne l’avez peut-être pas remarqué, car il existe de nombreuses formes d’attaques d’ingénierie sociale. Dans le contexte de la sécurité des informations, ces attaques se manifestent souvent sous forme d’e-mail, de SMS ou de message vocal d’une source en apparence tout à fait innocente. Vous pensez sans doute que vous êtes tout à fait capable de repérer les e-mails suspects, mais les pirates utilisent maintenant d’autres techniques, bien plus sophistiquées.

    Voici quelques exemples d’attaques d’ingénierie sociale connues : la cyberattaque de 2014 visant Sony Pictures, le piratage par e-mail en 2016 du parti démocrate aux États-Unis et le piratage en 2017 de la cryptomonnaie Ethereum Classic, lors duquel les pirates se sont faits passer pour le propriétaire de Classic Ether Wallet et se sont emparés de milliers de dollars en cryptomonnaie. 

    Plus récemment, Twitter est devenu le site par excellence pour ce genre d’attaques avec le piratage des comptes de Barack Obama, Bill Gates, Elon Musk et autres dans une tentative d’extorsion de Bitcoins. Tous ces exemples montrent que les grandes organisations, qui devraient disposer de solides défenses face aux cyberattaques, peuvent tout aussi bien être victimes d’ingénierie sociale que les individus.

    Ingénierie sociale en ligne

    L’ingénierie sociale peut avoir lieu en ligne, en personne ou encore au téléphone. Aujourd’hui, les attaques d’ingénierie sociale ont souvent lieu en ligne, le plus souvent par le biais d’attaques par e-mail ou via des arnaques sur les réseaux sociaux, dans lesquelles les pirates se font passer pour une connaissance ou le représentant d’une autorité afin de manipuler la victime et la conduire à divulguer des informations confidentielles. 

    Contrairement à ce qu’implique le terme « ingénierie », les pirates qui usent de l’ingénierie sociale n’ont pas besoin de compétences techniques spécifiques. De fait, l’ingénierie sociale sur les réseaux sociaux consiste souvent simplement à créer un compte. Elle n’implique pas de pirater des machines, mais plutôt des personnes pour les amener à divulguer les informations que recherchent les pirates.

    Les réseaux sociaux ont permis aux pirates qui utilisent ce genre de techniques de se perfectionner, de créer facilement de faux profils tout à fait crédibles, voire de se faire passer pour d’autres personnes bien réelles. C’est pourquoi il est important de rester vigilant face aux profils inconnus ou étranges sur les réseaux sociaux.

    Types fréquents d’attaques d’ingénierie sociale 

    Les attaques d’ingénierie sociale peuvent être difficiles à repérer, mais elles ne sont pas pour autant impossibles à détecter. Il existe presque autant d’attaques d’ingénierie sociale que de biais cognitifs, et certaines sont même parfois mentionnées dans les médias. Nous avons déjà mentionné quelques exemples notables d’attaques d’ingénierie sociale. Voyons maintenant quelles sont les techniques d’ingénierie sociale les plus courantes.

    Icon_01Le spam par e-mail

    Le spam par e-mail est l’une des formes les plus anciennes d’ingénierie sociale en ligne et est responsable de la majorité des courriers indésirables qui encombrent votre boîte de réception. Dans le meilleur des cas, le spam par e-mail est simplement irritant, mais dans le pire des cas, ce n’est pas juste du spam, mais une arnaque visant à obtenir des informations personnelles. La plupart des serveurs de messagerie filtrent les spams les plus malveillants, mais ce filtrage n’est pas parfait et certains messages dangereux peuvent atterrir dans votre boîte de réception.

    Icon_02Hameçonnage (phishing)

    Comme le spam, le phishing se fait en général par e-mail et se dissimule toujours sous un vernis de légitimité. Le phishing est un type d’attaque d’ingénierie sociale dans laquelle les e-mails se font passer pour des messages provenant de sources de confiance, mais sont en réalité conçus pour amener les victimes à divulguer des informations personnelles ou des données bancaires. Après tout, pourquoi douter de l’authenticité d’un e-mail qui a été envoyé par un ami, un membre la famille ou un contact professionnel ? Les attaques par phishing exploitent délibérément ce lien de confiance.

