Proton

L’ingénierie sociale est une tactique de piratage courante impliquant une manipulation psychologique utilisée dans les attaques de cybersécurité pour accéder à des informations confidentielles ou les voler.

Ces informations sont ensuite utilisées pour commettre des fraudes, obtenir un accès non autorisé aux systèmes ou, dans certains cas, voler votre identité. Le coût de la cybercriminalité en France a explosé, étant évalué à plus de 100 milliards d’euros(nouvelle fenêtre). Parallèlement, l’édition 2024 du baromètre du CESIN(nouvelle fenêtre) indique que près d’une entreprise française sur deux a été victime d’une cyberattaque avec un impact significatif l’an dernier et que le phishing reste le principal mode d’attaque.

En comprenant les mécanismes des astuces d’ingénierie sociale courantes et en mettant en place de solides défenses de cybersécurité, vous pouvez mieux sécuriser vos informations les plus sensibles et précieuses.

Cet article explore les différents types d’attaques d’ingénierie sociale et propose des moyens de vous protéger, vous et votre entreprise, contre ces pratiques trompeuses.

Fonctionnement de l’ingénierie sociale

Plutôt que de cibler un code vulnérable, l’ingénierie sociale exploite les faiblesses de la psychologie humaine pour accéder à des bâtiments, des systèmes ou des données. Le plus souvent, l’ingénierie sociale exploite notre tendance humaine naturelle à faire confiance.

Les cybercriminels deviennent de plus en plus doués pour se déguiser en acteurs bienveillants, utilisant un langage persuasif pour inciter les victimes à divulguer des informations qu’elles souhaitent garder privées et sécurisées.

Par exemple, un attaquant pourrait vous envoyer un e-mail qui semble provenir d’une entreprise ou d’un service connu, vous demandant de confirmer vos identifiants de connexion ou des informations personnelles. Ce type de communication peut créer un sentiment d’urgence ou de peur et vous faire croire qu’il y a un problème avec votre compte nécessitant une attention immédiate. Beaucoup pensent répondre à quelqu’un qui a leurs meilleurs intérêts à cœur et fournissent les informations, comme des identifiants de connexion ou un code à usage unique, pour ensuite voir ces informations utilisées contre eux.

Les attaques d’ingénierie sociale ne se limitent pas aux e-mails, bien que ce soit le vecteur le plus courant. Elles peuvent également se produire par téléphone, sur les réseaux sociaux ou en personne.

Existe-t-il différents types d’attaques d’ingénierie sociale ?

Les cybercriminels disposent d’une vaste boîte à outils de techniques d’ingénierie sociale.

Phishing

Le phishing (hameçonnage) consiste à envoyer des e-mails ou des messages qui semblent légitimes dans le seul but de soutirer des données sensibles, comme des mots de passe ou des informations de carte bancaire. Ces e-mails et messages peuvent sembler incroyablement réels, vous trompant en vous faisant croire qu’ils proviennent d’un expéditeur de confiance.

Facturation fictive

Les attaquants utilisent souvent un domaine légitime, tel que PayPal, pour envoyer de fausses factures prétendant que vous devez un solde et incluant un bouton pour payer.

Baiting

Cette tactique d’« appâtage » aguiche avec des offres alléchantes, telles que des logiciels gratuits, pour attirer les victimes dans des pièges qui peuvent les amener à installer involontairement un rançongiciel. La promesse d’un téléchargement gratuit de film, par exemple, pourrait vous tromper en téléchargeant un fichier qui compromet votre ordinateur.

Compromission de la messagerie professionnelle (BEC)

Dans ce scénario, un attaquant peut tromper des cadres supérieurs pour qu’ils transfèrent des fonds ou révèlent des informations sensibles.(nouvelle fenêtre) Souvent sous forme d’e-mails, ces attaques semblent légitimes avec des demandes urgentes ou des liens malveillants, les rendant plus difficiles à détecter.

Scareware

Il s’agit d’envoyer de fausses alertes et menaces fictives pour contraindre les victimes potentielles à télécharger ou installer un logiciel nuisible. Ces menaces peuvent par exemple prétendre que votre système est infecté par un virus qui nécessite un logiciel de sécurité spécial, qui est en réalité malveillant.

