L’ingénierie sociale est une tactique de piratage courante impliquant une manipulation psychologique utilisée dans les attaques de cybersécurité pour accéder à des informations confidentielles ou les voler.
Ces informations sont ensuite utilisées pour commettre des fraudes, obtenir un accès non autorisé aux systèmes ou, dans certains cas, voler votre identité. Le coût de la cybercriminalité en France a explosé, étant évalué à plus de 100 milliards d’euros(nouvelle fenêtre). Parallèlement, l’édition 2024 du baromètre du CESIN(nouvelle fenêtre) indique que près d’une entreprise française sur deux a été victime d’une cyberattaque avec un impact significatif l’an dernier et que le phishing reste le principal mode d’attaque.
En comprenant les mécanismes des astuces d’ingénierie sociale courantes et en mettant en place de solides défenses de cybersécurité, vous pouvez mieux sécuriser vos informations les plus sensibles et précieuses.
Cet article explore les différents types d’attaques d’ingénierie sociale et propose des moyens de vous protéger, vous et votre entreprise, contre ces pratiques trompeuses.
Fonctionnement de l’ingénierie sociale
Plutôt que de cibler un code vulnérable, l’ingénierie sociale exploite les faiblesses de la psychologie humaine pour accéder à des bâtiments, des systèmes ou des données. Le plus souvent, l’ingénierie sociale exploite notre tendance humaine naturelle à faire confiance.
Les cybercriminels deviennent de plus en plus doués pour se déguiser en acteurs bienveillants, utilisant un langage persuasif pour inciter les victimes à divulguer des informations qu’elles souhaitent garder privées et sécurisées.
Par exemple, un attaquant pourrait vous envoyer un e-mail qui semble provenir d’une entreprise ou d’un service connu, vous demandant de confirmer vos identifiants de connexion ou des informations personnelles. Ce type de communication peut créer un sentiment d’urgence ou de peur et vous faire croire qu’il y a un problème avec votre compte nécessitant une attention immédiate. Beaucoup pensent répondre à quelqu’un qui a leurs meilleurs intérêts à cœur et fournissent les informations, comme des identifiants de connexion ou un code à usage unique, pour ensuite voir ces informations utilisées contre eux.
Les attaques d’ingénierie sociale ne se limitent pas aux e-mails, bien que ce soit le vecteur le plus courant. Elles peuvent également se produire par téléphone, sur les réseaux sociaux ou en personne.
Existe-t-il différents types d’attaques d’ingénierie sociale ?
Les cybercriminels disposent d’une vaste boîte à outils de techniques d’ingénierie sociale.
Phishing
Le phishing (hameçonnage) consiste à envoyer des e-mails ou des messages qui semblent légitimes dans le seul but de soutirer des données sensibles, comme des mots de passe ou des informations de carte bancaire. Ces e-mails et messages peuvent sembler incroyablement réels, vous trompant en vous faisant croire qu’ils proviennent d’un expéditeur de confiance.
Facturation fictive
Les attaquants utilisent souvent un domaine légitime, tel que PayPal, pour envoyer de fausses factures prétendant que vous devez un solde et incluant un bouton pour payer.
Baiting
Cette tactique d’« appâtage » aguiche avec des offres alléchantes, telles que des logiciels gratuits, pour attirer les victimes dans des pièges qui peuvent les amener à installer involontairement un rançongiciel. La promesse d’un téléchargement gratuit de film, par exemple, pourrait vous tromper en téléchargeant un fichier qui compromet votre ordinateur.
Compromission de la messagerie professionnelle (BEC)
Dans ce scénario, un attaquant peut tromper des cadres supérieurs pour qu’ils transfèrent des fonds ou révèlent des informations sensibles.(nouvelle fenêtre) Souvent sous forme d’e-mails, ces attaques semblent légitimes avec des demandes urgentes ou des liens malveillants, les rendant plus difficiles à détecter.
