- Sécurité
- Confidentialité
- Performances
Dans toute chaîne de sécurité, le maillon faible est en général l’élément humain, car il est sensible à toutes sortes de tactiques de manipulation. Les techniques d’ingénierie sociale tirent parti de cette vulnérabilité humaine pour inciter les victimes à divulguer leurs informations privées. Apprenez à repérer une attaque par ingénierie sociale et découvrez comment un logiciel de sécurité puissant comme Avast One peut vous éviter de tomber dans les pièges de l’ingénierie sociale.
L’ingénierie sociale désigne la pratique consistant à utiliser des techniques psychologiques pour manipuler le comportement de quelqu’un. L’ingénierie sociale exploite l’erreur humaine et encourage les victimes à agir contre leurs intérêts. Dans le domaine de la sécurité des informations, l’ingénierie sociale pousse les gens à divulguer des données privées en ligne, comme leurs identifiants de connexion ou leurs informations financières.
Dans d’autres contextes, l’ingénierie sociale a une signification légèrement différente. Dans les sciences sociales, par exemple, l’ingénierie sociale se définit simplement comme l’effort visant à influencer psychologiquement les comportements sociaux à l’échelle d’un groupe. Il peut s’agir d’encourager la population à se comporter correctement dans les transports en commun, à arrêter de fumer, voire à soutenir une révolution politique.
Nous nous concentrerons ici sur l’ingénierie sociale dans le contexte de la sécurité des informations, où les pirates déploient des techniques en ligne pour accéder à des informations confidentielles. Dans ce domaine numérique, l’ingénierie sociale peut être définie comme un cybercrime.
L’ingénierie sociale opère en tirant parti des biais cognitifs des gens. Un pirate exploitant l’ingénierie sociale se fait passer pour une personne sympathique, digne de confiance ou faisant autorité, et incite la victime à lui faire confiance. Une fois que la victime accorde sa confiance au malfaiteur, elle est manipulée jusqu’à lui transmettre des informations privées.
Malheureusement, il existe de nombreux biais cognitifs que les pirates peuvent instrumentaliser à leur avantage pour dérober les données privées de leurs victimes sous leur nez. Les techniques d’ingénierie sociale exploitent en effet notre tendance à faire confiance de nombreuses manières différentes.
L’une des meilleures façons de se protéger contre une attaque par ingénierie sociale est de se familiariser avec les méthodes courantes utilisées dans ce domaine. De nos jours, l’ingénierie sociale est fréquente en ligne, même par le biais d’escroqueries sur les réseaux sociaux, où les malfaiteurs se font passer pour un contact de confiance ou une figure d’autorité afin de manipuler les gens pour qu’ils divulguent des informations confidentielles.
Voici d’autres types d’attaques courantes dans la boîte à outils de l’ingénierie sociale :
Phishing (hameçonnage)Le phishing est un type d’attaque par ingénierie sociale dans laquelle les communications sont maquillées pour sembler provenir d’une source fiable. Ces messages, souvent des e-mails, sont conçus pour inciter les victimes à fournir leurs informations personnelles ou financières. Après tout, pourquoi douter de l’authenticité d’un e-mail qui a été envoyé par un ami, un membre la famille ou un contact professionnel ? Les attaques par phishing exploitent délibérément ce lien de confiance.
Phishing cibléLe phishing ciblé est un type d’attaque par ingénierie sociale qui cible les grandes entreprises ou des individus spécifiques. Les attaques de phishing ciblé visent très précisément de petits groupes ou des personnes puissantes, comme des chefs d’entreprise et des célébrités. Les attaques par ingénierie sociale qui utilisent cette méthode sont souvent soigneusement étudiées et insidieusement déguisées, ce qui les rend difficiles à détecter.
Vishing (hameçonnage vocal)Le vishing, ou « voice phishing », autrement dit l’hameçonnage vocal, est une forme plus sophistiquée de phishing. Dans ce type d’attaque, un numéro de téléphone est généralement usurpé pour paraître légitime. Les pirates peuvent se faire passer pour des techniciens informatiques, des collègues ou des banquiers. Certains peuvent même avoir recours à des modificateurs de voix pour dissimuler davantage leur identité.
