Ingénierie sociale (sites d'hameçonnage et trompeurs)

L'ingénierie sociale consiste en du contenu qui amène les visiteurs à effectuer une action dangereuse, comme révéler des informations confidentielles ou télécharger un logiciel. Si Google détecte que votre site Web présente du contenu d'ingénierie sociale, le navigateur Chrome peut afficher un avertissement "Le site Web que vous allez ouvrir est trompeur" lorsque les internautes y accèdent. Consultez le rapport sur les problèmes de sécurité pour savoir si nous suspectons certaines pages de votre site de renfermer du contenu d'ingénierie sociale.

Ouvrir le rapport sur les problèmes de sécurité

Présentation générale

Qu'est-ce que l'ingénierie sociale ?

Une attaque d'ingénierie sociale se produit lorsqu'un internaute est amené à effectuer une action dangereuse en ligne.

Il existe différents types d'attaques d'ingénierie sociale. Un site d'hameçonnage peut amener les internautes à révéler leurs informations personnelles (par exemple des mots de passe, des numéros de téléphone ou des informations de carte de paiement). Un contenu trompeur, comme une annonce qui prétend à tort que le logiciel de l'appareil est obsolète, peut inciter les internautes à installer des logiciels indésirables.

On parle d'attaque d'ingénierie sociale lorsque :

  • le contenu se fait passer pour une entité de confiance (ou y ressemble), par exemple un navigateur, un système d'exploitation, une banque ou une administration ;
  • le contenu vous incite à effectuer une action que vous ne feriez que si vous y étiez invité par une entité de confiance, par exemple communiquer votre mot de passe, appeler un service d'assistance technique ou télécharger un logiciel.

La navigation sécurisée de Google protège les internautes contre l'ingénierie sociale en les avertissant avant qu'ils n'accèdent au contenu trompeur. En savoir plus sur l'ingénierie sociale et consulter des exemples

Quelle différence y a-t-il entre ingénierie sociale et hameçonnage ? L'hameçonnage est l'un des types d'attaques d'ingénierie sociale.

Bonne pratique : Si vous devez faire appel à un tiers pour effectuer un service d'assistance de base pour votre site, nous vous conseillons d'opter pour un prestataire reconnu dans ce domaine. Par exemple, pour gérer l'authentification des utilisateurs sur votre site, utilisez OAuth au lieu de vous occuper vous-même de cette tâche.

L'ingénierie sociale dans le contenu intégré

L'ingénierie sociale peut également survenir dans du contenu intégré à des sites Web par ailleurs inoffensifs, généralement dans les annonces. Le contenu d'ingénierie sociale intégré constitue un non-respect des règles relatives à la page hôte.

Le contenu d'ingénierie sociale intégré sera parfois visible aux internautes sur la page hôte, comme indiqué dans les exemples ci-dessous/0}. Dans d'autres cas, le site hôte ne contient pas d'annonces visibles, mais conduit les internautes vers des pages d'ingénierie sociale via des fenêtres pop-up ou pop-under, ou d'autres types de redirections. Dans les deux cas, ce type de contenu d'ingénierie sociale intégré se traduira par un non-respect des règles relatives à la page hôte.

Mais je ne pratique pas l'ingénierie sociale !

Un contenu d'ingénierie sociale peut figurer dans des ressources intégrées à la page, comme des images, des annonces ou d'autres composants tiers. Ce contenu trompeur peut inciter les visiteurs du site à télécharger des logiciels indésirables

La navigation sécurisée de Google protège les internautes du contenu trompeur en les mettant en garde contre les pages des éditeurs qui affichent systématiquement des annonces d'ingénierie sociale. En savoir plus et consulter des exemples

En outre, les pirates informatiques peuvent prendre le contrôle de sites inoffensifs, et les utiliser pour héberger ou diffuser du contenu d'ingénierie sociale. Le pirate informatique peut modifier le contenu du site ou ajouter des pages à ce dernier, généralement dans le but d'inciter les internautes à révéler des informations personnelles telles que des numéros de carte de paiement. Pour savoir si nous avons détecté que votre site héberge ou diffuse du contenu d'ingénierie sociale, consultez le rapport sur les problèmes de sécurité de la Search Console.

Si vous pensez que votre site a été piraté, consultez notre page d'assistance pour les sites piratés.

Exemples de violations d'ingénierie sociale

Services tiers

Un service tiers désigne un prestataire qui gère un site ou un service pour le compte d'une autre entité. Si vous (en tant que tiers) gérez un site pour le compte d'une autre personne (propriétaire) sans que la relation ne soit définie clairement, cette pratique peut être assimilée à de l'ingénierie sociale.

Imaginons un site Web de gestion de dons (tiers) qui gère la collecte de fonds pour un organisme de bienfaisance (propriétaire). Si ce site de don n'indique pas clairement qu'il s'agit d'une plate-forme agissant pour le compte d'un organisme de bienfaisance spécifique, cela peut être considéré comme de l'ingénierie sociale.

