Ignorer le contenu principal
resources

Qu’est-ce que l’ingénierie sociale ?


Définition de l’ingénierie sociale

L’ingénierie sociale est une technique de manipulation qui exploite l’erreur humaine dans le but d’obtenir des informations confidentielles, un accès ou des biens de valeur. Dans le domaine de la cybercriminalité, ces escroqueries qui reposent sur le « piratage de l’être humain » ont tendance à amener les utilisateurs sans méfiance à divulguer des données, propager des programmes malveillants ou octroyer un accès à des systèmes contrôlés. Ces attaques peuvent se dérouler en ligne, en personne ou par l’intermédiaire d’autres interactions.

Les escroqueries qui intègrent l’ingénierie sociale exploitent la manière dont l’être humain réfléchit et agit. Les attaques qui reposent sur cette technique sont dès lors particulièrement utiles pour manipuler le comportement d’un utilisateur. Dès que l’attaquant a identifié ce qui motive un utilisateur à agir, il est en mesure de tromper et de manipuler ce dernier de manière efficace.

De plus, les pirates essaient également d’exploiter l’ignorance de l’utilisateur. Étant donné la vitesse à laquelle les technologies évoluent, certains consommateurs ou employés ne sont pas conscients de certaines menaces, comme les téléchargements furtifs. Il se peut également que les utilisateurs n’aient pas vraiment conscience de la valeur de leurs données personnelles comme les numéros de téléphone. Par conséquent, nombreux sont les utilisateurs qui ne savent pas comment obtenir la meilleure protection pour eux-mêmes et leurs données.

En règle générale, les auteurs d’attaques par ingénierie sociale poursuivent l’un des deux objectifs suivants :

  1. Sabotage : endommager les données afin de provoquer des dégâts ou des perturbations.
  2. Vol : obtenir des informations de valeur comme des identifiants ou de l’argent.

Nous pouvons élargir davantage cette définition de l’ingénierie sociale grâce à une connaissance exacte de son fonctionnement.

banner kaspersky premium

Comment fonctionne l’ingénierie sociale ?

La majorité des attaques par ingénierie sociale repose sur une communication réelle entre les attaquants et leurs victimes. Au lieu de recourir à des méthodes reposant sur la force brute, l’attaquant préfère convaincre l’utilisateur de compromettre lui-même ses données.

Le cycle de l’attaque met un processus fiable à la disposition des criminels pour vous tromper. Voici les étapes qui constituent en général le cycle d’une attaque par ingénierie sociale :

  1. Préparation impliquant la collecte d’informations à votre sujet ou au sujet d’un groupe plus important dont vous êtes membre.
  2. Infiltration grâce à l’établissement d’une relation ou d’une interaction qui a permis de bâtir une certaine confiance.
  3. Exploitation de la victime une fois que l’attaquant a acquis la confiance de celle-ci et identifié ses faiblesses pour passer à l’attaque.
  4. Abandon une fois que l’utilisateur a réalisé l’action souhaitée.

Ce processus peut se dérouler dans un seul courrier électronique ou au cours de mois de communication dans les messageries de réseaux sociaux. Il peut également avoir lieu lors d’interaction en tête-à-tête. La seule constante est qu’il se termine toujours sur une action que vous réalisez comme le partage de vos informations ou l’exposition à un programme malveillant.

Il est important de prendre garde à l’ingénierie sociale utilisée comme moyen de créer une confusion. Nombreux sont les employés et les consommateurs qui ne comprennent pas que quelques éléments d’informations suffisent pour permettre à un pirate d’accéder à plusieurs réseaux ou comptes.

En se faisant passer pour un utilisateur légitime qui contacte l’assistance technique, un pirate peut obtenir toutes vos informations privées comme votre nom, votre date de naissance ou votre adresse. À partir de là, il est facile de réinitialiser les mots de passe et d’obtenir un accès quasiment illimité. L’attaquant peut voler de l’argent, diffuser des programmes malveillants d’ingénierie sociale et bien d’autres choses.

