Dans ce guide, nous aborderons tout ce que vous devez savoir sur les attaques d’ing\u00e9nierie sociale, notamment :<\/p>\n\n\n\n
- \n
- ce qu’est une attaque d’ing\u00e9nierie sociale ;<\/li>\n\n\n\n
- les diff\u00e9rentes formes que peut prendre une attaque d’ing\u00e9nierie sociale ;<\/li>\n\n\n\n
- comment d\u00e9tecter rapidement une attaque d’ing\u00e9nierie sociale ;<\/li>\n\n\n\n
- et surtout, comment \u00e9viter d’en \u00eatre victime !<\/li>\n<\/ul>\n\n\n\n\n\n\n
Qu’est-ce que l’Ing\u00e9nierie Sociale ?<\/h2>\n\n\n\n
Commen\u00e7ons par les fondamentaux: qu’est-ce que l’ing\u00e9nierie sociale ?<\/p>\n\n\n\n
L’ing\u00e9nierie sociale regroupe de nombreuses techniques permettant d’exploiter notre nature humaine pour induire des comportements et des erreurs qui conduiront \u00e0 une s\u00e9curit\u00e9 affaiblie.<\/strong><\/p>\n\n\n\n
Concr\u00e8tement, il s’agit d’utiliser la psychologie pour manipuler des gens, et permettre aux criminels d’obtenir des donn\u00e9es sensibles (identifiants, num\u00e9ros de carte de cr\u00e9dit, etc.). Il ne s’agit pas d’un type d’attaque unique, mais plut\u00f4t d’un groupe de techniques diff\u00e9rentes qui pr\u00e9sentent plusieurs similitudes :<\/p>\n\n\n\n
- \n
- les escrocs tentent d’obtenir des informations sensibles ou de l’argent ;
<\/li>\n\n\n\n - ils exploitent la confiance et le comportement humain pour manipuler leurs victimes et atteindre leurs objectifs ;
<\/li>\n\n\n\n - ils exploitent le manque de connaissances de leurs victimes et leur incapacit\u00e9 \u00e0 mettre en \u0153uvre des mesures de s\u00e9curit\u00e9 pour se prot\u00e9ger ;
<\/li>\n\n\n\n - leurs stratag\u00e8mes consistent souvent \u00e0 utiliser des informations personnelles (usurpation d’identit\u00e9) pour para\u00eetre plus authentiques.<\/li>\n<\/ul>\n\n\n\n
Vous souvenez-vous du cheval \u00ab\u00a0cadeau\u00a0\u00bb des Grecs de l’Antiquit\u00e9 \u00e0 la ville de Troie ? Un excellent exemple concret.<\/p>\n\n\n\n
La manipulation<\/em> est au c\u0153ur de toute attaque d’ing\u00e9nierie sociale.<\/strong><\/p>\n\n\n\n
Oubliez les tactiques de \u00ab\u00a0force brute\u00a0\u00bb. Avec l’ing\u00e9nierie sociale, les attaquants utilisent des tactiques de manipulation pour amener leurs victimes \u00e0 se compromettre ou \u00e0 compromettre les mesures de s\u00e9curit\u00e9 dont elles d\u00e9pendent.<\/p>\n\n\n\n
Lorsque les attaquants connaissent mieux les motivations de leurs cibles, ils peuvent \u00e9laborer des tactiques persuasives pour les inciter \u00e0 adopter un comportement potentiellement destructeur.<\/strong><\/p>\n\n\n\n
Et cela fonctionne : de nombreux incidents de cybers\u00e9curit\u00e9 sont dus \u00e0 des stratag\u00e8mes d’ing\u00e9nierie sociale r\u00e9ussis, mis en \u0153uvre par des attaquants externes. Ils jouent avec les faiblesses humaines pour que leurs victimes leur donnent involontairement acc\u00e8s \u00e0 des informations sensibles ou \u00e0 de l’argent.<\/p>\n\n\n\n
Comment Fonctionnent les Attaques par Ing\u00e9nierie Sociale ?<\/h2>\n\n\n\n
Comme nous l’avons d\u00e9j\u00e0 mentionn\u00e9, l’ing\u00e9nierie sociale repose sur la manipulation. Elle peut prendre diff\u00e9rentes formes (comme nous le verrons plus loin).<\/p>\n\n\n\n
Cependant, chaque attaque d’ing\u00e9nierie sociale pr\u00e9sente l’un des traits humains suivants.<\/p>\n\n\n\n
Confiance<\/h3>\n\n\n\n
Le pirate enverra un message usurpant<\/a> les codes de communication d’une organisation, tels que son logo et d’autres caract\u00e9ristiques de la marque (polices de caract\u00e8res, style d’\u00e9criture, etc.).<\/p>\n\n\n\n