    Icon_03Appâtage

    Les attaques d’ingénierie sociale ne commencent pas toujours en ligne, elles peuvent aussi débuter dans le monde physique. L’appâtage (baiting) consiste pour le pirate à laisser quelque part un appareil infecté par un malware, là où quelqu’un est susceptible de le retrouver. Ces appareils portent souvent un nom provocateur, destiné à attiser votre curiosité. Si quelqu’un de particulièrement curieux (ou cupide) le récupère et le branche sur son ordinateur, il risque d’infecter sa machine sans le vouloir et d’y placer le malware. Évidemment, il n’est pas très prudent de récupérer ce genre d’appareil et de le brancher sur votre ordinateur.

    Icon_04Vishing

    Le vishing, ou « voice phishing », autrement dit le hameçonnage vocal, est une forme plus sophistiquée de phishing. Dans ce genre d’attaque, un numéro de téléphone est usurpé afin de paraître tout à fait légitime, ce qui permet au pirate de se faire passer pour un technicien, un collègue, un membre du service informatique, etc. Certains pirates utilisent même des dispositifs spéciaux pour transformer leur voix.

    Icon_05Smishing

    Le smishing, ou hameçonnage par SMS, est un type d’attaque par phishing qui prend la forme de messages texte, ou SMS. Ces attaques poussent généralement la victime à effectuer rapidement une action et comportent un lien malveillant ou un numéro de téléphone de contact. Elles les incitent à divulguer des informations personnelles que les pirates peuvent utiliser pour leur propre compte. Le ton des attaques par smishing présente souvent un caractère urgent et exploite la confiance que nous accordons aux messages sur nos smartphones pour nous faire agir rapidement et nous faire tomber dans le piège.

    Icon_06Usurpation d’identité (pretexting)

    L’usurpation d’identité, ou pretexting, est un type d’attaque d’ingénierie sociale qui consiste à se faire passer pour quelqu’un d’autre afin d’obtenir des informations personnelles. Ces attaques peuvent se produire en ligne ou hors ligne, mais il est désormais bien plus facile pour les pirates employant ce genre de technique de se renseigner et de suivre leurs victimes potentielles pour mentir de façon crédible.

    Ces attaques sont parmi les plus efficaces, car elles sont aussi les plus difficiles à repérer. Les pirates passent beaucoup de temps à faire des recherches pour être le plus crédibles possible. Il est souvent difficile de déjouer les ruses qui sont employées. Faites toujours preuve de prudence lorsque vous transmettez des informations confidentielles à des inconnus, par exemple un service informatique, un technicien ou toute autre personne qui peut sembler tout à fait légitime.

    Voici donc les types les plus fréquents d’attaques d’ingénierie sociale, qui visent à accéder aux informations personnelles de la victime. Les pirates inventent en permanence de nouveaux moyens de tromper les machines comme les humains, en particulier en ce qui concerne les attaques d’ingénierie sociale comme le spam par e-mail ou l’usurpation d’identité.

    Avast se tient au fait de l’évolution des différentes menaces et met à jour Avast Antivirus Gratuit dès qu’une nouvelle menace est repérée. De plus, notre Agent anti-phishing intégré vous évite d’arriver par inadvertance sur un site de phishing.

    Qui sont les personnes les plus exposées ?

    N’importe qui peut être victime d’une attaque d’ingénierie sociale. Nous avons tous nos biais cognitifs, même si nous n’en sommes pas conscients la plupart du temps. Certains groupes de personnes sont particulièrement vulnérables, par exemple les personnes âgées, car elles s’y connaissent souvent moins en nouvelles technologies, ont parfois moins d’interactions et sont considérées comme des victimes potentielles susceptibles de posséder beaucoup d’argent. Mais les connaissances techniques seules, même en entreprise, ne peuvent pas vous protéger des manipulations psychologiques.

