sécurité de l'information et gestion des risques informatiques
 
 Accueil 
 Contact 
  
Domaines sécurité
Les enjeux
de la sécurité
Organiser
la sécurité
La gestion
des risques
La continuité
d'activité
Les méthodes
de sécurité
La méthode
Mehari
Les normes
de sécurité

ISO 17799 et BS7799-2

Les aspects juridiques

La sécurité
des échanges

Les types d'attaques

Nos Prestations
Assistance
et conseil
Formations
à la sécurité

Ingénierie sociale (Social Engineering )

Ingénierie sociale (Social Engineering)

Principe : C'est une méthode qui a pour but d'extirper des informations confidentielles à des personnes. Contrairement aux autres attaques, elle n’est pas technique et s’appuie sur seule force de persuasion Il y a quatre grandes méthodes d’Ingénierie Sociale : par téléphone, lettre, Internet et par contact direct.

  • Par téléphone : C'est la technique la plus facile et la plus rapide. Un bon pirate aura préparé son personnage et son discours et sera sûr de lui. Il pourra utiliser un matériel qui change le timbre de la voix pour imiter celle d'une secrétaire.

  • Par Internet : Le social engineering par Internet est semblable à celui par téléphone. Le pirate se fera facilement passer pour un technicien de support, un responsable informatique ou un ingénieur système, et demandera le mot de passe pour faire une correction ….

  • Par lettre : Le pirate vous fera une lettre très professionnelle avec papier à lettre comportant une marque et logo connu, téléphone, fax, email, boîte postale fictive,….

  • Par contact direct: Le pirate est équipé pour que vous n'y voyez que du feu : costard, cravate, très classe, très propre, attaché-case , agenda rempli, documents divers, carte de visite, badge... Si le pirate prend de tels risques, c'est qu'il est déterminé à obtenir les renseignements souhaités. Il sera donc très persuasif.

spacer

Ingénierie Sociale (suite)

Le pirate vraiment déterminé ne se limitera pas à une seule de ces techniques, mais au contraire, utilisera une combinaison de ces quatre méthodes.

Comment parer à ces méthodes d’Ingénierie Sociale ? Par la formation et sensibilisation régulière et systématique des utilisateurs, particulièrement le personnel non technique et les nouveaux embauchés:

  • ne pas donner de renseignements à quelqu'un que vous ne connaissez pas,
  • demander des renseignements "concrets" (nom de votre interlocuteur, nom et adresse de la société, etc),
  • vérifier l'existence réelle de votre interlocuteur, téléphoner à la société pour savoir si la personne existe, et si elle est au courant qu'elle vous a vu ces dernières heures...

En savoir plus :

Un des pirates les plus connu, Kevin Mitnick, a écrit un livre sur les scénarios réalistes d'usurpation d'identités, de fraude et d'escroquerie, tous basés sur l'art de la persuasion et de la manipulation
L'art de la supercherie - Kevin Mitnick


pix1 pix2 pix3 pix4