Un tutoriel pour apprendre l'ingénierie sociale en sécurité de l'information, ses techniques et les pratiques pour s'en protéger
Auteur
Wilo A.Domaine
Hacking éthiqueEn sécurité de l'information, l'ingénierie sociale (social engineering en anglais) est une technique de manipulation par tromperie qui consiste à persuader une personne en profitant de sa crédulité pour lui pousser à faire ce que nous voulons ou lui pousser à fournir les informations que nous cherchons sans qu’elle s’en rende compte.
Pour accentuer le concept de tromperie en ingénierie sociale, les termes plus appropriés pour le désigner sont le piratage psychologique ou la fraude psychologique.
Nous voulons voir dans ce tutoriel les techniques utilisées par les pirates informatiques, appelons-les hackers, pour mener une ingénierie sociale et les moyens de s'en protéger.
Naturellement, l’homme éprouve le besoin d’aide, d’assistance, d’accorder sa confiance aux personnes sympathiques et polies, ... C’est cette faille humaine qu'exploite l’ingénierie sociale.
Les hackers recourent aux moyens de communication tels qu’internet, les appels téléphoniques ou le contact direct avec la cible en se faisant passer un opérateur, un responsable informatique ou une personne de confiance pour récupérer les informations dont ils ont besoin en pratiquant l’ingénierie sociale.
Voyons quelques pratiques courantes d'ingénierie sociale :
L'hameçonnage (ou phishing en anglais) est une technique qui consiste à soutirer des renseignements personnels d'une cible (mot de passe d'un compte, numéro de carte de crédit, ...) en créant, le plus souvent, une copie exacte d'un site internet dans l'optique de faire croire à la victime qu'elle est sur le site officiel.
Pour réussir un hameçonnage, un hacker peut recourir à l'ingénierie sociale pour conduire une cible vers une copie de la page de connexion Facebook (une fausse page de connexion Facebook) en lui envoyant un message de ce genre :
La cible non avisée peut vite se rendre à l'adresse reçue (site web de l'hacker) puis, se fiant à l'apparence Facebook de la page présentée, se connecter. Ses identifiants sont alors livrés à l'hacker.
Pour obtenir les informations d'une cible, prenons ses informations bancaires, un hacker peut entamer une conversation avec un message frauduleux de ce genre :
Entretenir une telle conversation aboutit aux échanges des cordonnées bancaires.
Notez bien
Ces types de messages peuvent aussi être une demande ou une incitation à télécharger et installer un programme ou un module complémentaire de navigateur internet. Ce programme ou module peut être malveillant et permettre à l'hacker d’accéder à un ordinateur à distance.
Malgré que les humains puissent se faire manipuler, il y a tout de même des bonnes pratiques pour se protéger de l'ingénierie sociale :
Portez-vous bien ! 😉
Cette publication vous a plu ?
Partagez-la avec vos ami(e)s sur les réseaux sociaux.
Wilo Ahadi, l'auteur
Passionné de l'informatique, je suis spécialiste en techniques des systèmes et réseaux, développeur web et mobile, infographiste et designer, ... J'aime partager mon expérience en formant sur la plateforme Akili School
Voir profil
Commentaires