Caractéristiques des attaques par ingénierie sociale

L’auteur d’une attaque par ingénierie sociale exploite sa confiance et ses capacités de persuasion. Si vous êtes exposé à ces tactiques, la probabilité que vous exécutiez certaines actions augmente.

Dans la majorité des attaques, vous serez amené à adopter un des comportements suivants :

Émotions exacerbées : la manipulation émotionnelle permet à l’attaquant de dominer n’importe quelle interaction. Vous risquez davantage de prendre des décisions irrationnelles ou risquées lorsque vos émotions sont amplifiées. Les émotions suivantes sont toutes utilisées pour vous convaincre.

  • Peur
  • Excitation
  • Curiosité
  • Colère
  • Culpabilité
  • Tristesse

Urgence : les occasions disponibles pour un certain temps uniquement ou les demandes urgentes sont deux autres outils fiables dans la trousse de l’attaquant. Vous pourriez être amené à compromettre vos données à cause d’un problème grave qu’il faut résoudre sur le champ, ou après avoir reçu la nouvelle d’un prix qui pourrait disparaître si vous n’agissez pas rapidement. Dans les deux côtés, votre esprit critique est court-circuité.

Confiance : la crédibilité est un élément essentiel et de grande valeur dans toute attaque par ingénierie sociale. Dans la mesure où l’attaquant vous ment, son niveau de confiance joue un rôle clé dans la situation. Il vous a suffisamment étudié pour pouvoir créer une histoire crédible et qui n’éveillera probablement aucun soupçon.

Il existe quelques exceptions à ces caractéristiques. Dans certains cas, les criminels utilisent des méthodes d’ingénierie sociale plus simples afin d’accéder à un réseau ou à un ordinateur. Par exemple, un pirate informatique peut fréquenter l’espace de restauration d’un grand immeuble de bureaux et espionner par-dessus leur épaule des utilisateurs travaillant sur leur tablette ou ordinateur portable. Il peut ainsi accéder à un grand nombre de mots de passe et de noms d’utilisateur, sans envoyer d’e-mail ni même écrire une seule ligne de code de virus.

Maintenant que vous comprenez le concept sous-jacent, vous vous posez probablement la question suivante : « Qu’est-ce qu’une attaque par ingénierie sociale et comment puis-je la détecter ? »

Types d’attaques par ingénierie sociale

https://www.kaspersky.fr/content/fr-fr/images/repository/isc/2017-images/malware-img-38.jpg

La quasi-totalité des attaques informatiques contient un certain type d’ingénierie sociale. Par exemple, les escroqueries classiques par courrier électronique et les virus reposent en grande partie sur cette technique.

L’ingénierie sociale peut être déployée aussi bien dans des attaques contre des dispositifs mobiles que contre des ordinateurs de bureau. Vous pourriez également être confronté à ce genre de menace en personne. Ces attaques peuvent se chevaucher et se cumuler dans le cadre de l’escroquerie.

Voici quelques-unes des méthodes fréquentes pour mener des attaques par ingénierie sociale :

Attaques d’hameçonnage

L’auteur d’une attaque par hameçonnage se fait passer pour une institution ou une personne de confiance dans le but de convaincre l’utilisateur de divulguer des données personnelles ou autres données de valeur.

Les attaques par hameçonnage appartiennent à une des deux catégories suivantes :

  1. L’hameçonnage de masse qui est une attaque de grande envergure lancée contre plusieurs utilisateurs. Ce genre d’attaque n’est pas personnalisé et cherche à tromper n’importe quelle personne trop confiante.
  2. L’hameçonnage ciblé, et par extension, les attaques de whaling, exploitent des informations personnalisées pour cibler des utilisateurs particuliers. Les attaques de whaling visent plus particulièrement des cibles à haute valeur ajoutée comme des célébrités, des cadres supérieurs ou des fonctionnaires de haut niveau.

