Internet espionnage social

Le Mois européen de la Cybersécurité qui se déroule chaque année en octobre est une initiative visant à sensibiliser les particuliers et les entreprises sur les enjeux de la sécurité numérique. Pour cette année 2023, la fraude par ingénierie sociale constitue le thème principal. Gros plan sur cette forme de menace de plus en plus courante.

Créé en 2012, le Mois européen de la Cybersécurité (European Cybersecurity Month) a pour objectif de promouvoir les sujets relatifs à la cybersécurité pour sensibiliser le public et lui permettre de mieux comprendre les cybermenaces et les appréhender. Rebaptisé Cybermoi/s en France, l’événement vise cette année à informer notamment les internautes sur ce qu'est la fraude par ingénierie sociale. Cette technique reste de loin la malveillance la plus répandue, avec 7 Français sur 10 déjà exposés à cette pratique. Pas toujours bien comprise, elle est utilisée par les cybercriminels pour manipuler les victimes afin de leur soutirer des informations confidentielles ou accéder à des systèmes informatiques protégés.

Selon une étude d’Opinon Way menée pour le site Cybermalveillance.gouv.fr à l’occasion du Cybermoi/s, l’hameçonnage est de loin la malveillance la plus répandue. Pas moins de 7 Français sur 10 ont déjà été confrontés à cette forme d’ingénierie sociale qui représente 40 % des demandes d’assistance sur la plateforme Cybermalveillance.gouv.fr. Cette pratique constitue l’une des principales menaces pour commettre d’autres formes de cyberattaques telles que le piratage de compte, l’usurpation d’identité, le cyberharcèlement, la fraude bancaire, le faux support technique, les ransomwares, etc.

Qu’est-ce qu’une fraude par ingénierie sociale ?

La fraude par ingénierie sociale touche toutes les catégories de personnes. Pour cette technique, les cybercriminels utilisent la manipulation psychologique pour tromper leurs victimes et les amener à divulguer des informations confidentielles, des données sensibles ou un accès non autorisé à des systèmes informatiques. Concrètement, ils jouent sur les émotions (confiance, curiosité, compassion, peur…) pour tromper et gagner la confiance de leurs cibles dans le but de les amener à faire ensuite ce qu’ils souhaitent. Les attaques par ingénierie sociale sont de plus en plus courantes, car elles sont relativement faciles à mettre en œuvre et peuvent se révéler d’une efficacité redoutable.

Quelles sont les méthodes d’ingénierie sociale ?

Les cybercriminels utilisent différentes méthodes pour commettre des attaques par ingénierie sociale. L’hameçonnage (ou phishing) est l’une des principales méthodes utilisées pour soutirer des informations confidentielles, mais celle-ci peut prendre plusieurs formes. Outre les classiques emails et SMS frauduleux, les attaquants n’hésitent pas utiliser le spoofing, c'est-à-dire à passer des appels téléphoniques pour se faire passer pour un technicien ou un représentant d’une entreprise ou d’un organisme gouvernemental.

Sans oublier les réseaux sociaux qui sont devenus une source d’informations inépuisable pour les cybercriminels. Ils consultent les réseaux sociaux pour collecter des données personnelles qu'ils peuvent ensuite exploiter pour cibler et approcher leurs victimes de manière plus efficace. On parle également d’ingénierie sociale inversée lorsque les escrocs utilisent des informations sur une victime pour se créer un faux profil dans le but de gagner ensuite sa confiance et obtenir des informations sensibles.

Phishing : une arnaque très répandue

Les attaques par ingénierie sociale les plus courantes

Ce n’est pas un hasard si la fraude à l’ingénierie sociale est la thématique principale du Mois européen de la Cybersécurité 2023. En plein essor, cette méthode est à l’origine de près de la moitié des cyberattaques (toutes confondues) contre les particuliers et les entreprises. Voici quelques exemples des méthodes les plus couramment utilisées :

