Ingénierie sociale (sécurité de l'information)

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
Page d'aide sur l'homonymie Pour les articles homonymes, voir Ingénierie sociale.
Ce modèle est-il pertinent ? Cliquez pour en voir d'autres.
Cet article ne cite pas suffisamment ses sources (janvier 2015).

Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références » (modifier l'article, comment ajouter mes sources ?).

Ce modèle est-il pertinent ? Cliquez pour en voir d'autres.
Des informations de cet article ou section devraient être mieux reliées aux sources mentionnées dans la bibliographie, sources ou liens externes (octobre 2015).

Améliorez sa vérifiabilité en les associant par des références à l'aide d'appels de notes.

L'ingénierie sociale (ou social engineering en anglais) est une forme d'acquisition déloyale d'information et d'escroquerie, utilisée en informatique pour obtenir d'autrui, un bien, un service ou des informations clefs. Cette pratique exploite les failles humaines et sociales de la structure cible, à laquelle est lié le système informatique visé. Utilisant ses connaissances, son charisme, l'imposture ou le culot, l'attaquant abuse de la confiance, de l'ignorance ou de la crédulité des personnes possédant ce qu'il tente d'obtenir.

Concept[modifier | modifier le code]

Dans son ouvrage L'Art de la supercherie, paru en 2002, Kevin Mitnick a théorisé et popularisé cette pratique de manipulation qui utilise principalement les « failles humaines » d'un système d'information comme « effet de levier », pour briser ses barrières de sécurité.

L'ingénierie sociale est aussi appelée processus « d'élicitation » (de l'anglais elicitate : trier, faire sortir de, susciter...), ou plus concrètement en langue française : l'art d'extirper frauduleusement de l'information à l'insu de son interlocuteur en lui « tirant les vers du nez ». Ce terme est souvent utilisé dans le jargon informatique pour désigner un processus d'approche relationnel frauduleux et définit plus globalement les méthodes mises en œuvre par certains crackers (pirate, ou black hat), qui usent « d'élicitation » pour obtenir d'une personne manipulée un accès direct à un système informatique ou plus simplement, pour satisfaire leur curiosité.

De nos jours, un effort de formation et de prévention est fourni aux utilisateurs des systèmes informatisés sécurisés. Les départements chargés de la sécurité des systèmes informatiques forment les différents personnels de l'entreprise aux règles de sécurité de base : la meilleure façon de choisir un mot de passe (long et ne se trouvant pas dans un dictionnaire), ne jamais révéler son mot de passe à quelqu'un, pas même à un interlocuteur se faisant passer pour un employé du département informatique, etc. De nombreuses conférences invitent les spécialistes du renseignement ou de la sécurité du système d'information dans les entreprises, à instruire le personnel au sein des grandes structures de l'État et des grands groupes du CAC 40, et à sensibiliser davantage leurs nombreux utilisateurs à cette forme de menace déloyale. Ces formations visent principalement à prévenir les effectifs internes des entreprises, à ne pas divulguer « accidentellement » ou « involontairement » des informations sensibles, et à leur enjoindre de donner l'alerte en cas de tentative d'intrusion frauduleuse[réf. nécessaire].

Notes et références[modifier | modifier le code]

Annexes[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Bibliographie[modifier | modifier le code]

  • Laurent Jacquet et Christian Harbulot, Lexique du renseignement, de l'information et de l'influence, Sceaux, l'Esprit du livre, , 128 p. (ISBN 978-2-915960-72-3), p. 102-103

Liens externes[modifier | modifier le code]