Ingénierie sociale (hameçonnage et sites trompeurs)

On entend par "ingénierie sociale" tout contenu qui amène les visiteurs à effectuer une action dangereuse, comme révéler des informations confidentielles ou télécharger un logiciel. Si Google détecte que votre site Web présente du contenu d'ingénierie sociale, le navigateur Chrome peut afficher un avertissement "Le site Web que vous allez ouvrir est trompeur" lorsque les internautes y accèdent. Consultez le rapport sur les problèmes de sécurité dans la Search Console pour savoir si nous suspectons certaines pages de votre site de renfermer du contenu d'ingénierie sociale.

Ouvrir le rapport sur les problèmes de sécurité

Qu'est-ce que l'ingénierie sociale ?

Une attaque d'ingénierie sociale se produit lorsqu'un internaute est amené à effectuer une action dangereuse en ligne.

Il existe différents types d'attaques d'ingénierie sociale.

  • Hameçonnage : le site amène les internautes à révéler leurs informations personnelles (par exemple des mots de passe, des numéros de téléphone ou des numéros de sécurité sociale). Dans ce cas, le contenu se fait passer pour une entité de confiance (ou y ressemble), par exemple un navigateur, un système d'exploitation, une banque ou une administration.
  • Contenu trompeur : le contenu vous incite à effectuer une action que vous ne feriez que si vous y étiez invité par une entité de confiance (par exemple, communiquer votre mot de passe, appeler un service d'assistance technique ou télécharger un logiciel), ou le contenu inclut une annonce qui prétend à tort que le logiciel de l'appareil est obsolète afin d'inciter les internautes à installer des logiciels indésirables.
  • Services tiers insuffisamment libellés : un service tiers désigne un prestataire qui gère un site ou un service pour le compte d'une autre entité. Si vous (en tant que tiers) gérez un site pour le compte d'une autre personne (propriétaire) sans que la relation ne soit définie clairement, cette pratique peut être assimilée à de l'ingénierie sociale. Par exemple, si vous (le propriétaire) gérez le site d'un organisme de bienfaisance utilisant un site Web de gestion de dons (tiers) pour collecter des fonds, le site de don doit clairement indiquer qu'il s'agit d'une plate-forme tierce agissant pour le compte de l'organisme de bienfaisance, sinon cela peut être considéré comme de l'ingénierie sociale.

La navigation sécurisée Google protège les internautes en les mettant en garde avant qu'ils ne visitent des pages qui se livrent systématiquement à des pratiques d'ingénierie sociale.

Les pages Web sont considérées comme de l'ingénierie sociale lorsqu'elles :

  • se font passer pour une entité de confiance (ou y ressemblent), comme votre propre appareil ou navigateur, ou le site Web lui-même ; ou
  • vous incitent à effectuer une action que vous ne feriez que si vous y étiez invité par une entité de confiance, comme communiquer votre mot de passe, appeler un service d'assistance technique ou télécharger un logiciel.

L'ingénierie sociale dans le contenu intégré

L'ingénierie sociale peut également survenir dans du contenu intégré à des sites Web par ailleurs inoffensifs, généralement dans les annonces. Le contenu d'ingénierie sociale intégré constitue un non-respect des règles relatives à la page hôte.

Le contenu d'ingénierie sociale intégré sera parfois visible aux internautes sur la page hôte, comme indiqué dans les exemples ci-dessous. Dans d'autres cas, le site hôte ne contient pas d'annonces visibles, mais conduit les internautes vers des pages d'ingénierie sociale via des fenêtres pop-up ou pop-under, ou d'autres types de redirections. Dans les deux cas, ce type de contenu d'ingénierie sociale intégré se traduira par un non-respect des règles relatives à la page hôte.

Mais je ne pratique pas l'ingénierie sociale !

Un contenu d'ingénierie sociale peut figurer dans des ressources intégrées à la page, comme des images, des annonces ou d'autres composants tiers. Ce contenu trompeur peut inciter les visiteurs du site à télécharger des logiciels indésirables.

En outre, les pirates informatiques peuvent prendre le contrôle de sites inoffensifs et les utiliser pour héberger ou diffuser du contenu d'ingénierie sociale. Le pirate informatique peut modifier le contenu du site ou ajouter des pages à ce dernier, généralement dans le but d'inciter les internautes à révéler des informations personnelles telles que des numéros de carte de crédit. Pour savoir si votre site héberge ou diffuse du contenu d'ingénierie sociale, consultez le rapport sur les problèmes de sécurité de la Search Console.

Si vous pensez que votre site a été piraté, consultez notre page d'assistance pour les sites piratés.

