Vidéo: Ingénierie sociale et neuro-piratage, par Lucien Cerise 2025
L'ingénierie sociale profite du maillon le plus faible des défenses de l'information de toute organisation: les personnes. L'ingénierie sociale est «le piratage de personnes» et consiste à exploiter de manière malveillante la nature confiante des êtres humains pour obtenir des informations pouvant être utilisées à des fins personnelles.
L'ingénierie sociale est l'un des hacks les plus difficiles à perpétrer, car il faut de la bravoure et des compétences pour être reconnu comme digne de confiance par un étranger. C'est aussi de loin la plus difficile à protéger car les personnes qui prennent leurs propres décisions en matière de sécurité sont impliquées.
Dans un scénario d'ingénierie sociale, les personnes mal intentionnées se font passer pour quelqu'un d'autre pour obtenir des informations auxquelles elles n'auraient probablement pas accès autrement. Ils prennent ensuite les informations qu'ils obtiennent auprès de leurs victimes et font des ravages sur les ressources du réseau, volent ou suppriment des fichiers, et même commettent des actes d'espionnage ou d'autres formes de fraude contre l'organisation qu'ils attaquent. L'ingénierie sociale est différente des exploits de la sécurité physique , comme le surf sur l'épaule et la benne à ordures, mais les deux types de piratage sont liés et souvent utilisés en tandem.
Voici quelques exemples d'ingénierie sociale:
-
" Personnel de support ", affirmant avoir besoin d'installer un correctif ou une nouvelle version du logiciel sur l'ordinateur d'un utilisateur, parlez utilisateur à télécharger le logiciel, et obtenir le contrôle à distance du système.
-
" Fournisseurs " indiquant avoir besoin de mettre à jour le progiciel comptable ou le système téléphonique de l'organisation, demander le mot de passe administrateur et obtenir un accès complet.
-
" Employés " avertissant le bureau de sécurité qu'ils ont perdu leur badge d'accès au centre de données, qu'ils reçoivent un jeu de clés de la sécurité et qu'ils accèdent sans autorisation aux ressources physiques et électroniques information.
-
E-mails d'hameçonnage envoyés par qui que ce soit pour collecter des ID utilisateur et des mots de passe de destinataires qui ne se doutent de rien. Ces attaques peuvent être de nature générique ou plus ciblées - ce que l'on appelle des attaques spear-phishing . Les criminels utilisent ensuite ces mots de passe pour installer des logiciels malveillants, accéder au réseau, capturer la propriété intellectuelle, etc.
Parfois, les ingénieurs sociaux agissent comme des gestionnaires ou des cadres confiants et compétents. À d'autres moments, ils pourraient jouer le rôle d'employés extrêmement mal informés ou naïfs. Ils peuvent également se présenter comme des étrangers, tels que les consultants en informatique ou les travailleurs de maintenance. Les ingénieurs sociaux sont excellents pour s'adapter à leur public. Il faut un type particulier de personnalité pour s'en sortir, ressemblant souvent à celui d'un sociopathe.
Une sécurité efficace de l'information - en particulier la sécurité requise pour lutter contre l'ingénierie sociale - commence et finit souvent avec vos utilisateurs. N'oubliez jamais que les communications et les interactions humaines de base ont un effet profond sur le niveau de sécurité de votre organisation à un moment donné.
L'adage candy-security est "Dur, croustillant à l'extérieur; doux, moelleux à l'intérieur. "Le dur, crunchy dehors est la couche de mécanismes - tels que les pare-feux, les systèmes de prévention d'intrusion, et le filtrage de contenu - sur lesquels les organisations comptent généralement pour sécuriser leurs informations. Le doux, moelleux à l'intérieur est le peuple et les processus à l'intérieur de l'organisation. Si les méchants peuvent passer la couche externe épaisse, ils peuvent compromettre la couche interne (principalement) sans défense.