    Comment se préserver de l’ingénierie sociale

    Une fois que vous êtes pris dans une attaque d’ingénierie sociale, il peut être difficile de s’en sortir. Le meilleur moyen de se protéger de ces attaques est de savoir les repérer. Heureusement, pas besoin d’être expert pour mettre en place une bonne prévention de l’ingénierie sociale : un peu d’intuition et de bon sens suffisent.

    Icon_07Installez un logiciel antivirus de confiance

    Vous pouvez gagner du temps et éviter d’avoir à vérifier les sources avec un logiciel antivirus de confiance qui vous signale tous les messages et tous les sites web suspects. Avast Antivirus Gratuit détecte et bloque les programmes malveillants et repère les attaques de phishing avant qu’elles ne puissent vous atteindre.

    Icon_08Modifiez vos paramètres de gestion des spams

    Vous pouvez aussi ajuster les paramètres de votre messagerie pour renforcer les filtres anti-spam si des spams arrivent jusqu’à votre boîte de réception. En fonction du client de messagerie que vous utilisez, la procédure peut légèrement varier. Consultez notre guide sur la prévention des spams.

    Icon_09Vérifiez les sources

    Si vous recevez un e-mail, un SMS ou un appel d’un inconnu, recherchez cette adresse ou ce numéro de téléphone sur Internet pour plus d’informations. Si cette adresse ou ce numéro a été utilisé dans une attaque d’ingénierie sociale, cette information aura sans doute déjà été signalée quelque part. Même si l’expéditeur semble tout à fait digne de confiance, vérifiez quand même, l’adresse e-mail ou le numéro de téléphone pouvant être légèrement différents de la véritable source et en lien avec un site web frauduleux.

    Icon_10Si c’est trop beau pour être vrai… c’est probablement que ce n’est pas vrai

    Vous vous souvenez de cette attaque sur Twitter dont nous avons parlé ? Plusieurs personnes connues, comme Elon Musk et Bill Gates ont apparemment mentionné sur Twitter qu’ils feraient des dons de plusieurs milliers de dollars en Bitcoin... si leurs followers leur donnaient 1 000 $. 

    Il paraît assez évident que ces personnes n’allaient pas donner des milliers de dollars en Bitcoin. Dans ce genre d’attaque d’ingénierie sociale, l’intuition et le bon sens peuvent être d’une grande aide : méfiez-vous des offres qui vous font miroiter des cadeaux luxueux pour une fraction de leur valeur ou contre des informations. Et si cette demande semble venir de quelqu’un que vous connaissez, posez-vous cette question : « pourquoi cette personne me demande-t-elle ça de cette manière ? Pourquoi m’envoie-t-elle ce lien ? »

    Protégez-vous des attaques d’ingénierie sociale

    Dans le cas des attaques d’ingénierie sociale, mieux vaut prévenir que guérir. Dans de nombreux cas, il n’y a pas d’autre moyen pour mettre fin à une attaque d’ingénierie sociale que de changer vos mots de passe et de vous résigner à accepter les éventuelles pertes financières. Même s’il est extrêmement puissant, le cerveau humain est parfois configuré pour échouer.

    C’est là qu’intervient Avast Antivirus Gratuit pour protéger votre système. Avast Antivirus Gratuit utilise des systèmes d’analyse intelligents pour détecter et bloquer les virus avant qu’ils ne puissent vous infecter. Il analyse les fichiers suspects avant même que vous ne les ouvriez par inadvertance et vous aide à corriger des failles de sécurité de votre système. Et le meilleur dans tout ça ? Avast Antivirus Gratuit comporte un Agent Web intégré spécialisé dans la protection contre le phishing, pour que vous ne soyez jamais victime d’ingénierie sociale dans votre messagerie. N’attendez pas, protégez-vous dès maintenant.

    Protégez votre appareil Android des menaces

    avec Avast Mobile Security gratuit

    INSTALLATION GRATUITE

    Protégez votre iPhone des menaces

    avec Avast Mobile Security gratuit

    INSTALLATION GRATUITE