Ils veulent amener la victime \u00e0 faire des choses qu’elle ferait habituellement avec cette organisation (cliquer sur un lien, t\u00e9l\u00e9charger un fichier, etc.) parce qu’elle lui fait confiance et qu’elle ne remet pas en question l’origine du message.<\/p>\n\n\n\n
Soumission \u00e0 l’autorit\u00e9<\/h3>\n\n\n\n
L’ob\u00e9issance \u00e0 l’autorit\u00e9 est un autre trait humain que les tactiques d’ing\u00e9nierie sociale peuvent exploiter.<\/p>\n\n\n\n
Les pirates se font passer pour une personne de haut rang ou une agence gouvernementale afin d’inciter leur cible ob\u00e9issante \u00e0 faire quelque chose.<\/p>\n\n\n\n
Sentiment d’urgence et\/ou de peur<\/h3>\n\n\n\n
Les gens agissent souvent sans r\u00e9fl\u00e9chir lorsqu’ils sont confront\u00e9s \u00e0 un sentiment soudain de panique.<\/p>\n\n\n\n
Ils deviennent ainsi vuln\u00e9rables aux escroqueries d’ing\u00e9nierie sociale qui exploitent ces \u00e9motions. Ces tactiques trompeuses exploitent la peur et l’urgence de diverses mani\u00e8res :<\/p>\n\n\n\n
- \n
- les fausses alertes de carte de cr\u00e9dit ;<\/li>\n\n\n\n
- avertissements concernant les virus ;<\/li>\n\n\n\n
- l’exploitation de la peur de rater quelque chose d’important( FOMO<\/a> ).<\/li>\n<\/ul>\n\n\n\n
La victime paniqu\u00e9e est pouss\u00e9e \u00e0 agir sans prendre le temps de r\u00e9fl\u00e9chir aux cons\u00e9quences de ses actes. Souvent, sous l’effet du stress, elle oublie de v\u00e9rifier la l\u00e9gitimit\u00e9 de la demande.<\/p>\n\n\n\n
L’avidit\u00e9<\/h3>\n\n\n\n
Vous ne refuseriez pas un cadeau, n’est-ce pas ? Les escrocs l’ont bien compris.<\/p>\n\n\n\n
C’est pourquoi de nombreuses escroqueries misent sur notre cupidit\u00e9 pour nous attirer avec des r\u00e9compenses en argent, des iPhones gratuits et d’autres prix.<\/strong><\/p>\n\n\n\n
Avez-vous d\u00e9j\u00e0 entendu parler de l’escroquerie de l’\u00ab h\u00e9ritage inattendu \u00bb ? Il s’agit d’un phishing classique qui vous promet une grosse somme d’argent provenant d’un parent \u00e9loign\u00e9 ou d’un riche bienfaiteur. L’argent est soi-disant bloqu\u00e9 pour une raison obscure\u2026 Il vous suffit de payer les frais administratifs pour obtenir l’argent.<\/p>\n\n\n\n
Cela vous semble trop beau pour \u00eatre vrai ? En effet, c’est le cas ! Il s’agit d’un exemple parfait d’escroquerie utilisant notre attirance pour l’argent, les cadeaux ou les r\u00e9compenses faciles.<\/p>\n\n\n\n
La g\u00e9n\u00e9rosit\u00e9<\/h3>\n\n\n\n
Enfin, notre g\u00e9n\u00e9rosit\u00e9 est souvent exploit\u00e9e dans les attaques d’ing\u00e9nierie sociale.<\/p>\n\n\n\n
Les attaquants exploitent la g\u00e9n\u00e9rosit\u00e9 en recherchant sur les r\u00e9seaux sociaux ce qui vous tient \u00e0 c\u0153ur et en se faisant passer pour des organisations li\u00e9es \u00e0 vos causes. Par exemple, ils peuvent se faire passer pour une organisation caritative que vous soutenez afin de solliciter des dons.<\/p>\n\n\n\n
Attaques d’Ing\u00e9nierie Sociale : \u00c0 Quoi Ressemblent-Elles ?<\/h2>\n\n\n\n
Il existe de nombreux types d’attaques d’ing\u00e9nierie sociale, avec des variantes subtiles. Voici quelques-unes des plus courantes.<\/p>\n\n\n\n
Les attaques de phishing (hame\u00e7onnage<\/a>) sont les attaques d’ing\u00e9nierie sociale les plus courants aujourd’hui.<\/strong><\/p>\n\n\n\n
Les escroqueries par hame\u00e7onnage s’appuient sur les courriels pour \u00e9tablir une connexion avec la cible. Il existe plusieurs types sp\u00e9cifiques d’attaques par hame\u00e7onnage, comme par exemple :<\/p>\n\n\n\n
- \n
- le smishing,<\/a> une attaque par hame\u00e7onnage qui s’appuie sur les SMS ;