Pour ne pas être catalogué en tant que site pratiquant l'ingénierie sociale, vous devez remplir les conditions suivantes :

  • Sur chaque page, le site tiers doit clairement inclure sa marque de sorte que les utilisateurs comprennent clairement qui gère le site (par exemple, en ajoutant la marque tierce en haut de la page).
  • Sur chaque page mettant en avant la marque du propriétaire du site, la relation entre ce dernier et le tiers doit être spécifiée explicitement. Fournissez également un lien renvoyant vers davantage d'informations.  Vous pouvez, par exemple, indiquer :
          Ce service est hébergé par example.com pour le compte de example.bienfaisance.com.  En savoir plus

De manière générale, demandez-vous si un utilisateur qui consulte une page de manière isolée est réellement en mesure de comprendre le site sur lequel il se trouve, ainsi que la relation entre le tiers et le propriétaire du site lui-même.

Exemples de pages Web

Les pages Web sont considérées comme de l'ingénierie sociale lorsqu'elles :

  • se font passer pour une entité de confiance (ou y ressemblent), comme votre propre appareil ou navigateur, ou le site Web lui-même ; ou
  • vous incitent à effectuer une action que vous ne feriez que si vous y étiez invité par une entité de confiance, comme communiquer votre mot de passe, appeler un service d'assistance technique ou télécharger un logiciel.

Voici quelques exemples de pages qui se livrent à des pratiques d'ingénierie sociale :

Social engineering popup that tries to make the user install an unwanted application.
Fenêtre pop-up trompeuse incitant l'utilisateur à installer un logiciel malveillant
Example of social engineering attempt claiming a browser update is required
Fenêtre pop-up prétendant aider l'utilisateur à mettre à jour son navigateur

Exemples de contenu intégré

Voici quelques exemples de contenu trompeur intégré dans des annonces. Loin de ressembler à des annonces, le contenu semble faire partie de l'interface de la page.

Deceptive ad claiming to be a media player update on the page.
Fenêtre pop-up prétendant que le logiciel de l'utilisateur n'est pas à jour
Deceptive ad claiming to be an installer for a required component.
Fenêtre pop-up prétendant venir du développeur FLV
Deceptive ads claiming to be playback controller buttons on the host page.
Annonces se faisant passer pour des boutons d'action sur une page

Corriger le problème

Si votre site est signalé comme comportant du contenu d'ingénierie sociale, veillez à ce que votre page ne participe pas à l'une des pratiques décrites dans les exemples ci-dessus, puis procédez comme suit :

  1. Effectuez des vérifications dans la Search Console
    • Confirmez que vous êtes le propriétaire de votre site dans la Search Console et assurez-vous qu'aucun nouveau propriétaire suspect n'a été ajouté.
    • Consultez le rapport Problèmes de sécurité pour voir si votre site est répertorié comme se livrant à des pratiques d'ingénierie sociale. Consultez certaines URL signalées dans le rapport depuis un ordinateur extérieur au réseau qui diffuse votre site Web. En effet, certains pirates informatiques particulièrement intelligents peuvent désactiver leurs attaques s'ils pensent que le visiteur est le webmaster du site.
  2. Supprimez le contenu trompeur. Assurez-vous qu'aucune page de votre site ne présente de contenu trompeur.
  3. Si vous détectez des comportements d'ingénierie sociale dans du contenu intégré (tel que des publicités), vérifiez qu'aucune des annonces, images ou autres ressources tierces intégrées sur les pages de votre site n'est trompeuse. Sachez que les réseaux publicitaires peuvent effectuer un roulement des annonces sur les pages de votre site. Ainsi, il vous faudra peut-être actualiser une page plusieurs fois avant de voir s'afficher d'éventuelles annonces d'ingénierie sociale. Certaines annonces peuvent s'afficher différemment sur les appareils mobiles et les ordinateurs de bureau. Vous pouvez utiliser l'outil Explorer comme Google pour savoir comment votre site s'affiche sur un mobile et sur un ordinateur.
  4. Vérifiez les ressources tierces présentes sur votre site. Assurez-vous que les annonces, les images et autres ressources tierces intégrées aux pages de votre site ne sont pas trompeuses.
    • Sachez que les réseaux publicitaires peuvent effectuer un roulement des annonces sur les pages de votre site. Ainsi, il vous faudra peut-être actualiser une page plusieurs fois avant de voir s'afficher d'éventuelles annonces d'ingénierie sociale.
    • Certaines annonces peuvent s'afficher différemment sur les appareils mobiles et les ordinateurs de bureau. Vous pouvez utiliser l'outil Explorer comme Google pour savoir comment votre site s'affiche sur un mobile et sur un ordinateur.
  5. Demandez un examen. Après avoir supprimé tout le contenu d'ingénierie sociale de votre site, vous pouvez demander un examen de sécurité dans le rapport sur les problèmes de sécurité. Cela peut prendre deux à trois jours.
Cet article vous a-t-il été utile ?
Comment pouvons-nous l'améliorer ?