Que ce soit dans le cadre d’une communication directe ou par le biais d’un formulaire fictif, toutes les informations que vous partagez se retrouvent directement entre les mains des escrocs. Il se peut même que vous soyez amené à télécharger un programme malveillant qui renferme l’étape suivante de l’attaque d’hameçonnage. Le mode de livraison choisi pour mener l’attaque d’hameçonnage peut varier. Il peut s’agir, entre autres, des catégories suivantes :

Les appels téléphoniques des attaques d’hameçonnage vocal (vishing)peuvent provenir de systèmes de messagerie automatisés qui enregistrent toutes vos saisies. Il arrive parfois qu’une vraie personne soit à l’autre bout du fil, pour augmenter la crédibilité et l’urgence.


Les messages reçus lors d’une attaque d’hameçonnage par SMS (ou smishing)sur le téléphone ou dans une application mobile peuvent contenir un lien ou une invite pour envoyer un e-mail ou contacter un numéro de téléphone frauduleux.


L’hameçonnage par courrier électronique est la forme d’hameçonnage la plus traditionnelle. L’utilisateur reçoit un e-mail qui l’invite à répondre ou à réaliser une autre action de suivi quelconque le plus vite possible. L’auteur de l’attaque peut choisir d’utiliser des liens, des numéros de téléphone ou des pièces jointes malveillantes.

L’hameçonnage par les réseaux sociaux se déroule sur les réseaux sociaux où l’attaquant imite une communication du service à la clientèle d’une entreprise de confiance. L’attaquant intercepte vos communications avec une marque et détourne la conversation dans des messages privés qui lui permettent de faire progresser l’attaque.

Dans le cadre de l’hameçonnage par moteur de recherche l’auteur de l’attaque tente de placer des liens vers de faux sites Internet dans le haut des résultats de la recherche. Il obtient ce résultat soit à l’aide d’annonces payantes, soit en appliquant des méthodes de référencement légitimes pour manipuler le classement des résultats de la recherche.

Les liens d’hameçonnage par URL tentent de vous amener sur des sites Internet de phishing. Ces liens sont en général envoyés dans des e-mails, des SMS, des messages sur les réseaux sociaux et dans des annonces en ligne. Les auteurs de l’attaque utilisent des liens sous forme de texte ou de bouton obtenus à l’aide de raccourcisseurs de lien ou des URL à l’orthographe trompeuse.

L’hameçonnage en session se présente comme une interruption dans votre navigation Internet normale. Par exemple, vous pouvez voir des éléments tels qu’une fausse fenêtre de connexion pour les pages que vous visitez.

Attaques par appâtage

L’appâtage abuse de votre curiosité naturelle pour vous amener à dévoiler vos données à l’attaquant. En général, la manipulation employée repose sur l’offre de quelque chose d’exclusif ou de gratuit. L’attaque implique normalement l’infection par un programme malveillant.

Voici quelques méthodes d’appâtage répandues :

  • Clés USB abandonnées dans des espaces publics tels qu’une bibliothèque ou un parking.
  • Pièces jointes dans des e-mails reprenant les détails d’une offre gratuite ou d’un logiciel frauduleux gratuit.

Attaques par effraction

Lors d’une attaque par effraction l’attaquant se présente en personne et se fait passer pour une personne qui possède un accès légitime à une zone ou des informations restreintes.

Les attaques de ce genre sont surtout fréquentes dans les institutions publiques, les entreprises ou d’autres organisations. L’attaquant peut se faire passer pour le représentant d’un fournisseur connu et de confiance de la société. Dans certains cas, l’attaquant est un employé récemment licencié et animé par un désir de vengeance contre son ancien employeur.

L’attaquant crée une identité obscure, mais suffisamment crédible pour éviter les questions. Ceci requiert un peu de recherche de la part de l’attaquant et le risque est élevé. L’attaquant qui choisit cette méthode a clairement identifié la possibilité d’obtenir une récompense de grande valeur en cas de réussite de l’opération.

