Social engineering, du psychologique dans le technologique

12 commentaires

C’est un email de prévention d’une entreprise américaine à ses employés qui m’a appris que le détournement d’informations stockées sur un support électronique réalisé par ruse / imposture (et non par hacking / piratage informatique) avait un nom : le « Social Engineering » (« Ingénierie Sociale » en français, mais je ne trouve pas la traduction super).

Le Social Engineering, c’est le hacking du malin qui n’a pas besoin d’être expert en informatique. Contre une entreprise, le Social Engineering est utilisé pour accéder à des informations (quelqu’un vous appelle en se faisant passer pour un nouveau récemment arrivé et vous demande un fichier), à des systèmes (quelqu’un vous appelle d’une ligne interne en prétextant être du service bureautique et vous demande votre mot de passe) ou simplement aux locaux (comme le fameux coup de la fausse alerte incendie, quand tout le monde remonte dans les bureaux, les tourniquets sont souvent débrayés ; ou bien le « j’ai oublié mon badge à la maison, vous pouvez m’aider à entrer ? »).

Le succès d’un Social Engineer tient donc à sa capacité à gagner votre confiance, à exploiter votre crédulité, à son culot, etc.

Quelques conseils contre anti-Social Engineering :
– faire confiance mais vérifier avant de donner
– ne donner aucune information personnelle à un inconnu
– ne pas donner suite à des requêtes par téléphone si le correspondant n’est pas identifié & de confiance ; idem par email ou par IM (tchat)
– faire attention à toutes vos conversations verbales avec un inconnu
– en cas  de doute, vérifier avec une personne de confiance avant de donner l’information
– se méfier des « amis inconnus » dans les médias sociaux
– ne pas poster d’informations privées (ou de votre entreprise) sur les médias sociaux
– au bureau ou tout autre environnement où vous êtes très régulièrement, être prudent avec les visages inconnus
– ne pas aider une personne à franchir une entrée sécurisée (entreprise, co-propriété) en utilisant votre propre accès
– ne pas hésiter à interroger un inconnu qui se trouve dans un lieu sécurisé

Ces règles initialement pour le monde de l’entreprise s’appliquent à fortioti à la vie quotidienne, dans une optique de sécurité personnelle. Pour finir, un groupe d’étudiants canadiens ont réalisé quelques vidéos illustratives sur le sujet (en anglais). Je me demande si une université ou une école en France a déjà abordé le sujet… (le cas échéant, n’hésitez pas à me faire signe !).

COMMENTAIRES RESEAUX SOCIAUX

Pour commenter cet article, vous pouvez soit utiliser le module réseaux sociaux ci-dessous (s'il ne s'affiche pas c'est que votre ordinateur bloque l'affichage de facebook sur les sites tiers), ou bien le module traditionnel du blog situé un peu plus bas.

12 Comments

  1. stéphane

    7 juillet 2012 at 17:40

    C’est par ce biais là qu’un petit français avait piraté le Twitter d’Obama en 2010.
    C’est fou comment habillé en costard et un peu d’applomb on a accès à beaucoup d’infos dans une administration.

  2. Nicolas

    7 juillet 2012 at 21:25

    Merci pour cet article.
    Dans un reportage sur la DCRI diffusé à envoyé spécial on peut voir 2 policiers faisant de la prévention auprès d’industriels, chefs d’entreprises et étudiants d’une grande école.
    2 axes: le piratage informatique et le recueil d’informations par le biais de la conversation, vol d’ordinateur etc..

    Ca commence à 9,35 min.

    http://www.dailymotion.com/video/xd7pg1_envoye-special-d-c-r-i-dans-le-secr_news

  3. Aramis

    7 juillet 2012 at 23:10

    La traduction est valide et utilisée en France. Le problème est que le même terme est utilisée pour désigner une méthode de management des groupes sociaux. Et également en psychologie

  4. Aramis

    7 juillet 2012 at 23:18

    Il existe même en France un diplôme d état d ingénierie sociale (DEIS) délivré par le ministère de la santé. Il concerne l expertise d intervention dans les domaines de l action sociale.

    • stéphane

      8 juillet 2012 at 7:52

      Pour compléter Aramis: Le DEIS remplace l’ancien DSTS (Diplome Supérieur en Travail Social).

  5. Pingback: Social engineering, du pyschologique dans le technologique | globaldisorders

  6. Alex

    9 juillet 2012 at 9:14

    Technique très connu… et très vieille.

