L’ingénierie sociale

Publié le par Bernard Sady

Moins connue que le phishing, l’ingénierie sociale n’en est pas moins une technique redoutable utilisée par certains hackers pour soutirer des informations sensibles. “Ingénierie sociale” est une traduction directe de l’anglais “social engineering”. Sa définition est la suivante : « technique de piratage consistant à user de ressorts psychologiques pour obtenir des informations compromettantes en vue d'une attaque ».

 

Contrairement au “phishing”, c’est une technique qui n’utilise pas l’outil informatique, mais des moyens de communication plus “traditionnels” : surtout le téléphone et parfois même le contact direct.

 

 

Un très intéressant article de Virgile Juhan dans le Journal du Net relate une expérience qui vient d’être faite  « lors de la dernière conférence Defcon,  grand rassemblement international de hackers. Cette expérience consistait à extorquer des informations sensibles dans des grandes sociétés, informations qui auraient pu être utilisées pour une attaque.

 

En voici la description précise : « Assis dans une cabine en plexiglas, sous l'œil des milliers de hackers présents à ce grand rendez-vous, des pirates ont appelé, deux jours durant, 135 employés de 17 grandes entreprises américaines. Parmi elles : Symantec, Google, Cisco, Microsoft ,Wal-Mart, Coca-Cola, Pepsi ou Ford.

 

« Les pirates se faisaient en général passer pour des employés de la société ciblée ou des prestataires et des consultants. Ils n'ont évidemment pas hésité à employer maints stratagèmes, simulant l'urgence ou la gravité de leur requête. Ils n'ont pas demandé d'informations trop sensibles, comme les mots de passe ou les numéros de sécurité sociale, mais ils ont essayé de trouver des informations qui pourraient être utilisées en vue d'une attaque, autour du système d'exploitation, des logiciels antivirus, ou encore du navigateur utilisé par la société de l'interlocuteur. »

 

Les résultats sont stupéfiants : « Seules 5 personnes n'ont divulgué aucune information compromettante aux pirates. C'étaient toutes des femmes. Toutes ont écourté très rapidement l'appel, en moins de 15 secondes, en signifiant qu'elles ne trouvaient pas la demande justifiée. Sur les 5 femmes, 3 étaient cadres. A noter également que si tous les pirates étaient des hommes,  moins de la moitié des 135 personnes contactées étaient des femmes.

 

« L'expérience a aussi montré que plus de la moitié des entreprises contactées utilisent encore Internet Explorer 6, connu pour souffrir de graves failles de sécurité. De plus, à chaque fois que les pirates ont voulu emmener leur interlocuteur sur un site Web mis en place pour le test,  ils y sont arrivés. »

 

Je connais aussi beaucoup d’entreprises qui ont toujours IE 6… même si de plus en plus, elles passent à IE7, IE8, ou à d’autres navigateurs comme Firefox.

 

« Mais le fait le plus grave mis en avant par cette expérience est qu'une écrasante majorité ait cédé aux ingénieux pirates. »

 

Ce qui justifie la première décision prise : « En attendant un rapport plus complet à paraître la semaine prochaine, les organisateurs de ce test sont actuellement à Washington pour révéler leurs conclusions au siège du FBI. »

 

 

Conclusion : même si on parle moins de l’ingénierie sociale que du phishing, il faut être très vigilant et sensibiliser tous les utilisateurs des systèmes d’information dans nos entreprises. Il ne faut pas être paranoïaque, mais n’importe quelle entreprise peut être victime d’une attaque. Et cette attaque sera précédée d’ingénierie sociale afin d’obtenir les renseignements indispensables à cette attaque. Ces renseignements peuvent être de plusieurs ordres : profils, mots de passe, mais aussi anti-virus, navigateurs, logiciels utilisés, etc…

 

La consigne doit être de ne donner aucune information concernant le Système d’Information par téléphone quel que soit l’interlocuteur, ou à une personne inconnue rencontrée dans ou hors de l’entreprise. Et un mot de passe ne se donne jamais, même à une personne connue.

 

Concernant les navigateurs, il est fortement conseillé d’abandonner Internet Explorer 6, de passer à Internet Explorer 8, ou encore mieux, d’utiliser Firefox…

Pour être informé des derniers articles, inscrivez vous :

Commenter cet article