Attaques par prétexte

L’attaque par prétexte exploite une identité trompeuse en tant que « prétexte » pour gagner la confiance de la victime, par exemple en se faisant passer directement pour un fournisseur ou un employé de l’entreprise. Cette technique requiert une interaction plus proactive entre l’attaquant et sa victime. L’exploitation survient après que l’attaquant a réussi à convaincre la victime de sa légitimité.

Attaques par violation de l’unicité de passage

Lors de l’attaque par violation de l’unicité de passage, l’attaquant suit de près un membre du personnel autorisé à entrer dans une zone restreinte. L’attaquant peut faire jouer la politesse afin de vous amener à lui tenir la porte ou de vous convaincre que lui aussi est autorisé à circuler dans cette zone. L’attaque par prétexte peut intervenir ici également.

Attaques de Quid Pro Quo

Quid pro quo est une expression qui signifie à peu près « une faveur pour une faveur ». Dans le contexte de l’hameçonnage, cela signifie l’échange de vos informations personnelles contre une récompense ou une forme quelconque de compensation. Les concours ou les offres de participation à une étude peuvent vous exposer à ce genre d’attaques.

L’objectif est de susciter votre intérêt pour un élément de valeur qui requiert un faible investissement de votre part. Mais l’attaquant se contente de s’emparer de vos données sans vous remettre la récompense.

Attaques par usurpation de DNS et empoisonnement du cache DNS

L’usurpation de DNS manipule votre navigateur et les serveurs Internet pour vous amener sur un site Internet malveillant quand vous saisissez une adresse Internet légitime. Une fois que le système a été infecté par ce code d’exploitation, la redirection se maintiendra jusqu’au moment où les mauvaises données de routage seront supprimées des systèmes concernés.

Les attaques par empoisonnement du cache DNS introduisent dans votre appareil des instructions de routage qui forcent la connexion d’une ou de plusieurs adresses Internet légitimes à des sites Internet frauduleux.

Attaques de scareware

Un scareware est un type de programme malveillant qui va susciter un sentiment de peur chez l’utilisateur pour l’amener à réaliser une action spécifique. Ce programme malveillant trompeur utilise des avertissements inquiétants qui signalent une fausse infection ou qui prétendent qu’un de vos comptes a été piraté.

Le scareware vous pousse à acheter un logiciel de sécurité informatique malveillant ou à divulguer des informations privées comme vos identifiants.

Attaques par point d’eau

L’auteur d’une attaque par point d’eau infecte des pages Internet très visitées avec un programme malveillant pour pouvoir toucher plusieurs utilisateurs en même temps. L’attaquant doit se livrer à une préparation minutieuse pour identifier les faiblesses de chaque site. Il recherche des vulnérabilités qui sont encore inconnues et pour lesquelles il n’existe aucun correctif. C’est ce qu’on appelle les exploitations du jour zéro.

Il arrive parfois que l’attaquant remarque que les exploitants d’un site n’ont pas actualisé l’infrastructure afin d’éliminer des problèmes connus. Les propriétaires de sites Internet choisissent parfois de reporter l’installation d’une mise à jour pour continuer à utiliser la version d’un logiciel qui a démontré sa stabilité. Ils attendent que les versions plus récentes aient démontré leur stabilité avant de les installer. Les pirates exploitent ce comportement afin de cibler les vulnérabilités pour lesquelles des correctifs ont été publiés récemment.