  • Phishing : les attaquants envoient un email ou un SMS frauduleux semblant provenir d’une source connue et légitime (opérateur, banque, marchand en ligne…) pour obtenir des informations personnelles comme un numéro de carte bancaire, des identifiants, etc. Attention, car grâce aux services d’intelligence artificielle comme ChatGPT ou Bard, les phishings de dernière génération sont de mieux en mieux écrits et deviennent plus difficiles à détecter.
  • Spoofing : il s’agit d’une forme d'ingénierie sociale que les escrocs utilisent pour se faire passer pour quelqu’un d’autre afin de tromper leur victime. Pour cela ils usurpent une adresse email ou un numéro de téléphone pour les inciter à croire qu'elles communiquent avec un représentant légitime d'une entreprise ou d'une organisation gouvernementale, par exemple.
  • Ingénierie sociale sur les réseaux sociaux : cette méthode très répandue consiste à utiliser les informations personnelles disponibles sur les réseaux sociaux pour pouvoir ensuite mieux tromper les victimes.
  • Prétexte : les escrocs usurpent une identité pour se faire passer pour quelqu'un d'autre et utilisent un prétexte crédible pour inciter leurs victimes à partager des informations confidentielles. Ils peuvent par exemple se faire passer pour un technicien informatique d’un opérateur et demander de confirmer des identifiants ou des informations bancaires pour pouvoir mener à bien des opérations de maintenance.
  • Spear phishing : cette technique est une variante du phishing qui repose sur des tactiques d'ingénierie sociale et de phishing ciblé. Contrairement au phishing traditionnel qui cible de nombreux utilisateurs simultanément, le spear phishing est plus précis et vise des individus ou des organisations sélectionnés au préalable. Les escrocs exploitent des informations concrètes relatives à leurs cibles pour élaborer des messages et/ou des faux sites Internet beaucoup plus crédibles. Ils établissent le contact en se faisant passer par exemple pour un collègue ou un ami Facebook afin d’obtenir des informations de connexion, ou toutes autres données sensibles.

Comment repérer une attaque par ingénierie sociale ?

Détecter une attaque et éviter de tomber dans le piège d'une fraude par ingénierie sociale n’est pas chose facile, car les cybercriminels peuvent utiliser des techniques de plus en plus sophistiquées. Pour minimiser les risques, il est avant tout indispensable d’être bien informé sur le sujet et connaître les risques inhérents à l’hameçonnage, aux emails/SMS/appels frauduleux, aux fausses URL, aux pièces jointes piégées, etc. Il faut toujours rester en alerte et se méfier des tentatives de manipulation émotionnelles, des demandes inhabituelles de renseignements ou d’actions pour fournir par exemple des identifiants, des mots de passe, des numéros de cartes bancaires, etc.

Idem pour les sollicitations de personnes inconnues que cela soit par email, par SMS, sur les réseaux sociaux ou même par téléphone. Il faut toujours vérifier l’adresse de l’expéditeur d'un email ou l'identité d'une personne qui vous appelle ainsi que les URL des liens avant de cliquer dessus. C'est souvent le meilleur moyen de détecter rapidement une fraude par ingénierie sociale. Pour minimiser les risques, il faut partager le moins possible d’informations personnelles sur Internet et sur les réseaux sociaux. Il est bien entendu indispensable d’utiliser des outils de sécurité tels qu’une suite de sécurité antivirus avec des modules de détection des cybermenaces, un anti-phishing, ou encore un pare-feu avancé pour pouvoir bloquer les menaces potentielles.

Norton 360 Advanced : des outils pour mieux protéger vos informations personnelles

La suite de sécurité Norton 360 Advanced dispose d’un large éventail de modules de protection. Outre un moteur de détection des malwares parmi les plus efficaces du marché, elle dispose d’un anti-phishing, d’un pare-feu avancé, d’un VPN illimité, d’une protection de l’identité ou encore d’un gestionnaire de mots de passe. Norton 360 Advanced embarque également des outils baptisés Social Media Monitoring et Dark Web Monitoring avec une aide à la restauration de l’identité en cas d’usurpation. Cette suite assure ainsi une sécurité globale indispensable contre tous les types de malwares et de cybermenaces qui exploitent des moyens techniques pour infecter les terminaux. En cas de problème, le support technique français de Norton est en outre capable de fournir de l’aide et des conseils aux utilisateurs.

Aucun antivirus ne peut toutefois bloquer l'ingénierie sociale, c'est la raison pour laquelle il est très important de connaître ce type d'attaque et son mode de fonctionnement. Cela permet d'éviter de tomber dans les pièges des attaques d'ingénierie sociale en ligne qui augmentent de manière exponentielle…

Norton 360
  • moodEssai 14 jours
  • devices10 appareils
  • phishingAnti-phishing inclus
  • local_atmAnti-ransomware inclus
  • groupsContrôle parental inclus
9.3 / 10

Disponible sur plusieurs appareils, Norton 360 reste une très bonne solution de sécurité tout en un pour le grand public contre les menaces d'internet. La protection, peut être un peu trop agressive pour éviter les faux positifs, est d’une grande efficacité. L’impact sur les performances de Windows est toujours minimal. Le VPN illimité demeure un atout intéressant, même si d’autres lui ont emboité le pas depuis. Les utilisateurs experts lui préféreront sans doute un ESET ou un Bitdefender, mais Norton 360 demeure actuellement notre solution préférée pour la famille.

Les plus
  • Protection anti virus robuste et légère
  • Grande simplicité d'utilisation
  • VPN inclus et illimité (Standard, Deluxe et Advanced)
  • Espace de stockage cloud offert 200 Go
  • Surveillance du dark web (Deluxe et Advanced)
Les moins
  • Faux positifs en progrès mais toujours présents