SmishingLe smishing, ou hameçonnage par SMS, est un type d’attaque par phishing qui prend la forme de messages texte, ou SMS. Ces attaques poussent généralement la victime à effectuer rapidement une action et comportent un lien malveillant ou un numéro de téléphone à appeler. Elles l’incitent à divulguer des informations personnelles que les pirates peuvent ensuite utiliser pour leur propre compte. Les attaques de smishing véhiculent souvent un sentiment d’urgence pour inciter les victimes à agir vite et à se laisser prendre au piège.
Whaling (harponnage)Le whaling est l’une des attaques de phishing les plus ambitieuses qui soient, avec des conséquences catastrophiques. Ce type d’attaque par ingénierie sociale vise généralement une cible de premier plan. Le whaling est parfois qualifié de « fraude au PDG », pour vous donner une idée de la cible typique. Les attaques de type whaling sont plus difficiles à identifier que les autres attaques de phishing, car elles adoptent habilement un ton professionnel approprié et utilisent à leur avantage les connaissances d’initiés du secteur.
AppâtageLes attaques d’ingénierie sociale ne commencent pas toujours en ligne, elles peuvent aussi débuter dans le monde physique. L’appâtage (baiting) consiste pour le pirate à laisser quelque part un appareil infecté par un malware, là où quelqu’un est susceptible de le retrouver. Ces dispositifs sont souvent intentionnellement étiquetés pour susciter la curiosité. Si quelqu’un de curieux (ou de cupide) récupère l’appareil et le branche sur son propre ordinateur, il peut involontairement l’infecter avec un malware.
Scareware (alarmiciel)Un scareware est un type de malware qui utilise l’ingénierie sociale pour inciter les gens à télécharger un faux logiciel de sécurité ou à visiter un site infecté par un malware. Les scarewares apparaissent généralement sous la forme de fenêtres pop-up prétendant vous aider à supprimer un virus informatique supposément détecté sur votre appareil. Une fois que vous cliquez sur la fenêtre, vous êtes redirigé vers un site malveillant ou vous installez sans le savoir encore plus de malwares.
Si vous pensez être victime d’un scareware ou d’un autre type de fenêtre pop-up envahissante, analysez régulièrement votre PC à l’aide d’un outil fiable de suppression des virus. L’analyse régulière de votre appareil pour détecter les menaces est une bonne pratique d’hygiène numérique. Elle peut contribuer à prévenir de futures attaques par ingénierie sociale et même à assurer la sécurité de vos données privées.
Pretexting (usurpation d’identité)Le pretexting consiste à créer un faux scénario, ou « prétexte », que les escrocs utilisent pour tromper leurs victimes. Les attaques par pretexting peuvent se produire en ligne ou hors ligne, et font partie des astuces les plus efficaces de l’ingénierie sociale ; les pirates mènent des recherches exhaustives pour se faire passer pour des interlocuteurs authentiques.
Il est souvent difficile de déjouer les ruses employées. Faites toujours preuve de prudence lorsque vous transmettez des informations confidentielles à des inconnus. Et si quelqu’un vous appelle pour un problème urgent, contactez vous-même l’organisation afin d’exclure une attaque par ingénierie sociale.
Piège à mielUn piège à miel est un type d’ingénierie sociale dans lequel un pirate attire une victime dans une situation sexuelle délicate. Le malfaiteur utilise alors la situation comme une opportunité de sextortion ou de tout autre chantage. Les pirates exploitant l’ingénierie sociale tendent souvent des pièges en envoyant des e-mails de spam dans lesquels ils prétendent vous avoir « observé via votre webcam » ou par un autre moyen tout aussi sinistre.
Si vous recevez un e-mail de ce type, vérifiez que votre webcam est sécurisée. Ensuite, gardez simplement votre calme et ne répondez pas ; ces e-mails ne sont rien d’autre que du spam.
Le spam par e-mailLe spam par e-mail est l’une des formes les plus anciennes d’ingénierie sociale en ligne et est responsable de la majorité des messages indésirables qui encombrent votre boîte de réception. Dans le meilleur des cas, le spam par e-mail est simplement irritant, mais dans le pire des cas, ce n’est pas juste du spam, mais une arnaque visant à obtenir des informations personnelles. La plupart des serveurs de messagerie filtrent les spams les plus malveillants, mais ce filtrage n’est pas parfait et certains messages dangereux peuvent atterrir dans votre boîte de réception.