Méthodes inhabituelles d’ingénierie sociale

Dans certains cas, les cybercriminels ont recours à des méthodes complexes pour lancer leurs attaques :

  • Hameçonnage par fax : lorsque les clients d’une banque reçoivent un faux e-mail de celle-ci qui leur demande de confirmer leurs codes d’accès, la méthode de confirmation ne passe pas les canaux de messagerie/Internet habituels. Le client est invité à imprimer le formulaire contenu dans l’e-mail, à le remplir, puis à le faxer au numéro de téléphone du cybercriminel.
  • Diffusion de programmes malveillants par courrier traditionnel : au Japon, des cybercriminels ont utilisé un service de livraison à domicile pour distribuer des CD qui étaient infectés avec un cheval de Troie espion. Les CD étaient remis aux clients d’une banque japonaise. Les adresses des clients avaient préalablement été dérobées dans la base de données de la banque.

Exemples d’attaques par ingénierie sociale

https://www.kaspersky.fr/content/fr-fr/images/repository/isc/2017-images/malware-img-05.jpg

Les attaques impliquant des programmes malveillants requièrent une attention spéciale, car elles sont fréquentes et leurs effets sont prolongés.

Quand des créateurs de programmes malveillants utilisent des techniques d’ingénierie sociale, ils peuvent amener l’utilisateur à lancer un fichier infecté ou à suivre un lien vers un site Internet infecté. De nombreux vers de courrier électronique et autres types de programmes malveillants utilisent ces méthodes. Sans une suite complète de sécurité informatique pour vos appareils mobiles et de bureau, vous vous exposez au risque d’infection.

Attaques par ver

L’objectif du cybercriminel est d’attirer l’attention de l’utilisateur sur le lien ou sur le fichier infecté, puis de l’inciter à cliquer dessus.

Exemples de ce type d’attaque :

En l’an 2000, le ver LoveLetter a sévi sur de nombreux serveurs de messagerie d’entreprise. Les victimes recevaient un e-mail les invitant à ouvrir la lettre d’amour jointe. Lorsqu’elles ouvraient la pièce jointe, le ver se propageait à tous les contacts de leur carnet d’adresses. Ce ver reste considéré comme l’un des plus dévastateurs en termes de préjudices financiers causés.

Le ver de messagerie Mydoom, apparu sur Internet en janvier 2004, utilisait des textes imitant les messages techniques émis par le serveur de messagerie.

Le ver Swen se faisait passer pour un message envoyé par Microsoft. et invitait l’utilisateur à installer la pièce jointe pour soi-disant corriger des vulnérabilités de Windows. Il n’est donc pas étonnant que beaucoup d’utilisateurs aient pris ce message au sérieux et aient tenté d’installer le prétendu correctif, alors qu’il s’agissait d’un ver.

Canaux de livraison des liens malveillants

Les liens d’accès à des sites infectés peuvent être envoyés par e-mail, ICQ et autres systèmes de messagerie instantanée, voire via les réseaux de chat IRC. Les virus mobiles sont souvent diffusés par SMS.

Quelle que soit la méthode de diffusion utilisée, le message est généralement formulé de manière attractive ou mystérieuse pour inciter l’utilisateur peu soupçonneux à cliquer sur le lien. Cette méthode de pénétration d’un système peut également permettre au programme malveillant de contourner les filtres antivirus du serveur de messagerie.

Attaques de réseau P2P

Les réseaux P2P sont également utilisés pour diffuser des programmes malveillants. Un ver, un virus ou un cheval de Troie apparaît sur le réseau P2P avec un nom qui attire l’attention pour inciter les utilisateurs à télécharger et lancer le fichier. Par exemple :

  • AIM & AOL Password Hacker.exe
  • Microsoft CD Key Generator.exe
  • PornStar3D.exe
  • Play Station emulator crack.exe

Intimidation des utilisateurs infectés pour qu’ils ne signalent pas l’attaque

Dans certains cas, les créateurs et distributeurs de programmes malveillants prennent des mesures qui réduisent la probabilité que les victimes signalent une infection :

Les victimes peuvent répondre à une offre factice d’utilitaire gratuit ou de guide promettant des avantages illicites tels que :

  • Un accès gratuit à Internet ou aux communications mobiles.
  • La possibilité de télécharger un générateur de numéros de cartes de crédit.
  • Une méthode permettant à la victime d’augmenter le solde de son compte en banque en ligne.

