VOUS êtes la faille : Le Social Engineering (ou Ingénierie sociale en français)
Qu’est ce que Le Social Engineering (ingénierie sociale)
C’est l’art, la science de manipuler des personnes afin d’obtenir quelque chose d’elles sans qu’elles ne s’en rendent compte. On influence ou abuse de la confiance d’une personne pour obtenir un bien ou une information généralement à propos d’un système informatique (mot de passe, données sensibles). Il s’agit donc de la fameuse faille humaine.
Cette faille constitue une pièce très fragile. Elle peut être utilisée par TOUT le monde sans connaissances spécifiques et elle est la clé de réussite de 90% des piratages. Ces techniques ne sont pas repérées par les antivirus, mais c’est bien l’être humain qui peut s’en défendre, facilement, lorsqu’il en prend conscience et qu’il reste vigilant.
« La clé de réussite de 90% des piratages... »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedInNous sommes d’ailleurs tous déjà des manipulateurs, tout le monde a déjà menti plusieurs fois dans la vie, dans le mois courant, voire le jour même. La manipulation ne demande aucun diplôme ou âge spécifique, tout le monde en est capable, et cela rend l’attaque très répandue et vicieuse. Le pirate (ou manipulateur) va notamment jouer sur la psychologie, le ressenti des cibles, et progresser doucement vers le but final : pirater sa victime.
Comment contrer les tentatives de Social Engineering ?
C’est un sujet intéressant qui concerne directement la psychologie sociale appliquée à l’informatique.
On va donc chercher avant tout à prévenir toute tentative de manipulation. On essaiera ensuite de détecter une tentative de manipulation, c’est 90% du travail de fait.
- Prévention :
On commence par ne pas laisser trop de traces sur Internet et d’en supprimer un maximum le cas échéant.
Le manipulateur adore les adresses e-mail que vous avez laissées par-ci par-là. Il cherche à identifier vos centres d’intérêt, vos loisirs, vos habitudes, vos amis. Il cherche de façon générale a créer une carte d’identité sur vous et plus vous donnez d’informations plus vous lui facilitez la tâche. Le guide Les Secrets sur notre Anonymat vous donne un exemple choquant concret.
Astuce : vous pouvez, en sachant cela, donner de fausses informations pour piéger un manipulateur. N’hésitez pas non plus à créer plusieurs adresses e-mail différentes pour des besoins différents.
- Savoir à qui vous avez vraiment affaire :
Le manipulateur n’utilisera jamais sa vraie identité sauf s’il vous connaît vraiment bien et que cela ne lui pose pas de problème. Il sera généralement du sexe opposé au votre, et d’une manière plus générale il se fera souvent passer pour une femme.
S’il manipule très bien vous n’y verrez généralement que du feu car il saura créer un profil tout à fait réaliste.
Il faut donc prendre le temps de lui demander des informations qu’il n’aurait pas en sa possession.
Le meilleur moyen est de demander une photo de lui avec votre nom/pseudo écrit sur un bout de papier. Une personne de confiance pourra toujours vous assurer que c’est elle comme cela et ça ne prend que 2 minutes.
S’il vous donne des photos (par exemple de femmes attirantes) vous pouvez utiliser le service en ligne TinyEye pour rechercher l’existence de cette photo sur le net. Vous verrez immédiatement d’où vient la photo.
- Faire échouer l’attaque :
Gardez ces principes en tête et l’attaque échouera à tous les coups :
- Ne donnez jamais vos informations sensibles sur Internet à une personne que vous ne connaissez pas physiquement (et même pas à une que vous connaissez).
- Changer régulièrement vos mots de passe.
- Soyez toujours vigilant et ne croyez pas les offres très spéciales, alléchantes etc…
- Restez informé(e) sur les attaques et arnaques informatiques.
Pour aller plus loin et apprendre l’ingénierie sociale : Commencer avec le Hacking éthique.
13 Commentaires
Cliquez ici pour ajouter un commentaire
Vraiment interressant
[…] Cette réponse repose sur le principe du Social engineering. […]
[…] donner soi-même son mot de passe paraît absurde ici, mais les techniques de manipulation du type Social Engineering sont prévues pour forcer émotionnellement des personnes à « donner » leur […]
Bonjour Michel ! 🙂 je vient de faire un survol de la définition du social ingineering selon votre interprétation ! Et vous êtes dans le vraie a 90% 🙂 félicitation.. Et je parle en conaissance de cause car j’ai été admin et ircop sous IRC (internet, relay, chat) Undernet pendant 16 ans, qui était très populaire avant l’arriver de Fb, twitter, ect.. J’ai fait mes premières expérience sur ce réseau. Je me considère pas comme un » Hacker » sur le sens propre du mot.. 🙂 mais oui je connait surement plus que la moyenne des gens sur différentes techniques de l’art du « Hacking » car ces un ensemble de conaissance informatique dans divers domaine qui fait en sorte qu’ont peut en arriver a des résultats positif de notre objectif, le dénominateur commun autres que d’avoir toute l’expérience informatique aquise au cour de toute ces années, est L’information… Ect.. Je ne donnerais que cette info de base ! 🙂 pour le reste, ton site enligne bien les directions a prendre ! Voila mon petit commentaire perso et bonne continuité pour informés les gens. 🙂 au fait.. Ces mon premier commentaire sur un site qui touche le sujet du « hacking » en 15 ans félicitation d’avoir soulever mon intérêt pour ce sujet.. 🙂 je crois que tu a un bon potentiel. !! 🙂
Merci Jacques pour les précisions et avec plaisir ! 😉
Bonjour Michel,
Très bon article!
Utiliser TinyEye ou Google images pour rechercher une image déjà utilisé , quel outil est le mieux? TinyEye ou bien Google images ?
[…] du comportement humain entre également dans les qualités requises. On parle notamment de Social Engineering pour définir le fait d’utiliser la « faille humaine » afin […]
[…] de tagguer des noms de pages officielles dans les commentaires est une véritable technique d’ingénierie sociale contre laquelle le meilleur moyen de prévention est la […]
[…] Le mot ver informatique est une traduction de l’anglais « computer worm ». Il s’agit d’un programme malveillant qui s’autoréplique (qui se recopie par ses propres moyens) et qui se propage la plupart du temps via le réseau. Ce ver se répand de système en système en exploitant des failles informatiques (attaque zéro day) ou tout simplement des failles humaines (ingénierie sociale). […]
[…] Je vous encourage notamment à prendre connaissance d’une forme de manipulation en ligne qui est la cause de bien des piratages, il s’agit de l’ingénierie sociale. […]
[…] également que l’être humain est l’une des plus grosses failles, je ne prendrai pas le risque de désactiver un […]
bonjour Michel… je veux apprendre la programmation mais je n’ai aucune notion en programmation
Bonjour Mickaël,
J’apprécie beaucoup le sujet du Social Engineering. C’est une bonne chose également de diffuser ce thème concernant la manipulation des humains pour aboutir au piratage des équipements informatiques.
Ces techniques s’appuient énormément sur les biais cognitifs du cerveau humain. Ce sont des mécanismes « quais biologiques » qui ont permis à l’Homme d’évoluer, mais qui peuvent être manipulés pour être détournés.
Le plus simple et plus connu est celui de la réciprocité : Rendez un petit service à quelqu’un et demandez-lui tout de suite de vous rendre la pareille… il y a de grandes chances qu’il accepte. Dans le cas d’un piratage, c’est le fameux scénario de « soi-disant » Microsoft qui vous appelle pour vous alerter d’un problème sur votre ordinateur et qui vous demande de « juste » cliquer sur « oui » pour vous aider à le dépanner !