Le Social Engineering, une forme inquiétante d’espionnage
Le Social Engineering ou l’ingénierie sociale est une pratique qui vise à obtenir des informations confidentielles. Cette pratique mise beaucoup sur les vulnérabilités humaines et sociales des cibles pour parvenir à attaquer le système informatique de la structure sociale visée. Les pirates entreprennent des gestes ordinaires pour abuser de la confiance et de la naïveté des victimes qu’ils veulent manipuler.
Les méthodes de social engineering
On distingue 4 grandes méthodes de social engineering :
Par téléphone
Il s’agit de la technique la plus simple. Le hacker aura préparé son discours et son personnage. Il sera sûr de lui et se montrera très persuasif. Certains hackers ont même du matériel pour parfaire leur crédibilité (enregistrement bruits sonores de bureau, modificateur de voix…)
Solutions: Si vous ne connaissez pas l’interlocuteur, ne donnez aucun renseignement. Restez vague et mettez un terme à l’appel ou demandez une confirmation par écrit (par fax). Par fax, on obtient le numéro appelant, et il est donc facile de l’identifier. Gardez en tête qu’un bon hacker aura étudié l’entreprise avant l’attaque et pourra se faire passer pour un fournisseur, un client. Il attaquera au moment le plus propice : par exemple lorsque l’un des responsables est en vacances.
Par lettre
Le hacker enverra une lettre très professionnelle. Il n’hésitera pas à voir un imprimeur pour avoir du papier à lettre comportant un logo, un filigrane, téléphone, fax, email…
Il utilisera très certainement une boîte postale pour l’adresse de sa société fictive.
Solutions: Filtrer tout le courrier entrant de l’entreprise. Pour chaque source inconnue de l’entreprise, il faudrait faire une vérification de l’existence réelle de celle-ci.
Par internet
Semblable à celui par téléphone. Le hacker se fera facilement passer pour un opérateur système, un responsable informatique ou un ingénieur système.
Solutions: Comme pour le téléphone, ne donnez pas de renseignements à quelqu’un que vous ne connaissez pas. Une bonne étude de la gestion de l’extranet et de la mise en place d’une structure matérielle et personnelle adéquate est la meilleure solution.
Par contact direct
Il s’agit de la technique la plus dure de la part du hacker. Il sera équipé pour que vous n’y voyiez que du feu. Si le hacker prend de tels risques, c’est qu’il est déterminé à obtenir les renseignements souhaités. Il sera donc très persuasif !
Solutions: Lors d’une discussion, n’hésitez pas à demander un maximum de renseignements «concrets» (nom de votre interlocuteur, nom et adresse de la société, etc), pour, par la suite, vérifier auprès des organismes compétents l’existence réelle de votre interlocuteur. En cas de doute, n’hésitez pas à téléphoner à la société pour savoir si la personne existe, et si elle est au courant qu’elle vous a vu ces dernières heures.
Conclusion
Le hacker ne se limitera pas à une seule de ces techniques, mais au contraire, utilisera une combinaison de ces quatre méthodes. Le hacker s’attaquera à la personne la plus faible de l’entreprise (les personnes récemment recrutées par exemple). Le personnel de l’entreprise doit être sensibilisé à ce problème. L’établissement des mesures préventives ne doit pas non plus être négligé.
« Seul votre comportement pourra vous être utile »