Dans ce type de cas, lorsque le téléchargement se révèle être un cheval de Troie, la victime préfère souvent éviter de divulguer ses propres intentions illégales et ne pas signaler l’infection aux autorités.

À titre d’exemple de cette technique, nous pouvons évoquer un cheval de Troie envoyé une fois aux adresses électroniques obtenues sur un site Internet de recrutement. Les personnes inscrites sur le site ont reçu de fausses offres d’emploi, mais ces offres contenaient un cheval de Troie. L’attaque visait principalement les adresses électroniques professionnelles. et les cybercriminels savaient que les employés qui avaient reçu le cheval de Troie préféreraient ne pas avouer à leur employeur qu’ils avaient été infectés alors qu’ils consultaient des offres d’emploi.

Comment identifier les attaques par ingénierie sociale

Pour vous protéger contre l’ingénierie sociale, vous devez développer votre conscience de soi. Il est impératif de ralentir et de réfléchir avant d’intenter quoi que ce soit ou de répondre.

L’attaquant cherche à provoquer votre réaction avant que vous ne preniez le temps d’envisager les risques. Cela signifie que vous devez réagir de la façon opposée. Pour vous aider, voici une série de questions que vous pouvez vous poser si vous soupçonnez une attaque :

  • Mes émotions sont-elles exacerbées ? Quand vous êtes animé par un sentiment de curiosité, de peur ou d’excitation particulièrement fort, il est peu probable que vous évaluiez les conséquences de vos actions. En réalité, il est probable que vous ne prendrez même pas le temps d’évaluer la légitimité de la situation décrite. Considérez ces émotions exacerbées comme un signal d’alarme.
  • Ce message provient-il d’un expéditeur légitime ? Quand vous recevez un message suspect, vérifiez soigneusement les adresses électroniques et les profils sur les réseaux sociaux. Vous remarquerez peut-être des caractères utilisés pour imiter d’autres, par exemple « torn@exemple.com » au lieu de « tom@exemple.com ». De faux profils sur les réseaux sociaux qui reproduisent la photo de votre ami et d’autres détails sont également fréquents.
  • Ce message provient-il vraiment d’une de mes connaissances ? Si vous avez des doutes sur la provenance d’un message, il est toujours bon de demander à votre connaissance si elle a vraiment envoyé ce message. Qu’il s’agisse d’un collègue ou d’une autre personne que vous connaissez, posez-lui la question en personne ou par téléphone si possible. Il se peut que son compte de messagerie ait été piraté à son insu ou qu’un individu malveillant ait détourné le compte.
  • Le site sur lequel me je trouve affiche-t-il des caractéristiques étranges ? Des irrégularités dans l’adresse Internet, des images de qualité médiocre, des logos d’entreprise anciens ou erronés ou encore des fautes de frappe sur les pages Internet sont autant de signaux d’alarme indiquant un site Internet frauduleux. Si vous remarquez que vous êtes arrivé sur un site usurpé, quittez-le sur le champ.
  • L’offre semble-t-elle trop belle pour être vraie ? Dans le cadre des concours ou d’autres méthodes de ciblage, les offres sont une excellente motivation pour mener une attaque par ingénierie sociale. Vous devez vous demander pourquoi quelqu’un vous offre quelque chose de valeur sans vouloir en retirer un grand bénéfice. Soyez vigilant en permanence, car même des données élémentaires comme votre adresse e-mail peuvent être récoltées et vendues à des annonceurs sans scrupules.
  • Pièces jointes ou liens suspects ? Si le lien ou le nom de la pièce jointe dans un message semble vague ou étrange, réévaluez l’authenticité de l’ensemble de la communication. Voyez également si le message en lui-même a été envoyé dans un contexte ou à une heure inhabituelle et recherchez tout autre signal d’alarme.
  • Cette personne est-elle en mesure de prouver son identité ? Si la personne n’est pas en mesure de confirmer son identité auprès de l’organisation à laquelle elle prétend appartenir, refusez-lui l’accès sollicité. Ceci s’applique aux tentatives d’effraction en personne ou en ligne dans la mesure où ce mode d’attaque repose sur l’acceptation de l’identité assumée par l’attaquant.