    Inventé ou du moins clairement mise en valeur par un grand monsieur: Kevin Mitnick
    http://fr.wikipedia.org/wiki/Kevin_Mitnick

    Pour plus de détails lire le livre
    FR:
    http://www.amazon.fr/Lart-supercherie-r%C3%A9v%C3%A9lations-c%C3%A9l%C3%A8bre-plan%C3%A8te/dp/2744015709

    US:
    http://www.amazon.fr/The-Art-Deception-Controlling-Security/dp/076454280X/ref=sr_1_2?s=english-books&ie=UTF8&qid=1341817552&sr=1-2

    De nombreux outils existent pour utiliser cette faille humaine.
    La PNL (http://fr.wikipedia.org/wiki/Programmation_neuro-linguistique) est surement de loin le meilleur..
    Mais des outils informatiques aussi. Par mesure de précaution je ne citerai pas de nom.

    Il faut savoir que cette technique à ce jour encore très utilisée tant la complexité des SI est accrue.

    Les tests d’intrusions professionnels ont souvent jalon Social Engineering (SE). On pourra citer comme un exemple, une société qui a obtenu l’accès à un système en envoyant une souris modifiée à un employé de la part d’un fournisseur. L’employé très heureux n’a évidement pas pu s’empêcher de la tester sur le SI pro, et a gentiment donné l’accès aux testeurs…

    Des millions de méthode existent car il s’agit avant tout de faille humaine. Qui n’a jamais réussi à se faire donner un recommandé ou un colis pour un voisin ou membre de sa famille… Il s’agit aussi de SE.

    Le plus complexe dans le SE c’est qu’on ne peut pas contrôler les failles humaines, cela marchera donc toujours…

    • samir CARTIER

      10 juillet 2012 at 13:45

      Merci Alex ! Très intéressant !

  7. visiteur

    14 juillet 2012 at 12:49

    Il y a une belle coquille dans le titre 😉

    Autre chose sans rapport avec l’article : j’aimerais bien voir une série d’articles sur le durcissement psychologique ( sujet à gros potentiel je pense).

    Comment est ce que les militaires entrainent les soldats à devenir mentalement plus résilients, quelles sont les recherches en psychologie appliquée sur le sujet, quels résultats ont déjà été obtenus, qu’est ce qui se fait en self defense et quelles sont les nouvelles pistes qui se dessinent…etc

    • Razgriz

      21 juillet 2012 at 13:02

      Hello !

      Bonne idée, j’espère que Guillaume se penchera plus là dessus (on te fait tous largement confiance admin 🙂 ^^)

      Je te conseille « L’Esprit du combat » de Robert Paturel, ancien du Raid et multiple champion de kickboxing :

      http://www.kwoon.info/forum/viewtopic.php?f=27&t=31489#p489276

      Il y a un chapitre mentale/psychologique, sur la préparation au combat toutes formes que ce soit (de rue ou sportif), et ça vaut le coup (enfin pas que cette partie bien sûr !!!) 🙂

      aussi, ses 2 sites connexe à R.P :

      http://www.robertpaturel.com/
      http://www.legitimeconfiance.fr/

    • Guillaume [admin]

      27 juillet 2012 at 0:08

      Coquille corrigée.

      Sujet « durcissement psycho »… je vais voir si je trouve un expert qui veuille bien en parler, pas gagné.

  8. Luc Astier

    20 juillet 2012 at 15:03

    Pour avoir travaillé ces 12 derniers mois dans une entreprise, avec une habilitation Secret Defense, je confirme que si la protection est rigoureuse et draconienne pour l’accès aux salles et documents/supports « classés », il n’en va pas de même pour l’information orale qui filtre un peu trop facilement pour peu qu’on utilise les techniques décrites dans l’article.

    De plus, j’ai été effaré de voir qu’en cas « d’alerte » (incendie, coupure électrique, ou autre), il y a plein de « pare-feu » qui sautent et d’accès qui sont débrayés (l’image des tourniquets, c’est du vécu…)

    J’ai pu également constater des externes (notamment une fois des militaires étrangers) se baladant dans les locaux (certes pas les parties les plus restreintes) sans escorte.

    De même, l’utilisation de clés USB persos est monnaie courante (bien que formellement interdite) et je ne parle même pas d’internet…
    On fait absolument rentrer ce qu’on veut, mon EDC contenant d’ailleurs des armes de 6ème catégorie : jamais aucun problème.
    On pourrait faire rentrer n’importe quoi, et pratiquement n’importe qui (le « il est avec moi » marche à tous les coups).

    Aucun système n’est infaillible et il est indéniable que la sécurité nuit automatiquement à la productivité (du vécu là-aussi). J’ai été en fait surpris de l’archi-rigidité de certaines procédures alors que sur d’autres points il y avait un laxisme énorme. Un sentiment de « 2 poids-2 mesures » qui ne se justifiait pas toujours…
    Pourtant, ces boites s’en tirent pas trop mal au global, finalement…

    Après, ça dépend sur quoi on bosse j’imagine…

Laisser un commentaire