Nous connaissons tous le stéréotype du hacker qui tire parti de son expertise technique pour infiltrer des systèmes informatiques protégés et compromettre des données sensibles. Ce type d'acteur malveillant fait constamment la une des médias. Mais ils ne sont pas les seuls à faire les gros titres. Il en va de même pour les « ingénieurs sociaux », des individus qui utilisent les appels téléphoniques et d'autres moyens de communication pour exploiter la psychologie humaine et inciter les utilisateurs à donner accès aux informations sensibles d'une organisation.


au sommaire


    L'ingénierie sociale est définie comme l'art de manipuler un individu ou une organisation dans le but d'en tirer des informations confidentielles. Les informations recherchées peuvent varier mais dans lorsque la cible est un particulier, il s'agit de mots de passe et d'informations bancaires. L'objectif est généralement d'accéder à votre ordinateur pour y installer secrètement un logiciel malveillantlogiciel malveillant qui leur permettra d'en prendre le contrôle.

    Comment fonctionne l'ingénierie sociale ?

    L'ingénierie sociale est devenu populaire  lorsque les criminels se sont rendus compte que le véritable maillon faible d'une infrastructure était l'humain. Il est souvent plus simple d'exploiter la tendance naturelle à la confiance envers une autorité proclamée que de découvrir des failles dans un système. Il est par exemple plus simple de convaincre un utilisateur de vous donner son mot de passe que d'essayer de le pirater (sauf si le mot de passe est faible, auquel cas une attaque par force brute sera plus pertinente). Même un grand nombre de serrures et de verrousverrous sur vos portesportes et fenêtresfenêtres ne vaut rien si vous faites entrer chez vous des personnes inconnues de votre plein gré sans vérifier auparavant qui elles sont.

    Quand faut-il faire confiance à un site web ou un interlocuteur ? Il est important de savoir faire preuve de discernement lorsque vous échangez des informations sur Internet. Il n'y a pas toujours l'entière garantie que la personne en face est ce qu'elle prétend être.

     

    Les attaques d'ingénierie sociale sont nombreuses. Des individus malveillants récupèrent les informations privées de leur victime en employant des techniques de manipulation <em>via </em>des appels téléphoniques ou autres moyens de communication. © Sergey Nivens, Adobe Stock
    Les attaques d'ingénierie sociale sont nombreuses. Des individus malveillants récupèrent les informations privées de leur victime en employant des techniques de manipulation via des appels téléphoniques ou autres moyens de communication. © Sergey Nivens, Adobe Stock

    Prévenir ces attaques : déceler les signes d'alerte

    L'une des meilleures façons de se protéger contre l'ingénierie sociale est de comprendre les signes avant-coureurs et de se tenir à l'écart des attaques. Voici quelques comportements qui devraient vous mettre la puce à l'oreille. Si votre interlocuteur :

    • demande une assistance immédiate ;
    • demande à vérifier vos informations ;
    • agit de façon trop amicale ou enthousiaste ;
    • à l'airair nerveux en cas de contre-questionnement ;
    • insiste sur des détails ;
    • vous attire avec des offres trop belles pour être vraies ;
    • menace de réprimandes si ses demandes sont ignorées.

    Coupez immédiatement la communication et signalez-le au service de cybersécurité de votre entreprise ou aux autorités compétentes si vous êtes un particulier.

    Les bonnes pratiques à adopter 

    Il est possible de prévenir ces attaques sans devenir paranoïaque. Voici quelques moyens qui peuvent vous aider. 

    • Réglez les filtres anti-spam à un niveau élevé. Chaque programme de messagerie possède des filtres anti-spam. Pour le savoir, regardez attentivement vos options de réglage et réglez-les à un niveau trop élevé. Cela vous aidera à vous tenir à l'écart des messages indésirables dans une large mesure.
    • N'utilisez jamais le même mot de passe pour différents comptes. Si l'attaquant met la main sur un compte, il sera en mesure de pirater d'autres comptes également.
    • Utilisez une authentificationauthentification à deux ou plusieurs facteurs. Le seul mot de passe ne suffit plus à sécuriser votre compte. Des couches supplémentaires sont tout simplement cruciales. Il peut s'agir d'une question de sécurité, d'un captcha, d'une empreinte digitaleempreinte digitale ou de codes de confirmation par SMSSMS.
    • En cas de doute, changez immédiatement de mot de passe. Si vous pensez avoir donné votre mot de passe à un spammeur, changez immédiatement tous vos mots de passe.