Scareware
Il s’agit d’envoyer de fausses alertes et menaces fictives pour contraindre les victimes potentielles à télécharger ou installer un logiciel nuisible. Ces menaces peuvent par exemple prétendre que votre système est infecté par un virus qui nécessite un logiciel de sécurité spécial, qui est en réalité malveillant.
Dumpster diving
Cette tactique, bien que plus élaborée et complexe, est une autre méthode courante d’ingénierie sociale qui consiste à fouiller dans vos poubelles pour trouver des factures, relevés bancaires, cartes de crédit pré-approuvées ou d’autres documents contenant des informations sensibles pouvant être utilisés pour des activités frauduleuses.
Tailgating
Aussi appelé « talonnage » ou « piggybacking », cette tactique physique consiste pour les attaquants à entrer dans des zones sécurisées en suivant de près le personnel autorisé. (nouvelle fenêtre) Le tailgating exploite l’instinct humain commun de tenir les portes ouvertes pour autrui, surtout dans les zones fréquentées.
Arnaques financières
Vous avez probablement entendu parler de l’arnaque de la fraude 419(nouvelle fenêtre) (aussi appelée « scam 419 » ou « arnaque nigériane »), dans laquelle un attaquant vous demande de l’aider à transférer une grosse somme d’argent depuis l’étranger en échange d’une part de cette somme. Bien sûr, vous devez d’abord fournir vos coordonnées bancaires ou payer des « frais de traitement » pour l’obtenir.
Quid pro quo
Ici, les attaquants offrent des services ou des avantages en échange d’informations. Un pirate informatique, par exemple, pourrait proposer de résoudre un problème informatique qui vous oblige à télécharger un outil d’accès à distance qui donne finalement le contrôle de votre ordinateur à l’attaquant.
Comment pouvez-vous vous protéger des attaques d’ingénierie sociale ?
Il existe plusieurs stratégies que vous pouvez utiliser pour limiter ou prévenir le risque d’attaques d’ingénierie sociale :
Faites preuve de prudence avec les pièces jointes des e-mails
Méfiez-vous de l’ouverture de pièces jointes ou du clic sur des liens dans des e-mails provenant de sources inconnues, car ils peuvent contenir des logiciels malveillants ou renvoyer vers des sites de phishing (hameçonnage).
Méfiez-vous des offres trop belles pour être vraies
Si une offre semble trop généreuse sans piège apparent, il est probable qu’il s’agisse d’une tactique d’appâtage conçue pour exploiter.
Limitez le partage d’informations personnelles en ligne
Moins vous partagez d’informations en ligne, plus il sera difficile pour les attaquants de vous cibler avec des arnaques personnalisées.
Mettez régulièrement à jour vos logiciels
Garder vos applications et votre système d’exploitation à jour vous assure d’avoir la dernière protection contre les nouvelles menaces.
Sauvegardez vos données
Des sauvegardes régulières peuvent vous aider à vous remettre rapidement d’une attaque sans perte significative d’informations.
Éliminez correctement les documents sensibles
Déchiqueter ou détruire les documents contenant des informations personnelles ou sensibles peut empêcher qu’ils soient découverts et utilisés de manière malveillante.
Évitez les périphériques USB inconnus et désactivez les fonctionnalités d’exécution automatique des appareils
Brancher des périphériques USB inconnus peut introduire des logiciels malveillants dans votre système. Désactiver l’exécution automatique empêche l’installation automatique de ransomwares potentiels.
Utilisez l’authentification multifacteur (MFA)
Ajouter un niveau de sécurité supplémentaire, au-delà des seuls mots de passe, peut considérablement renforcer vos défenses contre les accès non autorisés.
Utilisez des mots de passe forts et l’A2F
Utilisez des mots de passe forts et uniques pour tous vos comptes en ligne. Proton recommande d’utiliser un gestionnaire de mots de passe open source pour vous aider à créer et mémoriser des mots de passe forts. De plus, activer l’authentification à deux facteurs (A2F) ajoute un niveau de défense supplémentaire. Si jamais vos noms d’utilisateur ou mots de passe sont compromis, les escrocs ne pourront pas accéder à vos comptes.