Les méthodes décrites ci-dessus sont les types les plus courants d’attaques par ingénierie sociale utilisées pour accéder aux informations personnelles des victimes. Les pirates ne cessent de trouver de nouvelles façons de tromper aussi bien les individus que les ordinateurs, notamment en renouvelant les méthodes traditionnelles d’ingénierie sociale telles que le spamming et le pretexting.
Avast essaie de se tenir le plus au fait possible de l’évolution des différentes menaces et met constamment à jour le moteur de détection d’Avast One, notre solution complète de sécurité et de protection de la vie privée. De plus, notre Agent web Anti-Phishing intégré vous évite d’arriver par inadvertance sur un site de phishing. Téléchargez Avast One pour bénéficier d’une protection en temps réel contre les attaques par ingénierie sociale, mais aussi contre les malwares et autres cybermenaces.
Le meilleur moyen de se protéger de ces attaques est de savoir les repérer. Une fois que vous êtes pris dans une attaque d’ingénierie sociale, il peut être difficile de s’en sortir. Heureusement, pas besoin d’être expert pour mettre en place une bonne prévention de l’ingénierie sociale : un peu d’intuition et de bon sens suffisent.
Modifiez vos paramètres de gestion des spamsL’un des moyens les plus simples de se protéger des attaques par ingénierie sociale consiste à modifier les paramètres de votre messagerie électronique. Vous pouvez renforcer vos filtres anti-spam et empêcher les e-mails frauduleux d’ingénierie sociale de se glisser dans votre boîte de réception. La procédure de paramétrage des filtres anti-spam peut varier en fonction du client de messagerie que vous utilisez. Nous vous conseillons également de consulter notre guide sur le blocage des SMS indésirables.
Vous pouvez aussi ajouter directement à vos listes de contacts numériques les adresses électroniques de personnes et d’organisations dont vous savez qu’elles sont légitimes. Quiconque prétendra à l’avenir être une de ces personnes mais qui utilisera une adresse différente sera probablement un pirate exploitant l’ingénierie sociale.
Vérifiez les sourcesSi vous recevez un e-mail, un SMS ou un appel téléphonique d’une source inconnue, saisissez-le dans un moteur de recherche et voyez ce qui en ressort. S’il s’agit d’une attaque par ingénierie sociale connue, l’expéditeur peut avoir été signalé auparavant. Même si l’expéditeur semble tout à fait digne de confiance, vérifiez quand même, l’adresse e-mail ou le numéro de téléphone pouvant être légèrement différents de la véritable source et en lien avec un site web frauduleux.
Mais cette méthode ne fonctionne pas toujours, notamment si le numéro de téléphone a été usurpé dans le cadre d’une attaque par ingénierie sociale. Si une recherche sur le web ne déclenche aucun signal d’alarme, un autre moyen de prévenir une attaque consiste à vous adresser directement à l’organisation qui prétend vous avoir contacté.
Si c’est trop beau pour être vrai, ce n’est probablement pas vraiUn esprit critique minimal est l’un des meilleurs moyens d’éviter les attaques par ingénierie sociale. Des attaques récentes par ingénierie sociale menées sur Twitter ont impliqué des célébrités telles qu’Elon Musk et Bill Gates qui feraient des dons de plusieurs milliers de dollars en bitcoins... si leurs followers leur donnaient seulement 1 000 dollars.
Si la promesse de célébrités de donner des milliers de dollars en bitcoins semble trop belle pour être vraie, c’est certainement le cas. Dans ce genre d’attaque par ingénierie sociale, l’intuition et le bon sens peuvent être d’une grande aide. Méfiez-vous des offres qui vous font miroiter des cadeaux luxueux pour une fraction de leur valeur. Et si cette demande semble venir de quelqu’un que vous connaissez, posez-vous cette question : « pourquoi cette personne me demande-t-elle ça de cette manière ? »
Utilisez un logiciel de sécurité de confianceVous pouvez gagner du temps, éviter de vérifier les sources et continuer à prévenir les attaques par ingénierie sociale en utilisant un logiciel antivirus de confiance pour signaler les messages ou sites web suspects. Les logiciels de sécurité détectent et bloquent les malwares et identifient les attaques de phishing avant qu’elles ne vous piègent.