Comment prévenir les attaques par ingénierie sociale ?

Au-delà de l’identification des attaques, vous pouvez également adopter une démarche plus proactive au niveau de votre confidentialité et de votre sécurité. Il est primordial pour tout utilisateur d’appareils mobiles et d’ordinateurs de savoir comment prévenir les attaques par ingénierie sociale.

Voici quelques méthodes pour vous protéger contre tous les types de cyberattaques :

Habitudes saines de communication et de gestion de compte

La vulnérabilité est particulièrement élevée lors des communications en ligne. Les réseaux sociaux, les e-mails et les SMS sont des cibles fréquentes, mais vous devez également tenir compte des interactions en personne.

Ne cliquez jamais sur les liens repris dans les e-mails ou les SMS. Prenez l’habitude de toujours saisir manuellement l’adresse Internet dans la barre d’adresse, et ce quel que soit l’expéditeur du message. Faites toutefois l’effort de rechercher une version officielle de l’adresse Internet en question. Ne cliquez jamais sur une adresse Internet avant d’avoir confirmé s’il s’agissait d’une adresse officielle ou légitime.

Utilisez l’authentification à plusieurs facteurs. La sécurité des comptes en ligne est renforcée si vous ne vous contentez pas du simple mot de passe pour les protéger. L’authentification à plusieurs facteurs introduit des étapes supplémentaires de vérification de l’identité lors de l’ouverture d’une session. Ces « facteurs » peuvent être des données biométriques comme les empreintes digitales ou la reconnaissance faciale ou des codes d’accès temporaires envoyés via SMS.

Créez des mots de passe robustes (et utilisez un gestionnaire de mots de passe). Chacun de vos mots de passe doit être unique et complexe. Essayez d’inclure différentes catégories de caractères, dont des majuscules, des numéros et des caractères spéciaux. Et dans la mesure du possible, privilégiez des mots de passe plus longs. Pour pouvoir gérer tous vos mots de passe uniques, envisagez d’utiliser un gestionnaire de mots de passe pour les stocker en sécurité et ne pas les oublier.

Évitez de partager le nom de votre école, celui de vos animaux de compagnie, votre lieu de naissance ou d’autres détails personnels. Vous pourriez dévoiler sans le savoir la réponse à une de vos questions de sécurité ou une partie de votre mot de passe. Si vous créez des questions de sécurité faciles à mémoriser, mais fausses, le piratage de votre compte deviendra plus difficile. Si votre première voiture était une « Toyota » et que vous choisissez un mensonge comme « Voiture de clown », les pirates seront désarçonnés.

Soyez très prudent au moment de créer des amitiés exclusivement en ligne. S’il est vrai qu’Internet est un excellent moyen de communiquer avec des personnes du monde entier, il s’agit également d’un vecteur souvent utilisé dans les attaques par ingénierie sociale. Soyez attentif aux signaux d’alarme qui indiquent une manipulation ou un abus de confiance évident.

Habitudes saines d’utilisation des réseaux

Un réseau compromis peut être une autre vulnérabilité exploitée pour la recherche d’informations en vue de préparer une attaque. Pour éviter qu’un attaquant puisse utiliser vos données contre vous, adoptez des mesures de protection pour tous les réseaux auxquels vous vous connectez.

