C’est un email de prévention d’une entreprise américaine à ses employés qui m’a appris que le détournement d’informations stockées sur un support électronique réalisé par ruse / imposture (et non par hacking / piratage informatique) avait un nom : le « Social Engineering » (« Ingénierie Sociale » en français, mais je ne trouve pas la traduction super).

Le Social Engineering, c’est le hacking du malin qui n’a pas besoin d’être expert en informatique. Contre une entreprise, le Social Engineering est utilisé pour accéder à des informations (quelqu’un vous appelle en se faisant passer pour un nouveau récemment arrivé et vous demande un fichier), à des systèmes (quelqu’un vous appelle d’une ligne interne en prétextant être du service bureautique et vous demande votre mot de passe) ou simplement aux locaux (comme le fameux coup de la fausse alerte incendie, quand tout le monde remonte dans les bureaux, les tourniquets sont souvent débrayés ; ou bien le « j’ai oublié mon badge à la maison, vous pouvez m’aider à entrer ? »).

Le succès d’un Social Engineer tient donc à sa capacité à gagner votre confiance, à exploiter votre crédulité, à son culot, etc.

Quelques conseils contre anti-Social Engineering :
– faire confiance mais vérifier avant de donner
– ne donner aucune information personnelle à un inconnu
– ne pas donner suite à des requêtes par téléphone si le correspondant n’est pas identifié & de confiance ; idem par email ou par IM (tchat)
– faire attention à toutes vos conversations verbales avec un inconnu
– en cas  de doute, vérifier avec une personne de confiance avant de donner l’information
– se méfier des « amis inconnus » dans les médias sociaux
– ne pas poster d’informations privées (ou de votre entreprise) sur les médias sociaux
– au bureau ou tout autre environnement où vous êtes très régulièrement, être prudent avec les visages inconnus
– ne pas aider une personne à franchir une entrée sécurisée (entreprise, co-propriété) en utilisant votre propre accès
– ne pas hésiter à interroger un inconnu qui se trouve dans un lieu sécurisé

Ces règles initialement pour le monde de l’entreprise s’appliquent à fortioti à la vie quotidienne, dans une optique de sécurité personnelle. Pour finir, un groupe d’étudiants canadiens ont réalisé quelques vidéos illustratives sur le sujet (en anglais). Je me demande si une université ou une école en France a déjà abordé le sujet… (le cas échéant, n’hésitez pas à me faire signe !).

COMMENTAIRES RESEAUX SOCIAUX

Pour commenter cet article, vous pouvez soit utiliser le module réseaux sociaux ci-dessous (s'il ne s'affiche pas c'est que votre ordinateur bloque l'affichage de facebook sur les sites tiers), ou bien le module traditionnel du blog situé un peu plus bas.

12 Commentaires

  1. stéphane

    C’est par ce biais là qu’un petit français avait piraté le Twitter d’Obama en 2010.
    C’est fou comment habillé en costard et un peu d’applomb on a accès à beaucoup d’infos dans une administration.

  2. Merci pour cet article.
    Dans un reportage sur la DCRI diffusé à envoyé spécial on peut voir 2 policiers faisant de la prévention auprès d’industriels, chefs d’entreprises et étudiants d’une grande école.
    2 axes: le piratage informatique et le recueil d’informations par le biais de la conversation, vol d’ordinateur etc..

    Ca commence à 9,35 min.

    http://www.dailymotion.com/video/xd7pg1_envoye-special-d-c-r-i-dans-le-secr_news

  3. La traduction est valide et utilisée en France. Le problème est que le même terme est utilisée pour désigner une méthode de management des groupes sociaux. Et également en psychologie

  4. Il existe même en France un diplôme d état d ingénierie sociale (DEIS) délivré par le ministère de la santé. Il concerne l expertise d intervention dans les domaines de l action sociale.

    • stéphane

      Pour compléter Aramis: Le DEIS remplace l’ancien DSTS (Diplome Supérieur en Travail Social).