Avez-vous déjà été victime d’une attaque d’ingénierie sociale ? Vous ne l’avez peut-être pas remarqué, car dans la vie réelle, il existe de nombreuses formes d’attaques d’ingénierie sociale. Dans le contexte de la sécurité des informations, ces attaques se manifestent souvent sous forme d’e-mail, de SMS ou de message vocal d’une source en apparence innocente. Vous pensez sans doute que vous êtes tout à fait capable de repérer les e-mails suspects, mais les pirates utilisent maintenant d’autres techniques, bien plus sophistiquées.
Les exemples concrets suivants montrent que même les organisations et les personnes disposant de défenses sophistiquées contre les cyberattaques et de ressources pour la prévention de l’ingénierie sociale peuvent toujours être touchées.
En 2020, Twitter est devenu le site par excellence pour ce genre d’attaques avec le piratage des comptes de Barack Obama, Bill Gates, Elon Musk et autres dans une tentative d’extorsion de bitcoins. Les créateurs de l’attaque par ingénierie sociale ont gagné près de 120 000 dollars en bitcoins, mais le plus grand danger était l’accès évident des pirates aux comptes de célébrités ; bien que, officiellement, aucune donnée personnelle n’ait été compromise.
À partir de 2011, le tristement célèbre « arnaqueur de Tinder » n’a cessé d’inciter ses victimes à financer son style de vie somptueux par le biais d’une série d’arnaques sentimentales. Il a employé une combinaison de manipulation, de démonstration d’amour et de mensonges pour réussir. Il a fini par voler environ 10 millions de dollars au cours de ses deux dernières années d’escroqueries par ingénierie sociale. Il a été condamné en 2019, puis et en 2022, l’escroc a été lui-même piégé par une arnaque, perdant près de 7 000 dollars de son argent durement gagné (arnaqué).
En 2018, la Federal Trade Commission (Commission fédérale pour le commerce) des États-Unis s’est vue contrainte de publier un avertissement suite à la prolifération d’arnaques par phishing concernant des locations de vacances, dans lesquelles les pirates se faisaient passer pour des propriétaires proposant leur bien en location. Dans la plupart des cas, les véritables coordonnées des propriétaires avaient été piratées, ce qui ne permettait pas aux victimes de douter de l’identité du propriétaire avec lequel elles négociaient une location.
Le piratage, en 2017, de la cryptomonnaie Ethereum Classic, où les pirates se sont fait passer pour le propriétaire de Classic Ether Wallet, a été une autre escroquerie par ingénierie sociale très médiatisée et bien réelle. Les pirates ont volé des milliers de dollars en cryptomonnaie à des utilisateurs peu méfiants. De nos jours, les escroqueries par ingénierie sociale sont toujours répandues dans la communauté Bitcoin, et la protection contre le cryptojacking est devenue une priorité absolue.
Le piratage par e-mail du Parti démocrate américain en pleine élection présidentielle de 2016 aux États-Unis reste l’une des attaques par ingénierie sociale les plus emblématiques de ces dernières années. Des pirates russes ont lancé une attaque de phishing ciblé contre des responsables de la campagne démocrate qui leur a permis d’exfiltrer des informations sensibles sur la campagne et les données de près de 500 000 électeurs.
En 2015, le célèbre fabricant de technologies réseau Ubiquiti a perdu 46 millions de dollars après le piratage de l’e-mail d’un employé d’Ubiquiti Networks. Les malfaiteurs ont utilisé les identifiants de l’employé pour demander des virements électroniques falsifiés par l’intermédiaire du service financier de l’entreprise.
Une autre attaque par ingénierie sociale célèbre a été la cyberattaque de 2014 contre Sony Pictures, lorsque des pirates nord-coréens ont envoyé des e-mails de phishing maquillés en e-mails de vérification d’identité Apple aux employés de Sony Pictures. Les pirates ont ensuite utilisé les identifiants de connexion pour effacer les réseaux de Sony et voler des dossiers financiers et d’autres données privées de l’entreprise.
