Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Ingénierie sociale (hameçonnage et sites trompeurs)
On entend par "ingénierie sociale" tout contenu qui amène les visiteurs à effectuer une action dangereuse, comme révéler des informations confidentielles ou télécharger un logiciel. Si Google détecte que votre site Web présente du contenu d'ingénierie sociale, le navigateur Chrome peut afficher un avertissement "Le site Web que vous allez ouvrir est trompeur" lorsque les internautes y accèdent. Consultez le rapport sur les problèmes de sécurité dans la Search Console pour savoir si nous suspectons certaines pages de votre site de renfermer du contenu d'ingénierie sociale.
Une attaque d'ingénierie sociale se produit lorsqu'un internaute est amené à effectuer une action dangereuse en ligne.
Il existe différents types d'attaques d'ingénierie sociale.
Hameçonnage : le site amène les internautes à révéler leurs informations personnelles (par exemple des mots de passe, des numéros de téléphone ou des numéros de sécurité sociale). Dans ce cas, le contenu se fait passer pour une entité de confiance (ou y ressemble), par exemple un navigateur, un système d'exploitation, une banque ou une administration.
Contenu trompeur : le contenu vous incite à effectuer une action que vous ne feriez que si vous y étiez invité par une entité de confiance (par exemple, communiquer votre mot de passe, appeler un service d'assistance technique ou télécharger un logiciel), ou le contenu inclut une annonce qui prétend à tort que le logiciel de l'appareil est obsolète afin d'inciter les internautes à installer des logiciels indésirables.
Services tiers insuffisamment libellés : un service tiers désigne un prestataire qui gère un site ou un service pour le compte d'une autre entité. Si vous (en tant que tiers) gérez un site pour le compte d'une autre personne (propriétaire) sans que la relation ne soit définie clairement, cette pratique peut être assimilée à de l'ingénierie sociale. Par exemple, si vous (le propriétaire) gérez le site d'un organisme de bienfaisance utilisant un site Web de gestion de dons (tiers) pour collecter des fonds, le site de don doit clairement indiquer qu'il s'agit d'une plate-forme tierce agissant pour le compte de l'organisme de bienfaisance, sinon cela peut être considéré comme de l'ingénierie sociale.
La navigation sécurisée Google protège les internautes en les mettant en garde avant qu'ils ne visitent des pages qui se livrent systématiquement à des pratiques d'ingénierie sociale.
Les pages Web sont considérées comme de l'ingénierie sociale lorsqu'elles :
se font passer pour une entité de confiance (ou y ressemblent), comme votre propre appareil ou navigateur, ou le site Web lui-même ; ou
vous incitent à effectuer une action que vous ne feriez que si vous y étiez invité par une entité de confiance, comme communiquer votre mot de passe, appeler un service d'assistance technique ou télécharger un logiciel.
L'ingénierie sociale dans le contenu intégré
L'ingénierie sociale peut également survenir dans du contenu intégré à des sites Web par ailleurs inoffensifs, généralement dans les annonces. Le contenu d'ingénierie sociale intégré constitue un non-respect des règles relatives à la page hôte.
Le contenu d'ingénierie sociale intégré sera parfois visible aux internautes sur la page hôte, comme indiqué dans les exemples ci-dessous. Dans d'autres cas, le site hôte ne contient pas d'annonces visibles, mais conduit les internautes vers des pages d'ingénierie sociale via des fenêtres pop-up ou pop-under, ou d'autres types de redirections. Dans les deux cas, ce type de contenu d'ingénierie sociale intégré se traduira par un non-respect des règles relatives à la page hôte.
Mais je ne pratique pas l'ingénierie sociale !
Un contenu d'ingénierie sociale peut figurer dans des ressources intégrées à la page, comme des images, des annonces ou d'autres composants tiers. Ce contenu trompeur peut inciter les visiteurs du site à télécharger des logiciels indésirables.
En outre, les pirates informatiques peuvent prendre le contrôle de sites inoffensifs et les utiliser pour héberger ou diffuser du contenu d'ingénierie sociale. Le pirate informatique peut modifier le contenu du site ou ajouter des pages à ce dernier, généralement dans le but d'inciter les internautes à révéler des informations personnelles telles que des numéros de carte de crédit. Pour savoir si votre site héberge ou diffuse du contenu d'ingénierie sociale, consultez le rapport sur les problèmes de sécurité de la Search Console.