Exemples de violations d'ingénierie sociale

Exemples de contenu trompeur

Voici quelques exemples de pages qui se livrent à des pratiques d'ingénierie sociale :

Pop-up d'ingénierie sociale qui incite l'internaute à installer une application indésirable
Pop-up trompeur qui incite l'utilisateur à installer un logiciel malveillant

Exemple d'attaque d'ingénierie sociale où l'internaute est invité à mettre à jour son navigateur
Pop-up trompeur qui prétend aider l'utilisateur à mettre à jour son navigateur

Fausse page de connexion à Google
Fausse page de connexion à Google

Exemples d'annonces trompeuses

Voici quelques exemples de contenus trompeurs au sein d'annonces intégrées. Loin de ressembler à des annonces, le contenu semble faire partie de l'interface de la page.

Annonce trompeuse affichée sur la page qui prétend fournir une mise à jour du lecteur média
Pop-up trompeur qui prétend que le logiciel de l'utilisateur n'est pas à jour

Annonce trompeuse qui prétend fournir le programme d'installation d'un composant obligatoire
Pop-up trompeur qui prétend venir du développeur FLV

Annonces trompeuses affichées sur la page d'accueil qui prétendent fournir des boutons d'action
Annonces se faisant passer pour des boutons d'action sur une page

Corriger le problème

Si votre site est signalé comme comportant du contenu d'ingénierie sociale (contenu trompeur), veillez à ce que votre page ne participe pas à l'une des pratiques décrites, puis procédez comme suit :

  1. Consultez la Search Console.
    • Confirmez que vous êtes le propriétaire du site dans la Search Console et assurez-vous qu'aucun nouveau propriétaire suspect n'a été ajouté.

    • Consultez le rapport sur les problèmes de sécurité pour voir si votre site est répertorié comme présentant du contenu trompeur (le rapport faisant référence aux termes "ingénierie sociale"). Si le rapport en contient, accédez à certaines URL signalées depuis un ordinateur extérieur au réseau qui diffuse votre site Web. En effet, certains pirates informatiques particulièrement intelligents peuvent désactiver leurs attaques s'ils pensent que le visiteur est le propriétaire du site.

      Si le rapport ne cite aucune URL et si vous êtes sûr que votre site ne comporte aucun contenu d'ingénierie sociale (contenu trompeur), demandez un examen depuis le rapport sur les problèmes de sécurité.

  2. Supprimez le contenu trompeur. Assurez-vous qu'aucune page de votre site ne présente de contenu trompeur. Si vous pensez que la fonction de navigation sécurisée a classé une page Web par erreur, veuillez le signaler ici.
  3. Vérifiez les ressources tierces présentes sur votre site. Assurez-vous que les annonces, les images et autres ressources tierces intégrées aux pages de votre site ne sont pas trompeuses.
    • Sachez que les réseaux publicitaires peuvent effectuer un roulement des annonces sur les pages de votre site. Par conséquent, vous devrez peut-être actualiser une page plusieurs fois avant de pouvoir voir des annonces d'ingénierie sociale.
    • Certaines annonces peuvent s'afficher différemment sur les appareils mobiles et les ordinateurs de bureau. Vous pouvez utiliser l'outil d'inspection d'URL pour savoir comment votre site s'affiche sur un mobile et sur un ordinateur.
    • Pour tout service tiers que vous utilisez sur votre site, tel que les services de paiement, suivez les consignes pour les services tiers.
  4. Demandez un examen. Après avoir supprimé tout le contenu d'ingénierie sociale de votre site, vous pouvez demander un examen de sécurité dans le rapport sur les problèmes de sécurité. L'examen peut prendre plusieurs jours.

Consignes pour les services tiers

Si vous intégrez un service tiers sur votre site, nous vous conseillons de remplir les conditions suivantes pour ne pas être catalogué en tant que site pratiquant l'ingénierie sociale :

  • Sur chaque page, le site tiers doit clairement inclure sa marque de sorte que les utilisateurs comprennent clairement qui gère le site (par exemple, en ajoutant la marque tierce en haut de la page).
  • Sur chaque page mettant en avant la marque du propriétaire du site, la relation entre ce dernier et le tiers doit être spécifiée explicitement. Fournissez également un lien renvoyant vers davantage d'informations. Par exemple, vous pouvez indiquer ce qui suit :

    Ce service est hébergé par Example.com pour le compte de Example.charities.com. En savoir plus

De manière générale, demandez-vous si un utilisateur qui consulte une page de manière isolée est réellement en mesure de comprendre le site sur lequel il se trouve, ainsi que la relation entre le tiers et le propriétaire du site lui-même.

Si vous utilisez la Search Console et que vous rencontrez des problèmes de sécurité permanents ou impossibles à résoudre sur votre site, vous pouvez nous le signaler.

Signaler un problème de sécurité