L’ingénierie sociale peut toucher n’importe qui, en personne, par téléphone ou en ligne, et c’est aussi une méthode assez facile à utiliser pour commettre des escroqueries, des fraudes ou d’autres délits. Les pirates n’ont pas besoin de posséder de solides compétences techniques ; il leur suffit d’être capables de nous inciter à transmettre des données sensibles, et le fait que nous soyons tous exposés en fait une escroquerie potentiellement dévastatrice.
Les réseaux sociaux ont permis aux pirates qui utilisent ce genre de techniques de se perfectionner, de créer facilement de faux profils tout à fait crédibles, voire de se faire passer pour d’autres personnes bien réelles. Il est important de rester vigilant face aux profils inconnus ou étranges sur les réseaux sociaux.
Les techniques de manipulation de l’ingénierie sociale sont insidieuses. Souvent, les victimes de l’ingénierie sociale ne se rendent compte qu’elles sont manipulées que lorsqu’il est trop tard. Bien que nos biais cognitifs puissent être bénéfiques, ils peuvent aussi se retourner contre nous. Les attaques par ingénierie sociale récupèrent toutes les informations privées des utilisateurs, ce qui peut déboucher sur un vol d’identité, une extorsion, etc.
Les attaques d’ingénierie sociale proviennent souvent de sources en apparence dignes de confiance.
Et les risques ne sont pas que financiers : parfois, la cote de solvabilité et la réputation des victimes chutent et les dettes contractées en leur nom explosent. Bien que ce genre de situation soit réversible, les démarches pour tout rétablir peuvent prendre des mois et d’incessants allers-retours entre les différentes autorités impliquées. Un logiciel de cybersécurité peut vous aider, mais il ne rendra pas votre cerveau invulnérable pour autant. Le meilleur moyen de se protéger des attaques par ingénierie sociale est de savoir les repérer.
Si vous pensez avoir été victime d’une attaque par ingénierie sociale et que quelqu’un a eu accès à vos informations personnelles, Avast BreachGuard peut vous aider. BreachGuard parcourt le dark web pour voir si vos informations personnelles ont été impliquées dans une fuite de données et vous explique comment réagir si c’est le cas.
Et si vos données ont fini par atterrir dans les bases de données d’un courtier en données, Avast BreachGuard vous aide à les en retirer et à évaluer vos protocoles de sécurité afin que vous soyez certain que cette situation ne se reproduira plus. Ne vous laissez pas piéger par les attaques d’ingénierie sociale, téléchargez BreachGuard dès aujourd’hui et renforcez vos défenses numériques.
Tout le monde peut être victime d’une attaque par ingénierie sociale, car nous avons tous des biais cognitifs dont nous ne sommes pas toujours conscients. Les personnes qui manquent de connaissances technologiques ou qui sont plus isolées socialement, comme les personnes âgées, peuvent être plus vulnérables. Mais les connaissances techniques seules, même en entreprise, ne peuvent pas vous protéger des manipulations psychologiques.
En matière d’attaques par ingénierie sociale, mieux vaut prévenir que guérir. Dans de nombreux cas, il n’y a pas d’autre moyen pour mettre fin à une attaque d’ingénierie sociale que de changer vos mots de passe et de vous résigner à accepter les éventuelles pertes financières.
Aussi puissant que soit le cerveau humain, il peut néanmoins nous induire en erreur. C’est là qu’intervient Avast One. Avast One utilise des analyses intelligentes pour détecter et bloquer les types d’attaques dont les pirates raffolent avant qu’elles ne puissent vous infecter. Avast One analyse aussi les fichiers suspects avant même que vous ne les ouvriez par inadvertance et vous aide à corriger les failles et autres vulnérabilités exploitables de votre système.
Et le meilleur dans tout ça ? Avast One est entièrement gratuit et comporte un Agent web intégré spécialisé dans la protection contre le phishing, pour que vous ne soyez jamais victime d’ingénierie sociale dans votre messagerie. N’attendez pas, protégez-vous dès maintenant.