<\/li>\n\n\n\n- le vishing<\/a> (\u00ab\u00a0voice phishing\u00a0\u00bb) qui s’appuie sur des conversations t\u00e9l\u00e9phoniques;
<\/li>\n\n\n\n- le spear phishing<\/a>, qui cible des personnes sp\u00e9cifiques en leur communiquant des informations personnelles pour les faire passer pour des personnes l\u00e9gitimes ;
<\/li>\n\n\n\n- les attaques de type \u00ab\u00a0whaling\u00a0\u00bb<\/a>, qui sont des attaques de phishing ciblant des cadres de haut niveau.<\/li>\n<\/ul>\n\n\n\n
- \n
- le pretexting<\/a> est une autre forme d’ing\u00e9nierie sociale dans laquelle les attaquants s’efforcent de cr\u00e9er un pr\u00e9texte plausible, ou un sc\u00e9nario fabriqu\u00e9, qu’ils peuvent utiliser pour voler les informations personnelles de leurs victimes.<\/li>\n<\/ul>\n\n\n\n
- \n
- l’app\u00e2t<\/a> est, \u00e0 bien des \u00e9gards, similaire aux attaques par hame\u00e7onnage. Cependant, ce qui les distingue des autres types d’attaques est la promesse d’une r\u00e9compense que les pirates utilisent pour attirer les victimes, tout comme le cheval de Troie.<\/li>\n<\/ul>\n\n\n\n
- \n
- de m\u00eame, les attaques de type \u00ab\u00a0quid pro quo<\/a> \u00a0\u00bb promettent un avantage en \u00e9change d’informations. Cet avantage prend g\u00e9n\u00e9ralement la forme d’un service, alors que l’app\u00e2t prend souvent la forme d’un bien.<\/li>\n<\/ul>\n\n\n\n
- \n
- les scareware<\/a> visent \u00e0 faire croire aux victimes qu’un virus a infect\u00e9 leur appareil et qu’elles doivent acheter ou t\u00e9l\u00e9charger un logiciel sp\u00e9cifique pour le r\u00e9parer.<\/li>\n<\/ul>\n\n\n\n
- \n
- les attaques de point d’eau<\/a> se produisent lorsque des attaquants compromettent un site web fr\u00e9quent\u00e9 par un groupe sp\u00e9cifique d’utilisateurs. Lorsque ces utilisateurs visitent le site, leurs appareils sont infect\u00e9s par des logiciels malveillants.<\/li>\n<\/ul>\n\n\n\n
- \n
- on parle de pi\u00e8ge \u00e0 miel<\/a> (\u00ab\u00a0honey trapping\u00a0\u00bb) lorsque des attaquants cr\u00e9ent de faux profils de m\u00e9dias sociaux pour se lier d’amiti\u00e9 avec des cibles et leur soutirer des informations confidentielles par le biais de relations trompeuses.<\/li>\n<\/ul>\n\n\n\n
- \n
- enfin, l’ing\u00e9nierie sociale invers\u00e9e cr\u00e9e une situation dans laquelle la victime demande de l’aide, ce qui permet \u00e0 l’attaquant de se faire passer pour un assistant et d’extraire des informations sensibles.<\/li>\n<\/ul>\n\n\n\n
Attaques physiques de phishing<\/h3>\n\n\n\n
Les attaques de phishing peuvent \u00e9galement se produire dans le monde \u00ab\u00a0r\u00e9el\u00a0\u00bb, physique.<\/p>\n\n\n\n
La forme la plus courante est appel\u00e9e\u00ab\u00a0shoulder surfing<\/a>\u00ab\u00a0. Il s’agit d’une personne qui observe directement par-dessus votre \u00e9paule pour obtenir des informations telles que des mots de passe ou des codes PIN, apr\u00e8s avoir incit\u00e9 la personne \u00e0 effectuer une action n\u00e9cessitant des informations d’identification.<\/p>\n\n\n\n
Un autre type d’attaque par ing\u00e9nierie sociale est le \u00a0\u00bb tailgating\u00a0\u00bb<\/a>, o\u00f9 une personne cherche \u00e0 entrer physiquement dans une zone restreinte o\u00f9 elle n’est pas autoris\u00e9e \u00e0 se trouver. <\/p>\n\n\n\n
Caract\u00e9ristiques communes des attaques d’ing\u00e9nierie sociale<\/h3>\n\n\n\n
La plupart de ces attaques d’ing\u00e9nierie sociale pr\u00e9sentent les caract\u00e9ristiques suivantes :<\/p>\n\n\n\n
- \n
- Informations personnelles :<\/strong> les attaquants recherchent des informations telles que les noms, les adresses et les num\u00e9ros de s\u00e9curit\u00e9 sociale.