  5. Technique très connu… et très vieille.

    Inventé ou du moins clairement mise en valeur par un grand monsieur: Kevin Mitnick
    http://fr.wikipedia.org/wiki/Kevin_Mitnick

    Pour plus de détails lire le livre
    FR:
    http://www.amazon.fr/Lart-supercherie-r%C3%A9v%C3%A9lations-c%C3%A9l%C3%A8bre-plan%C3%A8te/dp/2744015709

    US:
    http://www.amazon.fr/The-Art-Deception-Controlling-Security/dp/076454280X/ref=sr_1_2?s=english-books&ie=UTF8&qid=1341817552&sr=1-2

    De nombreux outils existent pour utiliser cette faille humaine.
    La PNL (http://fr.wikipedia.org/wiki/Programmation_neuro-linguistique) est surement de loin le meilleur..
    Mais des outils informatiques aussi. Par mesure de précaution je ne citerai pas de nom.

    Il faut savoir que cette technique à ce jour encore très utilisée tant la complexité des SI est accrue.

    Les tests d’intrusions professionnels ont souvent jalon Social Engineering (SE). On pourra citer comme un exemple, une société qui a obtenu l’accès à un système en envoyant une souris modifiée à un employé de la part d’un fournisseur. L’employé très heureux n’a évidement pas pu s’empêcher de la tester sur le SI pro, et a gentiment donné l’accès aux testeurs…

    Des millions de méthode existent car il s’agit avant tout de faille humaine. Qui n’a jamais réussi à se faire donner un recommandé ou un colis pour un voisin ou membre de sa famille… Il s’agit aussi de SE.

    Le plus complexe dans le SE c’est qu’on ne peut pas contrôler les failles humaines, cela marchera donc toujours…

  6. Il y a une belle coquille dans le titre 😉

    Autre chose sans rapport avec l’article : j’aimerais bien voir une série d’articles sur le durcissement psychologique ( sujet à gros potentiel je pense).

    Comment est ce que les militaires entrainent les soldats à devenir mentalement plus résilients, quelles sont les recherches en psychologie appliquée sur le sujet, quels résultats ont déjà été obtenus, qu’est ce qui se fait en self defense et quelles sont les nouvelles pistes qui se dessinent…etc

  7. Luc Astier

    Pour avoir travaillé ces 12 derniers mois dans une entreprise, avec une habilitation Secret Defense, je confirme que si la protection est rigoureuse et draconienne pour l’accès aux salles et documents/supports « classés », il n’en va pas de même pour l’information orale qui filtre un peu trop facilement pour peu qu’on utilise les techniques décrites dans l’article.

    De plus, j’ai été effaré de voir qu’en cas « d’alerte » (incendie, coupure électrique, ou autre), il y a plein de « pare-feu » qui sautent et d’accès qui sont débrayés (l’image des tourniquets, c’est du vécu…)

    J’ai pu également constater des externes (notamment une fois des militaires étrangers) se baladant dans les locaux (certes pas les parties les plus restreintes) sans escorte.

    De même, l’utilisation de clés USB persos est monnaie courante (bien que formellement interdite) et je ne parle même pas d’internet…
    On fait absolument rentrer ce qu’on veut, mon EDC contenant d’ailleurs des armes de 6ème catégorie : jamais aucun problème.
    On pourrait faire rentrer n’importe quoi, et pratiquement n’importe qui (le « il est avec moi » marche à tous les coups).

    Aucun système n’est infaillible et il est indéniable que la sécurité nuit automatiquement à la productivité (du vécu là-aussi). J’ai été en fait surpris de l’archi-rigidité de certaines procédures alors que sur d’autres points il y avait un laxisme énorme. Un sentiment de « 2 poids-2 mesures » qui ne se justifiait pas toujours…
    Pourtant, ces boites s’en tirent pas trop mal au global, finalement…

    Après, ça dépend sur quoi on bosse j’imagine…

  8. Pingback: Cracker un digicode, ou la sécurité très moyenne des digicodes urbains - PROTEGOR® sécurité personnelle, self défense & survie urbaine

Laisser un commentaire