Ingénierie sociale (sécurité de l'information)

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
Page d'aide sur l'homonymie Pour les articles homonymes, voir Ingénierie sociale.
Alerte au social engineering

L'ingénierie sociale (ou social engineering en anglais), dans le contexte de la sécurité de l'information, fait référence à des pratiques de manipulation psychologique à des fins d'escroquerie. Les pratiques de social engineering exploitent les faiblesses psychologiques, sociales et plus largement organisationnelles pour permettre d’obtenir quelque chose de la personne ciblée (un bien, un service, un virement bancaire, un accès physique ou informatique, la divulgation d’informations confidentielles, etc. ). Utilisant ses connaissances, son charisme, l’imposture et le culot, l’attaquant cherche à abuser de la confiance, de l’ignorance et de la crédulité des personnes possédant ce qu’il souhaite obtenir.

Concept[modifier | modifier le code]

Dans son ouvrage L'Art de la supercherie, paru en 2002, Kevin Mitnick a théorisé et popularisé cette pratique de manipulation qui utilise principalement les « failles humaines » d'un système d'information comme « effet de levier », pour briser ses barrières de sécurité.

L'ingénierie sociale est aussi appelée processus « d'élicitation » (de l'anglais elicitate : trier, faire sortir de, susciter...), ou plus concrètement en langue française : l'art d'extirper frauduleusement de l'information à l'insu de son interlocuteur en lui « tirant les vers du nez ». Ce terme est souvent utilisé dans le jargon informatique pour désigner un processus d'approche relationnel frauduleux et définit plus globalement les méthodes mises en œuvre par certains crackers (pirate, ou black hat), qui usent « d'élicitation » pour obtenir d'une personne manipulée un accès direct à un système informatique ou plus simplement, pour satisfaire leur curiosité.

De nos jours, un effort de formation et de prévention est fourni aux utilisateurs des systèmes informatisés sécurisés. Les départements chargés de la sécurité des systèmes informatiques forment les différents personnels de l'entreprise aux règles de sécurité de base : la meilleure façon de choisir un mot de passe (long et ne se trouvant pas dans un dictionnaire), ne jamais révéler son mot de passe à quelqu'un, pas même à un interlocuteur se faisant passer pour un employé du département informatique, etc. De nombreuses conférences invitent les spécialistes du renseignement ou de la sécurité du système d'information dans les entreprises, à instruire le personnel au sein des grandes structures de l'État et des grands groupes du CAC 40, et à sensibiliser davantage leurs nombreux utilisateurs à cette forme de menace. Ces formations visent principalement à prévenir les effectifs internes des entreprises, à ne pas divulguer « accidentellement » ou « involontairement » des informations sensibles, et à leur enjoindre de donner l'alerte en cas de tentative d'intrusion frauduleuse[réf. nécessaire].

Culture de la sécurité de l'information[modifier | modifier le code]

Le comportement des employés peuvent avoir des conséquences importantes sur les questions de sécurités de l’information au sein d’une organisation. La culture de l’entreprise peut aider différentes parties de l’organisation, d’une pour des questions d’efficacités et d’autre part pour lutter contre de mauvaises habitudes de sécurité de l’information[1].

Andersson et Reimers (2014)[2] ont constaté que les employés ne se considéraient pas comme un maillon de la sécurité de l’information au sien de leur structure. Ils ont aussi constaté qu’ils leurs arrive même d’ignorer consciemment certaines règles de sécurité. Dans le texte “Information Security Culture from Analysis to Change”, les auteurs estiment que la culture de la sécurité est un travail sans fin, d’évaluation et changement ou de maintenance de manière cyclique. Selon eux pour contrôler la culture de la sécurité, 5 étapes doivent être suivies : pré-évaluation, planification stratégique, planification opérationnelle, exécution et post-évaluation[3].

  • Pré-évaluation : afin d’identifier et de comprendre la culture actuel de l’entreprise et son fonctionnement actuel
  • Planification stratégique : pour assurer l’efficacité du processus il convient d’identifier clairement les objectifs, le public ciblé et les différents types de personnes
  • Planification opérationnelle : un usage basé sur une communication interne, une culture de la sécurité et des programme d'entraînement, peuvent être des solutions efficaces
  • Exécution en 4 étapes : un engagement de la direction, une communication officiel, une formation pour l’ensemble des acteurs et enfin un engagement des employés.

Techniques et terminologie[modifier | modifier le code]

Toutes les techniques d'ingénierie sociale sont basées sur les biais cognitifs qui permettent à une personnes de prendre une décision. Ces biais peuvent être exploités de manière très différentes afin de créer des moyens d'attaquer, certaines de ces techniques sont présentées ci-dessous. Les attaques peuvent avoir pour objectif de collecter des information confidentielles auprès des salariés ou encore de les inciter à prendre de mauvaises décisions. Les techniques les plus simples se font via un appel téléphonique.