<\/li>\n\n\n\n- Raccourcisseurs de liens ou liens int\u00e9gr\u00e9s :<\/strong> les liens inclus dans les emails redirigent en fait les utilisateurs vers des sites web suspects, malgr\u00e9 que les URL semblent l\u00e9gitimes.
<\/li>\n\n\n\n- Logiciels malveillants : <\/strong>l’ing\u00e9nierie sociale peut \u00e9galement \u00eatre utilis\u00e9e pour mettre en place des logiciels malveillants, soit en plus du vol des informations d’identification de la victime, soit dans le seul but de compromettre l’appareil de la victime.
<\/li>\n<\/ul>\n\n\n\nAttaques d’Ing\u00e9nierie Sociale dans le Monde R\u00e9el<\/h2>\n\n\n\n
Maintenant que nous avons couvert la th\u00e9orie, examinons quelques exemples concrets d’escroqueries par ing\u00e9nierie sociale.<\/p>\n\n\n\n
La fraude du \u00ab\u00a0faux PDG\u00a0\u00bb<\/h3>\n\n\n\n
En 2016, l’entreprise a\u00e9rospatiale autrichienne FACC<\/a> a perdu environ 50 millions d’euros \u00e0 la suite d’une escroquerie par ing\u00e9nierie sociale connue sous le nom de \u00ab\u00a0fraude au pr\u00e9sident\u00a0\u00bb.<\/p>\n\n\n\n
Les cybercriminels se sont fait passer pour le PDG de l’entreprise et ont envoy\u00e9 un courriel au service financier pour demander un virement bancaire urgent.<\/strong><\/p>\n\n\n\n
Le courriel semblait l\u00e9gitime, contenant le style d’\u00e9criture typique du PDG et m\u00eame une signature \u00e9lectronique falsifi\u00e9e. Sans v\u00e9rifier la demande, un employ\u00e9 a transf\u00e9r\u00e9 les fonds sur un compte offshore contr\u00f4l\u00e9 par les attaquants. <\/p>\n\n\n\n
Ce cas souligne l’importance de v\u00e9rifier les transactions financi\u00e8res par des canaux de communication secondaires avant de les effectuer. Il met \u00e9galement en \u00e9vidence la valeur de l’utilisation des signatures num\u00e9riques<\/a>. Avec Mailfence, vous pouvez signer num\u00e9riquement vos courriels \u00e0 l’aide du chiffrement<\/a>, ce qui prouve de mani\u00e8re irr\u00e9futable que vous \u00eates bien l’auteur de l’email.<\/p>\n\n\n\n
L’arnaque au bitcoin sur Twitter<\/h3>\n\n\n\n
Lors d’une attaque d’ing\u00e9nierie sociale tr\u00e8s m\u00e9diatis\u00e9e<\/a>, des cybercriminels ont acc\u00e9d\u00e9 aux outils internes de Twitter en se faisant passer pour des membres du personnel d’assistance informatique.<\/p>\n\n\n\n
Ils ont manipul\u00e9 les employ\u00e9s pour qu’ils fournissent des identifiants de connexion, ce qui leur a permis de prendre le contr\u00f4le de plusieurs comptes importants, dont ceux d’Elon Musk, de Bill Gates et de Barack Obama.<\/strong><\/p>\n\n\n\n
![\"Ces](\"https:\/\/blog.mailfence.com\/wp-content\/uploads\/2024\/06\/Twitter-Bitcoin-scam.jpg\")
Ces tweets ont \u00e9t\u00e9 envoy\u00e9s \u00e0 partir de comptes l\u00e9gitimes tels que celui d’Apple.<\/em><\/figcaption><\/figure>\n\n\n\n Les attaquants ont utilis\u00e9 ces comptes pour publier des offres frauduleuses de bitcoins, trompant ainsi les personnes qui les suivaient pour qu’elles envoient de la crypto-monnaie. Cette attaque montre les dangers d’une confiance excessive dans les informations d’identification internes et souligne l’importance de l’authentification multifactorielle<\/a> et de la formation des employ\u00e9s aux tactiques d’ing\u00e9nierie sociale.<\/a> <\/p>\n\n\n\n
Vous voulez en savoir plus ? Consultez les rapports de Verizon<\/a>, qui explore le co\u00fbt des violations de donn\u00e9es dans le monde des affaires. <\/em><\/p>\n\n\n\n
Le R\u00f4le des R\u00e9seaux Sociaux dans les Attaques d’Ing\u00e9nierie Sociale<\/h2>\n\n\n\n
Avec l’\u00e9mergence des r\u00e9seaux sociaux, les escrocs ont un acc\u00e8s sans pr\u00e9c\u00e9dent \u00e0 vos informations personnelles. Ils n’ont plus besoin de pirater votre compte de messagerie : tout est public sur Instagram, TikTok et X !<\/p>\n\n\n\n
Cette pratique est connue sous le nom de \u00ab\u00a0reconnaissance des r\u00e9seaux sociaux\u00a0\u00bb. En analysant les messages accessibles au public, les attaquants peuvent :<\/strong><\/p>\n\n\n\n
- \n
- Identifier le lieu de travail, le r\u00f4le professionnel et les contacts professionnels d’une personne.