Dumpster diving

Cette tactique, bien que plus élaborée et complexe, est une autre méthode courante d’ingénierie sociale qui consiste à fouiller dans vos poubelles pour trouver des factures, relevés bancaires, cartes de crédit pré-approuvées ou d’autres documents contenant des informations sensibles pouvant être utilisés pour des activités frauduleuses.

Tailgating

Aussi appelé « talonnage » ou « piggybacking », cette tactique physique consiste pour les attaquants à entrer dans des zones sécurisées en suivant de près le personnel autorisé. (nouvelle fenêtre) Le tailgating exploite l’instinct humain commun de tenir les portes ouvertes pour autrui, surtout dans les zones fréquentées.

Arnaques financières

Vous avez probablement entendu parler de l’arnaque de la fraude 419(nouvelle fenêtre) (aussi appelée « scam 419 » ou « arnaque nigériane »), dans laquelle un attaquant vous demande de l’aider à transférer une grosse somme d’argent depuis l’étranger en échange d’une part de cette somme. Bien sûr, vous devez d’abord fournir vos coordonnées bancaires ou payer des « frais de traitement » pour l’obtenir.

Quid pro quo

Ici, les attaquants offrent des services ou des avantages en échange d’informations. Un pirate informatique, par exemple, pourrait proposer de résoudre un problème informatique qui vous oblige à télécharger un outil d’accès à distance qui donne finalement le contrôle de votre ordinateur à l’attaquant.

Comment pouvez-vous vous protéger des attaques d’ingénierie sociale ?

Il existe plusieurs stratégies que vous pouvez utiliser pour limiter ou prévenir le risque d’attaques d’ingénierie sociale :

Faites preuve de prudence avec les pièces jointes des e-mails

Méfiez-vous de l’ouverture de pièces jointes ou du clic sur des liens dans des e-mails provenant de sources inconnues, car ils peuvent contenir des logiciels malveillants ou renvoyer vers des sites de phishing (hameçonnage).

Méfiez-vous des offres trop belles pour être vraies

Si une offre semble trop généreuse sans piège apparent, il est probable qu’il s’agisse d’une tactique d’appâtage conçue pour exploiter.

Limitez le partage d’informations personnelles en ligne

Moins vous partagez d’informations en ligne, plus il sera difficile pour les attaquants de vous cibler avec des arnaques personnalisées.

Mettez régulièrement à jour vos logiciels

Garder vos applications et votre système d’exploitation à jour vous assure d’avoir la dernière protection contre les nouvelles menaces.

Sauvegardez vos données

Des sauvegardes régulières peuvent vous aider à vous remettre rapidement d’une attaque sans perte significative d’informations.

Éliminez correctement les documents sensibles

Déchiqueter ou détruire les documents contenant des informations personnelles ou sensibles peut empêcher qu’ils soient découverts et utilisés de manière malveillante.

Évitez les périphériques USB inconnus et désactivez les fonctionnalités d’exécution automatique des appareils

Brancher des périphériques USB inconnus peut introduire des logiciels malveillants dans votre système. Désactiver l’exécution automatique empêche l’installation automatique de ransomwares potentiels.

Utilisez l’authentification multifacteur (MFA)

Ajouter un niveau de sécurité supplémentaire, au-delà des seuls mots de passe, peut considérablement renforcer vos défenses contre les accès non autorisés.

Utilisez des mots de passe forts et l’A2F

Utilisez des mots de passe forts et uniques pour tous vos comptes en ligne. Proton recommande d’utiliser un gestionnaire de mots de passe open source pour vous aider à créer et mémoriser des mots de passe forts. De plus, activer l’authentification à deux facteurs (A2F) ajoute un niveau de défense supplémentaire. Si jamais vos noms d’utilisateur ou mots de passe sont compromis, les escrocs ne pourront pas accéder à vos comptes.

Protégez-vous avec Proton

Face aux menaces d’ingénierie sociale, Proton propose une suite complète de produits et fonctionnalités conçus pour protéger votre vie numérique.