Voici quelques exemples de pages qui se livrent à des pratiques d'ingénierie sociale :
Pop-up trompeur qui incite l'utilisateur à installer un logiciel malveillantPop-up trompeur qui prétend aider l'utilisateur à mettre à jour son navigateurFausse page de connexion à Google
Exemples d'annonces trompeuses
Voici quelques exemples de contenus trompeurs au sein d'annonces intégrées. Loin de ressembler à des annonces, le contenu semble faire partie de l'interface de la page.
Pop-up trompeur qui prétend que le logiciel de l'utilisateur n'est pas à jourPop-up trompeur qui prétend venir du développeur FLVAnnonces se faisant passer pour des boutons d'action sur une page
Corriger le problème
Si votre site est signalé comme comportant du contenu d'ingénierie sociale (contenu trompeur), veillez à ce que votre page ne participe pas à l'une des pratiques décrites, puis procédez comme suit :
Consultez le rapport sur les problèmes de sécurité pour voir si votre site est répertorié comme présentant du contenu trompeur (le rapport faisant référence aux termes "ingénierie sociale"). Si le rapport en contient, accédez à certaines URL signalées depuis un ordinateur extérieur au réseau qui diffuse votre site Web. En effet, certains pirates informatiques particulièrement intelligents peuvent désactiver leurs attaques s'ils pensent que le visiteur est le propriétaire du site.
Si le rapport ne cite aucune URL et si vous êtes sûr que votre site ne comporte aucun contenu d'ingénierie sociale (contenu trompeur), demandez un examen depuis le rapport sur les problèmes de sécurité.
Supprimez le contenu trompeur. Assurez-vous qu'aucune page de votre site ne présente de contenu trompeur. Si vous pensez que la fonction de navigation sécurisée a classé une page Web par erreur, veuillez le signaler ici.
Vérifiez les ressources tierces présentes sur votre site. Assurez-vous que les annonces, les images et autres ressources tierces intégrées aux pages de votre site ne sont pas trompeuses.
Sachez que les réseaux publicitaires peuvent effectuer un roulement des annonces sur les pages de votre site. Par conséquent, vous devrez peut-être actualiser une page plusieurs fois avant de pouvoir voir des annonces d'ingénierie sociale.
Certaines annonces peuvent s'afficher différemment sur les appareils mobiles et les ordinateurs de bureau. Vous pouvez utiliser l'outil d'inspection d'URL pour savoir comment votre site s'affiche sur un mobile et sur un ordinateur.
Pour tout service tiers que vous utilisez sur votre site, tel que les services de paiement, suivez les consignes pour les services tiers.
Demandez un examen. Après avoir supprimé tout le contenu d'ingénierie sociale de votre site, vous pouvez demander un examen de sécurité dans le rapport sur les problèmes de sécurité. L'examen peut prendre plusieurs jours.
Consignes pour les services tiers
Si vous intégrez un service tiers sur votre site, nous vous conseillons de remplir les conditions suivantes pour ne pas être catalogué en tant que site pratiquant l'ingénierie sociale :
Sur chaque page, le site tiers doit clairement inclure sa marque de sorte que les utilisateurs comprennent clairement qui gère le site (par exemple, en ajoutant la marque tierce en haut de la page).
Sur chaque page mettant en avant la marque du propriétaire du site, la relation entre ce dernier et le tiers doit être spécifiée explicitement. Fournissez également un lien renvoyant vers davantage d'informations. Par exemple, vous pouvez indiquer ce qui suit :
Ce service est hébergé par Example.com pour le compte de Example.charities.com. En savoir plus
De manière générale, demandez-vous si un utilisateur qui consulte une page de manière isolée est réellement en mesure de comprendre le site sur lequel il se trouve, ainsi que la relation entre le tiers et le propriétaire du site lui-même.