<\/li>\n\n\n\n - Extraire des d\u00e9tails personnels tels que les dates de naissance, les noms d’animaux ou les lieux pr\u00e9f\u00e9r\u00e9s, qui pourraient \u00eatre utilis\u00e9s pour deviner des mots de passe.
<\/li>\n\n\n\n - Se renseigner sur vos projets de voyage afin d’organiser une attaque \u00e0 un moment o\u00f9 vous \u00eates moins vigilant.<\/li>\n<\/ul>\n\n\n\n
Avec toutes ces informations en main, les attaquants peuvent hyper-personnaliser leurs tentatives d’hame\u00e7onnage. Cela augmente consid\u00e9rablement les chances de succ\u00e8s. <\/p>\n\n\n\n
Attaques courantes bas\u00e9es sur les m\u00e9dias sociaux<\/h3>\n\n\n\n
En disposant d’une multitude d’informations sur vous, les attaquants peuvent facilement mettre au point une attaque de spear phishing<\/a>. Par le biais des MP sur Instagram ou X, ils peuvent donner l’impression de provenir d’une source fiable, incitant les victimes \u00e0 cliquer sur des liens malveillants ou \u00e0 t\u00e9l\u00e9charger des logiciels malveillants.<\/p>\n\n\n\n
Les attaquants savent \u00e9galement o\u00f9 vous travaillez, depuis quand, o\u00f9 vous avez travaill\u00e9 auparavant, etc. gr\u00e2ce \u00e0 LinkedIn.<\/strong><\/p>\n\n\n\n
Avec ces informations, les attaquants peuvent se faire passer pour des cadres d’entreprise sur LinkedIn et tenter d’initier des transactions frauduleuses. Ils peuvent \u00e9galement se faire passer pour des recruteurs et envoyer de fausses offres d’emploi afin de soutirer des informations personnelles aux demandeurs d’emploi. <\/p>\n\n\n\n
Pour vous prot\u00e9ger, voici quelques mesures \u00e0 prendre :<\/strong><\/p>\n\n\n\n
- \n
- D\u00e9finissez des param\u00e8tres de confidentialit\u00e9 stricts sur vos comptes personnels et professionnels.
<\/li>\n\n\n\n - \u00c9vitez de mentionner trop de d\u00e9tails personnels et professionnels. Cela inclut les endroits que vous avez visit\u00e9s ou que vous pr\u00e9voyez de visiter, les noms des membres de votre famille, etc.
<\/li>\n\n\n\n - Examinez r\u00e9guli\u00e8rement les connexions avec des comptes inconnus ou suspects et supprimez-les (en particulier sur Facebook).
