Piratage informatique : Gare au social engineering !

jeudi 31 octobre 2013 à 23h38min

On le sait désormais, 70 à 80% des problèmes de sécurité proviennent de failles humaines. C’est toujours l’Homme qui, parce qu’il a fait, ou n’a pas fait ou a mal fait quelque chose qui finalement ouvre une brèche de sécurité.
C’est pour cette raison que les pirates, très souvent, avant de rechercher des solutions techniques de piratage, tentent le coup de la faille humaine, du social enginneering (ingénierie sociale). Et malheureusement, çà fonctionne plus qu’on ne le pense !

RÈagissez ‡ cet article Réagissez
Piratage informatique : Gare au social engineering !

Qu’est-ce que c’est ?

L’ingénierie sociale est basée sur l’utilisation de la force de persuasion et l’exploitation de la naïveté des utilisateurs en se faisant passer pour une personne de la maison, un administrateur système, le plombier etc ...

En somme, le social engineering ou ingénierie sociale est l’art de manipuler une personne pour obtenir des informations que cette dernière ne devrait pas donner ou divulguer. Les méthode sont nombreuses et les pirates utilisent des outils classiques tels que :
- le téléphone
- le courrier électronique
- le courrier classique
- le contact direct

Comment ?

L’une des méthodes de social engineering les plus connues est le phishing. Par exemple il consiste pour le pirate à vous envoyer un courrier vous informant que votre compte de messagerie risque d’être fermé. Pour éviter cela il vous demande de fournir vos noms, prénoms, email et bien sûr votre mot de passe. Beaucoup d’internautes se font encore avoir par ce type de tromperie.

Le phishing n’est pas la seule technique, il en existe pleins d’autres plus ou moins astucieuses.

Comment se protéger ?

La meilleure solution est la sensibilisation des utilisateurs dans le cadre d’une entreprise. Il existe également des solutions de protection matérielles pour pallier les erreurs humaines. Il existe des systèmes pour détecter les tentatives de manipulation. Ces systèmes sont capables de bloquer alors l’action effectuée par un utilisateur imprudent. Selon le système utilisé, l’utilisateur peut être informé et des informations lui seront données par l’application concernant la technique utilisée et la conduite à tenir la prochaine fois.

Informations importantes

La plupart des antivirus intègrent un détecteur de phishing ainsi que d’autres tentatives de manipulation de l’utilisateur. Mais attention, les pirates sont toujours en avance, l’antivirus n’est pas toujours suffisant, malheureusement.

Attention ! La sécurité 100% n’existe pas. Toute sécurité peut être violée, cela dépend des moyens mis par l’attaquant et du temps dont il dispose. Le but de la sécurité est justement de faire en sorte qu’un éventuel attaquant soit découragé par les moyens à mettre en œuvre ou la durée de l’attaque ou les deux.
Il est vrai que la sécurité à 100% n’existe pas, mais il existe des sécurités efficaces. Exemple : personne n’a encore trouvé la formule secrète pour fabriquer du coca-cola.

Matière à réflexion

Toute mesure de sécurité doit tenir compte de la valeur du bien protégé, des menaces réelles, des vulnérabilités et de la probabilité de survenance d’un risque.
Si l’impact d’une menace est très grande et que la probabilité de survenance est nulle, il ne faut pas dépenser beaucoup d’argent pour s’en protéger.
Exemple : La mairie de Ouagadougou ne doit pas dépenser beaucoup d’argent pour se protéger des effets d’une tempête de neige.

Younoussa SANFO

Plus d’info sur http://www.intrapole.com

Imprimer l'article

Vos commentaires

  • Le 31 octobre 2013 à 22:35, par trillionaire
    En réponse à : Piratage informatique : Gare au social engineering !

    bien reçu meme si les exemples m’ont fait sourire

    Répondre à ce message

  • Le 4 décembre 2013 à 09:04, par infogagnant
    En réponse à : Piratage informatique : Gare au social engineering !

    Nous avons tous été victimes à un moment ou un autre victime d’une tentative de pishing sur internet. C’est un véritable fléau.
    Pour éviter de se faire avoir par le pishing, il faut faire attention aux messages. Il faut vérifier la logique. Il faut aussi toujours bien vérifier le site avant d’entrer ces identifiants de connexion.
    Les gestionnaires de mots de passe tels que Lastpass sont très efficaces dans la lutte contre le pishing.

    Répondre à ce message

Un message, un commentaire ?

modération a priori

Attention, votre message n’apparaîtra qu’après avoir été relu et approuvé.

Qui êtes-vous ?
Ajoutez votre commentaire ici
  • Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.


Newsletter

Chaque matin, recevez gratuitement toute l'actualité du jour par mail. Inscrivez-vous à la newsletter


LeFaso.net
A propos..
Flux  RSS 2.0
Plan du site
Nous contacter
Condition d'utilisation
Responsabilité
Cookies et cache
Version mobile
Publicité
Partenariat

LeFaso.net © 2003-2016 LeFaso.net ne saurait être tenu responsable des contenus "articles" provenant des sites externes partenaires.
Droits de reproduction et de diffusion réservés