L'Internet fait enfin partie intégrante de notre quotidien, et ce de bien des façons. Bien que l'Internet nous soit largement familier, nous devons encore apprendre la meilleure façon de naviguer en toute sécurité sur ce vaste territoire numérique. Nous sommes tous confrontés à des difficultés lors que nous essayons d'apprendre à nous protéger, à protéger nos familles et nos lieux de travail et, de plus en plus, l'ensemble de nos informations sensibles de cyberattaques.
Avant de commencer à mettre en pratique la sécurité sur Internet, nous devons en apprendre le langage. La terminologie de la sécurité est sans aucun doute intimidante. Le vocabulaire de la sécurité sur Internet est presque aussi vaste et dense que celui utilisé en médecine et dans le domaine militaire. En fait, de nombreux termes de sécurité sur Internet empruntent à la terminologie médicale ou militaire et requièrent, comme ces terminologies, plus d'une définition unique et il est préférable de les accompagner d'exemples.
La présente publication est la première d'une série par laquelle j'essaierai d'expliquer le sens premier de la sécurité ainsi que ses aspects déconcertants. J'espère que cette publication et celles qui suivront vous aideront à naviguer au cœur de ce labyrinthe que constitue la sécurité sur Internet et vos retours permettront sans l'ombre d'un doute d'alimenter de futures publications.
Qu'est-ce que l'ingénierie sociale ?
L'ingénierie sociale est une tentative visant à influencer ou persuader un individu d'effectuer une action.
Une partie de l'ingénierie sociale sert à des fins utiles ; à titre d'exemple, une société peut diffuser un bulletin d'information en matière de santé contenant des informations visant à vous convaincre de vous faire vacciner contre la grippe. Mais l'ingénierie sociale est couramment utilisée par les criminels afin de faire en sorte que le destinataire d'un e-mail, d'un message ou d'un appel téléphonique partage des informations (telles que le nom d'utilisateur et mot de passe de vos services bancaires en ligne, ou vos données d'identification personnelles telles que votre numéro de sécurité sociale ou passeport) ou effectue une action qui sera bénéfique au criminel et non à l'individu en question.
L'ingénierie sociale criminelle présente bien souvent une composante émotionnelle faisant en sorte que l'individu agisse dans l'urgence ; par exemple, un e-mail qui vous informe que votre carte de crédit a été suspendue en raison d'une activité suspecte, ou un avis vous informant que vous avez gagné un produit ou à la loterie. On parle d'« appât ». Le criminel espère que vous allez effectuer l'action précisée dans le message reçu ; par exemple, ouvrir un lien dans le texte ou l'e-mail, ou appeler un numéro de téléphone. Le lien constitue l'« hameçon » : un lien inséré dans un e-mail ou texte d'hameçonnage vous emmène souvent vers un site frauduleux qui reproduit la page de connexion de votre banque sur laquelle le criminel espère que vous saisirez vos identifiants de compte ou des informations personnelles qu'il pourra utiliser ou éventuellement vendre. Une numéro de téléphone peut être tout aussi dangereux : la personne que vous appelez peut être un individu capable de vous soutirer des informations personnelles.
Les criminels les plus aguerris font des imitations très convaincantes de correspondance légitime et bien intentionnée. Afin de savoir comment mieux vous protéger contre l'ingénierie sociale, consultez des sites tels que stopthinkconnect.org ou apwg.org.