<\/li>\n\n\n\n - Supprimez tout compte de r\u00e9seau social que vous n’utilisez plus. Assurez-vous que toutes vos informations sont supprim\u00e9es (ce qui est votre droit).<\/li>\n<\/ol>\n\n\n\n
Attaques d’Ing\u00e9nierie Sociale : Comment Vous Prot\u00e9ger<\/h2>\n\n\n\n
Maintenant que nous avons identifi\u00e9 les diff\u00e9rentes formes d’ing\u00e9nierie sociale et leurs caract\u00e9ristiques, voyons comment les \u00e9viter !<\/p>\n\n\n\n
Vous trouverez ci-dessous diff\u00e9rentes mesures \u00e0 prendre pour identifier les attaques d’ing\u00e9nierie sociale et vous prot\u00e9ger contre celles qui se produiront \u00e0 l’avenir.<\/p>\n\n\n\n
![\"Suivez](\"https:\/\/blog.mailfence.com\/wp-content\/uploads\/2024\/06\/Social-engineering-prevention-steps-1.jpg\")
Suivez ces 10 \u00e9tapes pour vous prot\u00e9ger des attaques d’ing\u00e9nierie sociale<\/em><\/figcaption><\/figure>\n\n\n\n #1 : Prenez le temps d’\u00e9valuer la situation<\/h3>\n\n\n\n
Prenez le temps de consid\u00e9rer la situation dans son ensemble et d’examiner attentivement le message, m\u00eame s’il est assez inqui\u00e9tant.<\/p>\n\n\n\n
- \n
- Ce message est-il inattendu ?<\/li>\n\n\n\n
- Est-il originaire de l’endroit o\u00f9 il est cens\u00e9 l’\u00eatre ?<\/li>\n\n\n\n
- Assurez-vous que vous interagissez avec des contacts de confiance en confirmant leur identit\u00e9. Dans la mesure du possible, contactez directement l’exp\u00e9diteur pour vous assurer qu’il a bien envoy\u00e9 ce que vous avez re\u00e7u.<\/li>\n\n\n\n
- V\u00e9rifiez \u00e9galement s’il y a des fautes d’orthographe, des bizarreries dans le logo ou d’autres d\u00e9tails r\u00e9v\u00e9lateurs. Cette organisation a-t-elle l’habitude de communiquer de cette mani\u00e8re ?<\/li>\n\n\n\n
- L\u00e0 encore, en cas de doute, prenez votre t\u00e9l\u00e9phone et appelez le num\u00e9ro que vous avez l’habitude d’appeler (et non le num\u00e9ro fourni) pour obtenir plus d’informations. Il s’agit d’une \u00e9tape essentielle pour les transactions financi\u00e8res !<\/li>\n<\/ul>\n\n\n\n
#2 : V\u00e9rifiez l’URL ou le fichier avant de cliquer<\/h3>\n\n\n\n
Ne cliquez jamais, JAMAIS, sur une pi\u00e8ce jointe ou un lien dans un courriel sans avoir v\u00e9rifi\u00e9 \u00e0 deux fois.<\/p>\n\n\n\n
Toute pi\u00e8ce jointe \u00e0 un message peut cacher un virus ou un autre type de logiciel malveillant, tel qu’un ran\u00e7ongiciel<\/a>.<\/strong><\/p>\n\n\n\n
Un lien dans un message peut vous conduire \u00e0 un site web mis en sc\u00e8ne pour voler vos donn\u00e9es ou infecter votre appareil avec des logiciels malveillants<\/a>.<\/strong><\/p>\n\n\n\n
Avant de cliquer dessus, inspectez-les attentivement :<\/p>\n\n\n\n
- \n
- Y a-t-il un message indiquant que le fichier joint contient des macros ? Si c’est le cas, assurez-vous que vous n’activez pas les macros pour visualiser le fichier.<\/li>\n\n\n\n
- Vous attendiez ce fichier ou ce lien ?<\/li>\n\n\n\n
- En cas de doute, n’h\u00e9sitez pas \u00e0 v\u00e9rifier et \u00e0 demander directement \u00e0 l’exp\u00e9diteur s’il s’agit bien de lui (contactez-le par votre moyen de communication habituel).<\/li>\n\n\n\n
- En cas de doute, ne cliquez pas ! Demandez \u00e0 un coll\u00e8gue, \u00e0 un ami ou \u00e0 un membre de votre famille. Vous pouvez \u00e9galement faire appel \u00e0 un expert en informatique si vous ne vous sentez pas \u00e0 l’aise pour \u00e9valuer la situation (en particulier sur votre lieu de travail).<\/li>\n<\/ul>\n\n\n\n
#3 : Faites attention \u00e0 vos \u00ab\u00a0donn\u00e9es\u00a0\u00bb de valeur<\/h3>\n\n\n\n
M\u00eame si vous n’\u00eates pas millionnaire, vos donn\u00e9es sont susceptibles d’\u00e9veiller la convoitise des cybercriminels :<\/p>\n\n\n\n
- \n