Proton Mail

Proton Mail est conçu pour reconnaître et isoler les e-mails de phishing (hameçonnage), réduisant considérablement le risque que des messages d’escroquerie atteignent votre boite mail. Avec le chiffrement de bout en bout au cœur de nos services, nous avons conçu Proton Mail avec plusieurs niveaux de défenses en cybersécurité :

Notre chiffrement s’étend aux messages transférés, au partage de fichiers et à tous les événements organisés dans Proton Calendar, vous permettant de maintenir le flux de travail et d’organiser des réunions sans compromettre la sécurité.

Proton VPN

Proton VPN(nouvelle fenêtre) masque également vos activités en ligne et votre localisation des éventuels espions, rendant difficile pour les attaquants de recueillir des informations sur vous qui pourraient être utilisées dans des attaques d’ingénierie sociale. Pour les entreprises, un compte Proton VPN for Business(nouvelle fenêtre) donne accès à un vaste réseau de serveurs couvrant plus de 85 pays sur six continents, garantissant que vous et vos employés aurez toujours accès à un serveur VPN rapide et sécurisé, peu importe où se trouvent vos opérations ou vos employés.

Proton Drive

Proton Drive protège vos fichiers contre les accès non autorisés. Tous vos fichiers, noms de fichiers et noms de dossiers sont entièrement chiffrés au repos et en transit vers votre cloud sécurisé. Avec un abonnement Proton for Business, chaque utilisateur de votre organisation bénéficie de 500 Go de stockage, offrant l’espace et la sécurité dont votre entreprise a besoin pour opérer sans souci de menaces en cybersécurité.

Proton Pass

Proton Pass facilite le partage sécurisé des identifiants et, si vous êtes un chef d’entreprise, permet de contrôler qui a accès aux identifiants sensibles. Les administrateurs obtiennent un accès supplémentaire aux outils pour garantir que leurs équipes adoptent les meilleures pratiques en matière de cybersécurité, y compris l’authentification à deux facteurs. Un compte Proton Pass for Business vous donne accès à 50 coffres-forts, des alias illimités et notre programme de haute sécurité Proton Sentinel, qui est efficace tant pour Proton Mail que pour Proton Pass et a bloqué des milliers d’attaques de piratage de compte depuis son lancement en août 2023.

Passer à Proton est un jeu d’enfant

Proton Mail propose également une fonctionnalité simple d’utilisation appelée Easy Switch qui vous permet de passer très facilement à votre nouvelle boite mail Proton Mail, de sauvegarder vos données et d’importer des messages, des contacts et des agendas d’autres services de messagerie, tels que Gmail. Il est également facile de transférer vos données vers Proton Drive et Proton Pass.

Lorsque vous créez un compte Proton Mail, vous protégez vos données les plus précieuses contre les attaques d’ingénierie sociale et vous contribuez à créer un meilleur internet où la vie privée est la norme.

Articles similaires

The cover image for a Proton blog, showing a phone screen with a lock logo and three password fields surrounding the phone
en
Here's what to look for when choosing an enterprise password manager to streamline collaboration and protect your organization's sensitive data.
en
  • Guides vie privée
Learn how to unsend an email, how it’s useful for personal or business emails, and how Proton Mail can help.
Proton Mail and Proton Calendar winter product roadmap
en
  • Nouveautés produits
  • Proton Calendar
  • Proton Mail
Preview upcoming updates to Proton Mail and Proton Calendar, including performance boosts, new features, and enhanced privacy tools.
Gantt chart displaying Proton Drive plans and development of new features
en
Discover the tools, features, and improvements coming to Proton Drive’s secure cloud storage and document editor this winter and spring.
laptop showing Bitcoin price climbing
en
  • Guides vie privée
Learn what a Bitcoin wallet does and the strengths and weaknesses of custodial, self-custodial, hardware, and paper wallets.
pixel tracking: here's how to tell which emails track your activity
en
Discover what pixel tracking is and how it works, how to spot emails that track you, and how to block these hidden trackers.