Exemples d'ingénierie sociale: Un individu entre dans un immeuble et placarde une affiche à l’aspect officiel affirmant que le numéro de service de dépannage informatique à changé. Donc quand les salariés de l'entreprise auront besoin d'une assistance technique ils appelleront cet individu, en ayant une entière confiance en lui. Ainsi ce dernier pourra leurs demander login, mot de passe ou d'autres informations confidentielles et personnelles prétextant une intervention à distance par exemple. De cette manière l'individu pourra avoir accès au système d'information de l'entreprise.

Prétexte[modifier | modifier le code]

La technique dite du prétexte, également connue au Royaume-Uni sous le terme de bohoing, est une technique consistant à créer un scénario de toute pièce (le prétexte) afin d’engager une victime ciblée. L’élaboration d’un tel scénario permet d’augmenter les chances que la victime face ce que souhaite l’attaquant.[4] La technique du prétexte se base sur un scénario élaboré en amont de l’attaque. Cela nécessite des recherche préalables de la part de l’attaquant (ex: date de naissance, numéro de sécurité sociale, montant de la dernière facture, etc.) et qui permettent d’emprunter une fausse identité, ce qui viendra légitimer l’attaquant et permettra d’obtenir la confiance de la victime.[5] Cette technique peut être utilisée pour tromper une entreprise et lui faire divulguer des informations sur ses clients ou encore pour obtenir des enregistrements téléphoniques, des registres bancaires, etc.

C’est ensuite un cercle vicieux qui s’enchaine. L’attaquant obtenant de l’information, ces informations lui permettront de toujours mieux se légitimer. Notamment lorsqu’il cherche à atteindre de nouvelles cibles plus élevées dans la hiérarchie et donc plus soupçonneuses, tel qu’un comptable ou un gestionnaire qui peuvent être ciblées pour obtenir des changements de comptes, des soldes spécifiques, des virements bancaires, etc.

La technique du prétexte ne cherche pas nécessairement à se faire passer pour une personne interne à l’entreprise mais également pour prendre l’identité des services de police, d’une banque, des autorités fiscales, des enquêteurs d’assurance, etc. Le prétexte doit simplement permettre à l’attaquant d’anticiper et de préparer des réponses aux questions qui pourraient lui être posées par la victime. Dans certains cas, cela peut aller jusqu’à travailler la diction, le son de sa voix voire le vocabulaire utilisé, toujours dans l’objectif de se crédibiliser au maximum auprès de la victime. 

Fraude aux faux ordres de virement (FOVI)[modifier | modifier le code]

La fraude aux faux ordres de virement ou fraude au président est une technique particulière de prétexte. Elle consiste pour le fraudeur à se faire passer pour le dirigeant de la société, exclusivement dans le but d’obtenir un virement bancaire. La FAVI permet à l’escroc d’être en position dominante vis-à-vis de la victime car celle-ci est dans une situation de subordination hiérarchique. L’escroc peut ainsi plus facilement prétexter l’urgence et la confidentialité, voire recourir à de l’intimidation (exemple: c’est un ordre! J’exige que vous fassiez le virement sinon… ) ou à l’inverse à de la valorisation (exemple: Je vous fais confiance).

Hameçonnage[modifier | modifier le code]

Exemple de phishing contenant un lien vers un site frauduleux

Le hameçonnage ou phishing en anglais est une technique frauduleuse qui vise à obtenir des informations privées. L’escroc prend contact par courrier électronique en faisant croire à sa victime qu’il s’agit d’un organisme de confiance - banque, fournisseur d’électricité, police, etc. - et lui demande la confirmation d’une information (mot de passe, numéro de carte de crédit, code d’accès, identifiant,  etc.)  sous peine sinon de lourdes conséquences. Le mail contient alors un lien renvoyant vers un site internet paraissant tout à fait officiel aux yeux de la victime. C’est pourtant une copie faite par l’escroc qui permettra dès lors que la victime aura renseigné les informations demandées de les récupérer pour pouvoir les réutiliser et également avoir accès aux données personnelles de la victime.

Cette technique peut également être faite par le biais de SMS et porte le nom de SMiShing.

Notes et références[modifier | modifier le code]

  1. (en) « Social engineering (security) », Wikipedia,‎ (lire en ligne)
  2. (en) « Social engineering (security) », Wikipedia,‎ (lire en ligne)
  3. (en) « Social engineering (security) », Wikipedia,‎ (lire en ligne)
  4. (en) « Social engineering (security) », Wikipedia,‎ (lire en ligne)
  5. (en) « Social engineering (security) », Wikipedia,‎ (lire en ligne)

Annexes[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Bibliographie[modifier | modifier le code]

  • Laurent Jacquet et Christian Harbulot, Lexique du renseignement, de l'information et de l'influence, Sceaux, l'Esprit du livre, , 128 p. (ISBN 978-2-915960-72-3), p. 102-103

Liens externes[modifier | modifier le code]