- vos donn\u00e9es (qui peuvent \u00eatre vendues sur le dark net) ;<\/li>\n\n\n\n
- l’acc\u00e8s au logiciel dont vous disposez dans l’entreprise pour laquelle vous travaillez ;<\/li>\n\n\n\n
- des comptes d\u00e9taill\u00e9s sur les r\u00e9seaux sociaux, avec de nombreuses photos, et des commentaires r\u00e9v\u00e9lant ce que vous aimez, ce que vous soutenez, etc. Cela signifie qu’il sera facile d’\u00e9tablir votre profil et de d\u00e9terminer la strat\u00e9gie appropri\u00e9e pour vous cibler. Faites donc attention \u00e0 ce que vous partagez sur les m\u00e9dias sociaux.<\/li>\n<\/ul>\n\n\n\n
Prenez le temps d’examiner vos acc\u00e8s, vos communications sur le net et essayez de comprendre le potentiel que vous offrez \u00e0 tout escroc. En \u00e9tant plus conscient de cela, vous pouvez am\u00e9liorer votre capacit\u00e9 \u00e0 d\u00e9tecter les attaques d’ing\u00e9nierie sociale.<\/p>\n\n\n\n
#4 : Am\u00e9liorez votre connaissance des attaques d’ing\u00e9nierie sociale<\/h3>\n\n\n\n
F\u00e9licitations ! En lisant ce guide, vous vous \u00eates d\u00e9j\u00e0 rendu moins vuln\u00e9rable aux attaques d’ing\u00e9nierie sociale.<\/p>\n\n\n\n
L’\u00e9ducation est essentielle pour \u00e9viter les attaques d’ing\u00e9nierie sociale. <\/strong><\/p>\n\n\n\n
En tant qu’individus, nous sommes dans la plupart des cas \u00e0 l’origine d’une attaque potentielle en raison de notre manque de sensibilisation et de connaissances.<\/p>\n\n\n\n
Si vous souhaitez en savoir plus, vous pouvez consulter ce guide sur les 7 plus grandes erreurs \u00e0 \u00e9viter en mati\u00e8re de s\u00e9curit\u00e9 des e-mails<\/a>. Vous pouvez \u00e9galement consulter ce guide sur les conseils pour prot\u00e9ger votre ordinateur<\/a> ou suivre notre cours gratuit de sensibilisation \u00e0 la s\u00e9curit\u00e9 du courrier \u00e9lectronique et \u00e0 la protection de la vie priv\u00e9e<\/a>.<\/p>\n\n\n\n
#5 : Utilisez un logiciel de s\u00e9curit\u00e9 pour \u00e9viter les spams et les courriels d’hame\u00e7onnage<\/h3>\n\n\n\n
Pour prot\u00e9ger votre appareil et vos donn\u00e9es contre les cybermenaces et les tentatives d’intrusion, vous devez utiliser un antivirus<\/span> et effectuer des sauvegardes p\u00e9riodiques<\/a>.<\/p>\n\n\n\n
Mais vous devez \u00e9galement utiliser une solution de messagerie s\u00e9curis\u00e9e<\/a> pour vous assurer que les messages qui arrivent dans votre bo\u00eete de r\u00e9ception ne contiennent pas de logiciels malveillants ou de parties malveillantes, et pour les bloquer si c’est le cas.<\/strong><\/p>\n\n\n\n
Les courriels sont l’une des portes d’entr\u00e9e les plus courantes pour les pirates informatiques. Assurez-vous donc d’avoir activ\u00e9 le MFA<\/a> et habituez-vous \u00e0 envoyer des courriels crypt\u00e9s<\/a> et sign\u00e9s num\u00e9riquement<\/a>.<\/p>\n\n\n\n
#6 : \u00c9viter les points de d\u00e9faillance uniques<\/h3>\n\n\n\n
Un point de d\u00e9faillance unique<\/a> est un terme commun\u00e9ment utilis\u00e9 pour d\u00e9crire le fait d’avoir tous ses \u0153ufs dans le m\u00eame panier. Si ce point est viol\u00e9, toutes vos donn\u00e9es sont compromises. C’est pourquoi vous devez \u00e9viter de connecter tous vos comptes \u00e0 Facebook ou Gmail.<\/p>\n\n\n\n
Plus vos comptes sont imbriqu\u00e9s et d\u00e9pendants les uns des autres, plus vous risquez d’\u00eatre victime d’une faille de s\u00e9curit\u00e9.<\/p>\n\n\n\n
#7 : Identifiants uniques et mots de passe s\u00e9curis\u00e9s<\/h3>\n\n\n\n
En lien avec le point 6, utilisez des identifiants diff\u00e9rents pour chaque service et des mots de passe forts et uniques<\/a>. Pensez \u00e0 utiliser des alias de courrier \u00e9lectronique<\/a> et des gestionnaires de mots de passe<\/a> pour g\u00e9rer vos informations d’identification.<\/p>\n\n\n\n