Protégez-vous avec Proton
Face aux menaces d’ingénierie sociale, Proton propose une suite complète de produits et fonctionnalités conçus pour protéger votre vie numérique.
Proton Mail
Proton Mail est conçu pour reconnaître et isoler les e-mails de phishing (hameçonnage), réduisant considérablement le risque que des messages d’escroquerie atteignent votre boite mail. Avec le chiffrement de bout en bout au cœur de nos services, nous avons conçu Proton Mail avec plusieurs niveaux de défenses en cybersécurité :
- PhishGuard, la protection avancée contre le phishing, pour signaler les attaques potentielles de phishing (hameçonnage)
- Détection intelligente des spams et filtres personnalisés pour filtrer automatiquement les spams (messages indésitables)
- Confirmation des liens pour vous permettre de vérifier les liens avant de les ouvrir
- Avertissements d’authentification de domaine pour signaler les adresses potentiellement usurpées et anti-usurpation de domaine personnalisé pour protéger votre domaine contre l’usurpation
- Vérification des adresses pour vérifier les expéditeurs dans les e-mails chiffrés de bout en bout
- Alias pour masquer votre adresse personnelle des escrocs potentiels
Notre chiffrement s’étend aux messages transférés, au partage de fichiers et à tous les événements organisés dans Proton Calendar, vous permettant de maintenir le flux de travail et d’organiser des réunions sans compromettre la sécurité.
Proton VPN
Proton VPN(nouvelle fenêtre) masque également vos activités en ligne et votre localisation des éventuels espions, rendant difficile pour les attaquants de recueillir des informations sur vous qui pourraient être utilisées dans des attaques d’ingénierie sociale. Pour les entreprises, un compte Proton VPN for Business(nouvelle fenêtre) donne accès à un vaste réseau de serveurs couvrant plus de 85 pays sur six continents, garantissant que vous et vos employés aurez toujours accès à un serveur VPN rapide et sécurisé, peu importe où se trouvent vos opérations ou vos employés.
Proton Drive
Proton Drive protège vos fichiers contre les accès non autorisés. Tous vos fichiers, noms de fichiers et noms de dossiers sont entièrement chiffrés au repos et en transit vers votre cloud sécurisé. Avec un abonnement Proton for Business, chaque utilisateur de votre organisation bénéficie de 500 Go de stockage, offrant l’espace et la sécurité dont votre entreprise a besoin pour opérer sans souci de menaces en cybersécurité.
Proton Pass
Proton Pass facilite le partage sécurisé des identifiants et, si vous êtes un chef d’entreprise, permet de contrôler qui a accès aux identifiants sensibles. Les administrateurs obtiennent un accès supplémentaire aux outils pour garantir que leurs équipes adoptent les meilleures pratiques en matière de cybersécurité, y compris l’authentification à deux facteurs. Un compte Proton Pass for Business vous donne accès à 50 coffres-forts, des alias illimités et notre programme de haute sécurité Proton Sentinel, qui est efficace tant pour Proton Mail que pour Proton Pass et a bloqué des milliers d’attaques de piratage de compte depuis son lancement en août 2023.
Passer à Proton est un jeu d’enfant
Proton Mail propose également une fonctionnalité simple d’utilisation appelée Easy Switch qui vous permet de passer très facilement à votre nouvelle boite mail Proton Mail, de sauvegarder vos données et d’importer des messages, des contacts et des agendas d’autres services de messagerie, tels que Gmail. Il est également facile de transférer vos données vers Proton Drive et Proton Pass.
Lorsque vous créez un compte Proton Mail, vous protégez vos données les plus précieuses contre les attaques d’ingénierie sociale et vous contribuez à créer un meilleur internet où la vie privée est la norme.