Si vous utilisez la Search Console et que vous rencontrez des problèmes de sécurité permanents ou impossibles à résoudre sur votre site, vous pouvez nous le signaler.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/08/04 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Il n'y a pas l'information dont j'ai besoin","missingTheInformationINeed","thumb-down"],["Trop compliqué/Trop d'étapes","tooComplicatedTooManySteps","thumb-down"],["Obsolète","outOfDate","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Mauvais exemple/Erreur de code","samplesCodeIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/08/04 (UTC)."],[[["\u003cp\u003eSocial engineering attacks trick users into revealing personal information or performing dangerous actions, often by impersonating trusted entities.\u003c/p\u003e\n"],["\u003cp\u003eGoogle Safe Browsing protects users by displaying warnings for websites identified as engaging in social engineering practices.\u003c/p\u003e\n"],["\u003cp\u003eWebsite owners can use Search Console's Security Issues report to identify and resolve social engineering issues on their sites.\u003c/p\u003e\n"],["\u003cp\u003eEmbedding third-party content, like ads, can introduce social engineering risks if the content is deceptive or leads to malicious pages.\u003c/p\u003e\n"],["\u003cp\u003eWebsites using third-party services should clearly disclose the relationship to avoid being mistakenly flagged as social engineering.\u003c/p\u003e\n"]]],["Social engineering tricks users into dangerous actions, like revealing personal data or downloading harmful software. This can occur through phishing, deceptive content, or unclear third-party services. Websites with such content may trigger browser warnings. Site owners should check the Security Issues report in Search Console for violations. Actions include removing deceptive content, ensuring third-party resources are not deceptive, and requesting a security review. Clear labeling of third-party involvement is crucial to avoid being flagged.\n"],null,["# Social Engineering (Phishing and Deceptive Sites) | Google Search Central\n\nSocial engineering (phishing and deceptive sites)\n=================================================\n\nSocial engineering is content that tricks visitors into doing something dangerous, such as\nrevealing confidential information or downloading software. If Google detects that your website\ncontains social engineering content, the Chrome browser may display a \"Deceptive site ahead\"\nwarning when visitors view your site. You can check if any pages on your site are suspected of\ncontaining social engineering attacks by visiting the Security Issues report in Search Console.\n\n[Open\nthe Security Issues Report](https://search.google.com/search-console/security-issues)\n\nWhat is social engineering?\n---------------------------\n\nA *social engineering attack* is when a web user is tricked into doing something\ndangerous online.\n\nThere are different types of social engineering attacks:\n\n- **[Phishing](https://support.google.com/websearch/answer/106318):** The site tricks users into revealing their personal information (for example, passwords, phone numbers, or social security numbers). In this case, the content pretends to act, or looks and feels, like a trusted entity --- for example, a browser, operating system, bank, or government.\n- **Deceptive content:** The content tries to trick you into doing something you'd only do for a trusted entity --- for example, sharing a password, calling tech support, downloading software, or the content contains an ad that falsely claims that device software is out-of-date, prompting users into installing unwanted software.\n- **Insufficiently labeled third-party services:** A *third-party service* is someone that operates a site or service on behalf of another entity. If you (third party) operate a site on behalf of another (first) party without making the relationship clear, that might be flagged as social engineering. For example, if you (first party) run a charity website that uses a donation management website (third party) to handle collections for your site, the donation site must clearly identify that it is a third-party platform acting on behalf of that charity site, or else it could be considered social engineering.\n\n[Google Safe\nBrowsing](https://www.google.com/transparencyreport/safebrowsing) protects web users by warning users before they visit pages that consistently\nengage in social engineering.\n\nWeb pages are considered social engineering when they either:\n\n- Pretend to act, or look and feel, like a trusted entity, like your own device or browser, or the website itself, or\n- Try to trick you into doing something you'd only do for a trusted entity, like sharing a password, or calling a tech support number, or downloading software.\n\n### Social engineering in embedded content\n\nSocial engineering can also show up in content that is embedded in otherwise benign websites,\nusually in ads. Embedded social engineering content is a policy violation for the host page.\n\nSometimes embedded social engineering content will be visible to users on the host page, as\nshown in the [examples](#example). In other cases, the host site does not contain\nany visible ads, but leads users to social engineering pages via pop-ups, pop-unders, or other\ntypes of redirection. In both cases, this type of embedded social engineering content will\nresult in a policy violation for the host page.\n\nBut I don't engage in social engineering!\n-----------------------------------------\n\nDeceptive social engineering content may be included via resources embedded in the page, such\nas images, other third-party components, or ads. Such deceptive content may trick site visitors\ninto downloading [unwanted\nsoftware](https://www.google.com/about/unwanted-software-policy.html).