#8 : Soyez cr\u00e9atif avec les questions de s\u00e9curit\u00e9<\/h3>\n\n\n\n
Ce point peut sembler anodin. Mais les questions de s\u00e9curit\u00e9 suppl\u00e9mentaires (2SV, ou 2-step-verification) que les sites web vous posent constituent une ligne de d\u00e9fense suppl\u00e9mentaire.<\/p>\n\n\n\n
Soyez donc cr\u00e9atif et \u00e9vitez les r\u00e9ponses faciles \u00e0 deviner telles que votre date ou votre lieu de naissance. Un pirate informatique les trouvera en quelques minutes. Ne confondez pas non plus le 2SV avec l’authentification multifactorielle (MFA) ou TFA<\/a>, que nous vous conseillons vivement de mettre en place de toute fa\u00e7on.<\/p>\n\n\n\n
#9 : Utilisez les cartes de cr\u00e9dit \u00e0 bon escient<\/h3>\n\n\n\n
Si vous utilisez une carte de d\u00e9bit et qu’un pirate informatique acc\u00e8de au num\u00e9ro, l’ensemble de votre compte bancaire peut \u00eatre vid\u00e9. Vous pouvez s\u00e9curiser davantage votre carte de cr\u00e9dit en ne stockant pas<\/span> les num\u00e9ros de carte sur des sites web ou en utilisant des num\u00e9ros de carte jetables ou virtuels<\/a> (propos\u00e9s par Citibank, Bank of America et Discover).<\/p>\n\n\n\n
#10 : Contr\u00f4lez fr\u00e9quemment vos comptes<\/h3>\n\n\n\n
- D\u00e9finissez des param\u00e8tres de confidentialit\u00e9 stricts sur vos comptes personnels et professionnels.
- Raccourcisseurs de liens ou liens int\u00e9gr\u00e9s :<\/strong> les liens inclus dans les emails redirigent en fait les utilisateurs vers des sites web suspects, malgr\u00e9 que les URL semblent l\u00e9gitimes.
- Informations personnelles :<\/strong> les attaquants recherchent des informations telles que les noms, les adresses et les num\u00e9ros de s\u00e9curit\u00e9 sociale.
- enfin, l’ing\u00e9nierie sociale invers\u00e9e cr\u00e9e une situation dans laquelle la victime demande de l’aide, ce qui permet \u00e0 l’attaquant de se faire passer pour un assistant et d’extraire des informations sensibles.<\/li>\n<\/ul>\n\n\n\n
- on parle de pi\u00e8ge \u00e0 miel<\/a> (\u00ab\u00a0honey trapping\u00a0\u00bb) lorsque des attaquants cr\u00e9ent de faux profils de m\u00e9dias sociaux pour se lier d’amiti\u00e9 avec des cibles et leur soutirer des informations confidentielles par le biais de relations trompeuses.<\/li>\n<\/ul>\n\n\n\n
- les attaques de point d’eau<\/a> se produisent lorsque des attaquants compromettent un site web fr\u00e9quent\u00e9 par un groupe sp\u00e9cifique d’utilisateurs. Lorsque ces utilisateurs visitent le site, leurs appareils sont infect\u00e9s par des logiciels malveillants.<\/li>\n<\/ul>\n\n\n\n
- les scareware<\/a> visent \u00e0 faire croire aux victimes qu’un virus a infect\u00e9 leur appareil et qu’elles doivent acheter ou t\u00e9l\u00e9charger un logiciel sp\u00e9cifique pour le r\u00e9parer.<\/li>\n<\/ul>\n\n\n\n
- de m\u00eame, les attaques de type \u00ab\u00a0quid pro quo<\/a> \u00a0\u00bb promettent un avantage en \u00e9change d’informations. Cet avantage prend g\u00e9n\u00e9ralement la forme d’un service, alors que l’app\u00e2t prend souvent la forme d’un bien.<\/li>\n<\/ul>\n\n\n\n
- l’app\u00e2t<\/a> est, \u00e0 bien des \u00e9gards, similaire aux attaques par hame\u00e7onnage. Cependant, ce qui les distingue des autres types d’attaques est la promesse d’une r\u00e9compense que les pirates utilisent pour attirer les victimes, tout comme le cheval de Troie.<\/li>\n<\/ul>\n\n\n\n
- le vishing<\/a> (\u00ab\u00a0voice phishing\u00a0\u00bb) qui s’appuie sur des conversations t\u00e9l\u00e9phoniques;
- le smishing,<\/a> une attaque par hame\u00e7onnage qui s’appuie sur les SMS ;
- les escrocs tentent d’obtenir des informations sensibles ou de l’argent ;