Aujourd'hui, dans le cadre de notre campagne #nohacked, nous allons aborder
l'ingénierie sociale. Poursuivez les discussions sur
Twitter et
Google+ en utilisant le hashtag #nohacked. (
Partie 1)
Hameçonnage (phishing)
Vous connaissez peut-être l'hameçonnage (phishing), qui est l'une des formes les plus courantes d'ingénierie sociale. Les sites et les e-mails d'hameçonnage imitent des sites légitimes et vous incitent à saisir des informations confidentielles comme votre nom d'utilisateur et votre mot de passe. D'après une
récente étude menée par nos services, certains sites d'hameçonnage parviennent à faire 45 % de victimes ! Une fois que le propriétaire d'un site d'hameçonnage est en possession de vos informations, il les vend ou les utilise pour manipuler vos comptes.
Autres formes d'ingénierie sociale
En tant que propriétaire de site, l'hameçonnage n'est pas la seule forme d'ingénierie sociale dont vous devez vous méfier. Une autre forme d'ingénierie sociale peut venir des logiciels et des outils utilisés sur votre site. Si vous téléchargez ou utilisez un
système de gestion de contenu (CMS), des plug-ins ou des modules complémentaires, assurez-vous qu'ils proviennent de sources fiables, par exemple du site même du développeur. Les logiciels téléchargés sur des sites non fiables risquent de contenir des failles qui permettent aux pirates informatiques d'accéder à votre site.
Par exemple, Wanda, en sa qualité de webmaster, a récemment été embauchée par Brandon’s Pet Palace pour créer un site. Après avoir fait quelques ébauches, Wanda commence à compiler le logiciel dont elle a besoin pour créer le site. Cependant, elle découvre que Photo Frame Beautifier, l'un de ses plug-ins préférés, a été retiré du site officiel de plug-ins du CMS et que le développeur a décidé de ne plus accepter le plug-in. Elle fait une recherche rapide et trouve un site qui propose des archives de vieux plug-ins. Elle télécharge le plug-in et l'utilise pour terminer le site. Deux mois plus tard, Wanda reçoit une notification de la Search Console qui l'informe que le site de son client a été piraté. Elle parvient rapidement à résoudre le problème et à trouver la source de l'infection. Le plug-in Photo Frame Beautifier avait en effet été modifié par un tiers pour permettre à des personnes malintentionnées d'accéder au site. Elle doit alors supprimer le plug-in, régler le problème de contenu piraté, protéger son site contre d'éventuelles attaques futures et remplir une demande de réexamen dans la Search Console. Comme vous pouvez le constater, une brève erreur d'inattention de Wanda a entraîné le piratage du site de son client.
Protégez-vous contre les attaques d'ingénierie sociale
L'ingénierie sociale est efficace, car vous ne constatez pas toujours que vos actions sont dangereuses. Cependant, quelques précautions basiques vous permettront de vous protéger contre l'ingénierie sociale.
- Restez vigilant : chaque fois que vous saisissez des informations confidentielles en ligne ou installez un logiciel de site Web, faites preuve de méfiance. Vérifiez les URL pour vous assurer que vous ne saisissez pas des informations confidentielles sur des sites malveillants. Lorsque vous installez un logiciel de site Web, assurez-vous que le logiciel provient de sources connues et réputées, comme le site du développeur.
- Utilisez l'authentification à deux niveaux : l'authentification à deux niveaux, comme notre validation en deux étapes, ajoute une autre couche de sécurité qui permet de protéger votre compte même si votre mot de passe a été volé. Nous vous recommandons d'utiliser l'authentification à deux niveaux sur tous vos comptes si possible. La semaine prochaine, vous en saurez plus sur les avantages de l'authentification à deux niveaux.
Ressources supplémentaires sur l'ingénierie sociale :
Si vous avez d'autres questions, posez-les sur nos
forums d'aide pour les webmasters. Une communauté de webmasters vous aidera à y répondre.
Publié par Eric Kuan, Webmaster Relations Specialist
Yuan Niu, Webspam Analyst