\n\nAdditionally, **hackers** can take control of innocent sites and use them to\nhost or distribute social engineering content. The hacker could change the content of the site\nor add additional pages to the site, often with the intent of tricking visitors into parting\nwith personal information such as credit card numbers. You can find out if your site has been\nidentified as a site that hosts or distributes social engineering content by checking the\nSecurity Issues report in Search Console.\n\nSee our [Help\nfor Hacked Sites](https://web.dev/articles/hacked) if you believe that your site has been hacked.\n\nExamples of social engineering violations\n-----------------------------------------\n\n### Deceptive content examples\n\nHere are some examples of pages that engage in social engineering practices:\n\n\u003cbr /\u003e\n\nDeceptive popup intended to trick the user into installing malware.\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\nDeceptive popup claiming to help the user update their browser\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\nFake Google login page\n\n\u003cbr /\u003e\n\n| Note the deceptive URL. Other phishing sites like this could trick you into giving up other personal information such as credit card information. Phishing sites may look exactly like the real site---so be sure to look at the address bar to check that the URL is correct, and also check to see that the website begins with `https://`.\n\n### Deceptive ad examples\n\nHere are some examples of deceptive content inside embedded ads. These ads appear to be part\nof the page interface rather than ads.\n\n\u003cbr /\u003e\n\nDeceptive popup claiming that the user's software is out of date.\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\nDeceptive popup claiming to come from the FLV developer\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\nAds masquerading as page action buttons.\n\n\u003cbr /\u003e\n\nFixing the problem\n------------------\n\nIf your site is flagged for containing social engineering (deceptive content), ensure that\nyour page doesn't engage in any of the [practices](#examples), and then follow these steps:\n\n1. **Check in Search Console** .\n - [Verify that you own your site in Search Console](https://support.google.com/webmasters/answer/2739618) and that no new, suspicious owners have been added.\n -\n Check the\n [Security Issues report](https://search.google.com/search-console/security-issues)\n to see if your site is listed as containing deceptive content (the\n reporting term for social engineering). If the report contains sample flagged URLs, visit\n some of those URLs listed in the report, but use a computer that's not inside the network\n that is serving your website (clever hackers can disable their attacks if they think the\n visitor is a website owner).\n\n\n If the report doesn't contain sample URLs and you're confident your site doesn't contain\n social engineering (deceptive content),\n [request a security review](https://support.google.com/webmasters/answer/9044101#fix)\n in the Security Issues report.\n2. **Remove deceptive content** . Ensure that none of your site's pages contain deceptive content. If you believe Safe Browsing has classified a web page in error, [report it](https://www.google.com/safebrowsing/report_error/).\n3. **Check the third-party resources included in your site** . Ensure that any ads, images, or other embedded third-party resources on your site's pages are not deceptive.\n - Note that ad networks may rotate the ads shown on your site's pages. Therefore, you might need to refresh a page a few times before you're able to see any social engineering ads appear.\n - Some ads may appear differently on mobile devices and desktop computers. You can use the [URL\n Inspection tool](https://support.google.com/webmasters/answer/9012289) to view your site in both mobile and desktop views.\n - Follow the [third-party service guidelines](#third-party-guidelines) for any third-party services, such as payment services, that you use in your site.\n4. **Request a review** . After you remove all social engineering content from your site, you can [request a security review](https://support.google.com/webmasters/answer/9044101#fix) in the Security Issues report. A review can take several days to complete.\n\n### Third-party service guidelines\n\nIf you include a third-party service in your site, we recommend that you meet the following conditions\nin order to avoid being labeled as social engineering:\n\n- On every page, the third-party site clearly includes the third-party brand in a way that ensures users understand who is operating the site. For example, by including the third-party brand at the top of the page.\n- On every page that contains first-party branding, explicitly state the relationship between the first and third party, and provide a link for more information. For example, a statement like this: *This service is hosted by Example.com on behalf of Example.charities.com. More\n information.*\n\nA good usability guideline is whether a user viewing the page in isolation understands which\nsite they are on, and the relationship between the first and third party at all times.\n| **Best practice:** If you need a third party to perform a basic support service for your site, a best practice is to use an industry standard third party for that service. For example, to manage user authentication on your site, use [OAuth](https://oauth.net/) rather than managing authentication yourself.\n\nIf you're a Search Console user and are having trouble with persistent or unfixable security issues on your site, you can let us know.\n\n[Report a security issue](https://support.google.com/webmasters/contact/report_security_issues)"]]
