Le social engineering : de quoi s'agit-il et comment s'en protéger ? Quelles sont les situations qui présentent le plus de risques et quelles mesures pouvez-vous prendre vous-même pour que votre présence en ligne soit aussi sûre que possible ? Nous serons heureux de vous dire quels sont les appels téléphoniques à éviter, les e-mails à supprimer immédiatement et comment créer un mot de passe fort !

Le social engineering : c’est quoi exactement ?

Pour simplifier, le social engineering est le nom collectif d'un certain nombre de techniques par lesquelles les pirates informatiques tentent d'obtenir des informations (sensibles) en utilisant les gens comme maillon faible.

Les gens ? En effet, c'est le cas. Le social engineering exploite une caractéristique humaine typique : la confiance. Les pirates informatiques ne doivent pas nécessairement avoir beaucoup de compétences technologiques. La créativité et une dose de drame suffisent souvent.

Parce que les machines sont fabriquées par des gens, elles ne sont pas infaillibles. Le cerveau humain fera des erreurs tôt ou tard, par exemple en cas de stress.

Les entreprises et les particuliers utilisent les solutions technologiques les plus efficaces pour se protéger contre les attaques, les robots ou les pirates informatiques. Mais sans bon sens, ce n'est pas suffisant.
 

Les scriptkiddies : la nouvelle génération de hackers.

Ces 10 dernières années, la technologie est devenue plus accessible. Cela a créé un nouveau type de hacker : les scriptkiddies. Une nouvelle génération de tech-savvy millennials qui utilisent les technologies (open source) de manière plus logique et plus efficace que les personnes qui les ont construites.

La masse est devenue la norme, l'automatisation est la clé. Les skriptkiddies ne veulent pas effectuer le même hack 100 fois de suite - c'est trop ennuyeux ! Ils construisent donc des robots : ils scriptent des lignes de code (commandes) qui se répètent sans fin en parcourant l'internet à la recherche de vulnérabilités. Malware, ransomware ou cryptlockers : ces scriptkiddies l'écrivent, l'adaptent et le diffusent.
 

Le phishing : la technique la plus utilisée en social engineering.

Phone phishing.

Les pirates qui se font passer pour des employés du service d'assistance de Microsoft sont l'exemple le plus connu de phone phishing. Ils vous appellent et vous disent que votre ordinateur est infecté. La réaction du citoyen moyen ? La panique.

Ils "résolvent le problème pour vous", mais en attendant, ils installent sur votre PC des outils avec lesquels ils obtiennent vos données personnelles, vos informations de connexion et vos coordonnées de carte de crédit.

"Oui, bonjour, ici le support technique de Microsoft ?” Raccrochez !

E-mail phishing.

1 clic. C'est tout ce dont les pirates ont besoin de votre part. Chaque ordinateur ou machine a besoin d'une commande, généralement un clic, pour déclencher une action. Avant même que vous ne vous en rendiez compte, votre appareil, votre système ou votre réseau est infecté par du malware ou du ransomware.

Spear phishing.

Le spear phishing est une forme d’e-mail phishing. Alors que l’e-mail phising cible un large groupe d'utilisateurs, le spear phishing est beaucoup plus ciblé.

Les messages semblent provenir d'un expéditeur de confiance tel qu'un ami, un membre de la famille ou une entreprise avec laquelle vous êtes en contact. Les pirates informatiques recherchent souvent des informations personnelles et les incorporent dans le mail. Il va sans dire que cela augmente leurs chances de succès.

ceo phishing.

Une autre forme d’e-mail phishing. Dans les grandes entreprises, tout le monde ne connaît pas personnellement le CEO. Les pirates informatiques en font bon usage.

Le CEO demande une faveur ou crée une situation confidentielle. Les gens sont flattés que le grand patron leur demande de l'aide, et transmettent des informations confidentielles sans réfléchir.
 

Comment reconnaître des e-mails de phishing ?

En général, vous pouvez reconnaître les e-mails de phishing grâce aux caractéristiques suivantes :

  • Des erreurs d'orthographe
  • La demande d'informations personnelles
  • Pas de coordonnées dans la signature du mail
  • Un expéditeur inconnu
  • Une salutation impersonnelle telle que "Cher client”
  • Un style d'écriture étrange
  • En survolant le lien, on peut voir une autre destination
  • Un nom de domaine erroné comme .com/uk au lieu de .co.uk
     

Les mots de passe : un mal nécessaire ?

Les mots de passe suscitent souvent la frustration. Pourtant, elles sont aujourd'hui les seules moyennes fiables de protéger vos données personnelles. Les empreintes digitales, le balayage de l'iris ou la reconnaissance faciale ne sont pas encore des alternatives à part entière.

Les mots de passe sont souvent insuffisamment forts, ce qui laisse libre cours aux pirates informatiques. Où cela tourne-t-il mal ?

Tout d'abord, nous utilisons un très grand nombre d'outils et d'applications pour lesquels nous préférons choisir le moins de mots de passe différents possibles. De plus, de nombreux utilisateurs définissent des mots de passe très prévisibles, comme les anniversaires ou les noms d'animaux domestiques. Et comme les exigences relatives à un mot de passe sécurisé deviennent plus strictes, les gens écrivent souvent leurs mots de passe quelque part. Tout cela est préjudiciable à une bonne sécurité.

Un outil pratique : Have I Been Pwned. Saisissez votre adresse mail pour vérifier si vous avez été victime de l'une des nombreuses violations liées aux données à caractère personnel. Votre compte a-t-il été compromis ? Changez votre mot de passe !
 

Des conseils pour un mot de passe sécurisé.

  • Trouvez un moyen qui vous convienne :
    • Utilisez des caractères spéciaux ou des smileys
    • Faites des phrases courtes ou des combinaisons avec des dates, des caractères spéciaux et des majuscules
    • Fournissez un lien vers l'application ou la plate-forme pour laquelle vous définissez le mot de passe
  • Utilisez l'authentification à deux facteurs : une couche de sécurité supplémentaire qui demande des informations que seul l'utilisateur connaît (par exemple via un jeton physique) en plus d'un nom d'utilisateur et d'un mot de passe.
     
  • Installez toutes les mises à jour et tous les correctifs de sécurité sur vos appareils.
     
  • Faites attention en utilisant l'Internet of Things. Sachez que vous devez changer le mot de passe par défaut fourni avec les appareils. Ils sont faciles à trouver en ligne.
     

Que nous apportera l'avenir ?

Old crimes new tools, new tools new crimes. Voilà qui résume bien la situation. L'éradication de la cybercriminalité semble pour l'instant une utopie. Ce que nous pouvons faire, cependant, c'est adapter notre comportement en ligne afin de rendre la tâche la plus difficile possible aux pirates informatiques. Pour ce faire, il est essentiel que nous prenions conscience des menaces qui pèsent sur la sécurité et de notre propre vulnérabilité.