Ne laissez jamais des inconnus se connecter à votre réseau Wi-Fi principal. Chez vous ou au bureau, prévoyez une connexion Wi-Fi pour les invités. Ainsi, votre connexion principale chiffrée et protégée par un mot de passe demeure sécurisée et à l’abri des interceptions. Si une personne décide de « tendre une oreille » pour obtenir des informations, elle n’aura pas accès à l’activité que vous et d’autres utilisateurs souhaitez maintenir confidentielle.

Utilisez un réseau privé virtuel (VPN). Si un utilisateur de votre réseau principal, filaire, sans fil ou cellulaire, parvient à intercepter le trafic, un réseau privé virtuel (VPN) peut le tenir à l’écart. Un VPN est un service qui vous permet de vous connecter à Internet via un « tunnel » privé et chiffré. Non seulement votre connexion est à l’abri des curieux, mais vos données sont anonymisées, si bien qu’il sera impossible de remonter jusqu’à vous à l’aide de cookies ou d’autres méthodes.

Sécurisez tous vos appareils et services connectés au réseau. Nombreux sont les utilisateurs qui connaissent les bonnes pratiques en matière de sécurité sur Internet pour les appareils mobiles et les ordinateurs traditionnels. Cela étant, la sécurisation du réseau en lui-même en plus de celle de l’ensemble de vos appareils intelligents et de vos services dans le Cloud est tout aussi importante. Veillez à protéger les appareils généralement ignorés comme les systèmes d’infodivertissement embarqués dans les véhicules ou les routeurs du réseau domestique. Une violation des données contenues sur ces appareils pourrait permettre d’obtenir des renseignements pour alimenter les efforts d’ingénierie sociale d’une escroquerie.

Habitudes saines d’utilisation des appareils

La manipulation de vos appareils en elle-même est tout aussi importante que les autres comportements numériques. Protégez votre téléphone mobile, votre tablette et autres ordinateurs de la manière suivante :

Utilisez un logiciel de sécurité sur Internet complet. Si l’attaquant exploite avec succès les tactiques sociales, l’infection par un programme malveillant est garantie. Pour lutter contre les rootkits, les chevaux de Troie et autres robots, il est essentiel d’utiliser une solution de sécurité Internet de qualité, capable d’éliminer les infections et de suivre leur source.

Ne laissez jamais vos appareils sans supervision en public. Verrouillez toujours votre ordinateur et vos appareils mobiles, surtout au bureau. Si vous utilisez vos appareils dans un espace public comme un aéroport ou un café, ne les laissez jamais seuls.

Installez les mises à jour des logiciels dès qu’elles sont disponibles. Les mises à jour immédiates installent les correctifs de sécurité essentiels pour votre logiciel. Si vous attendez avant d’installer une mise à jour du système d’exploitation ou d’une application, le risque d’exploitation d’une vulnérabilité connue par un attaquant existe. Dans la mesure où les individus malintentionnés savent que ce comportement est fréquent chez de nombreux utilisateurs d’ordinateurs et d’appareils mobiles, vous devenez une cible de choix pour les attaques de programmes malveillants par ingénierie sociale.

Recherchez d’éventuelles divulgations de données connues pour vos comptes en ligne. Un service tel que Kaspersky Premium recherche activement vos adresses e-mail dans les violations de données existantes ou nouvelles. Si vos comptes ont été compromis, vous recevez une notification ainsi que des conseils sur les mesures à prendre.

La formation constitue la base de la protection contre l’ingénierie sociale. Si tous les utilisateurs sont conscients des menaces, notre sécurité en tant que société ne peut que s’améliorer. Ne manquez pas de sensibiliser vos collègues, vos proches et vos amis à ces risques en partageant ce que vous avez appris.

Articles connexes :

Qu’est-ce que l’ingénierie sociale ?

L'ingénierie sociale regroupe des technique utilisées par les cybercriminels pour inciter des utilisateurs peu méfiants à leur envoyer leurs données confidentielles, infectant ainsi leurs ordinateurs avec des programmes malveillants ou ouvrant des liens vers des sites infectés.
Kaspersky Logo