2. Présentation de l’ingénierie sociale
introduction
définition
Méthodes de l’ingénierie sociale (cibles et attaque
Exemples classiques d’attaques
techniques d’attaques
Protection contre cette ingénierie
techniques
conseils
conclusion
3. Présentation de l’ingénierie sociale
introduction
définition
Méthodes de l’ingénierie sociale (cibles et attaque
Exemples classiques d’attaques
techniques d’attaques
Protection contre cette ingénierie
techniques
conseils
conclusion
4. introduction
Avant d'entrer dans le monde de l'ingénierie
sociale, il faut savoir que celle-ci est l’une des
outils de piratage les plus simple et les plus
facile à faire et peut être utilisé partout, à tout
moment, et partout le monde.
En fait , c’est une technique qui n’utilise pas l’outil
informatique , mais des moyens de communications plus «
traditionnels »,comme le téléphone et même le contact direct,
en exploitant la confiance, l’ignorance ou la crédulité de tierces
personnes.
LOGO
5. Définition
Le Social Engineering dit SE est une technique de manipulation psychologique
humaine qui sert à obtenir "invisiblement" des informations d'une personne
ciblée.
Cela nécessite pas d'énormes connaissances informatiques, mais nécessite de
s'adapter à la victime suivant le type de l'attaque du SE:
niveau de langage, apparence, charisme, persuasion, savoir mentir
c'est-à-dire apprendre à exploiter les failles humaines :
confiance, manque d'informations).
Il s’agit d’exploiter le facteur humain qui peut être considéré dans certains cas
comme un maillon faible de la sécurité du système d’information.
LOGO
6. Définition
L’ingénierie sociale selon plusieurs est :
l'art et la science d'amener les gens à se conformer à
vos désirs .
l’art de la manipulation, de la supercherie et de
l’influence .
l'art de manipuler les gens en effectuant des actions
l'ingénierie sociale repose sur l'incapacité des gens à faire face
ou divulguer des informations confidentielles .
à une culture qui repose en grande partie sur les technologies
de l'information. Les ingénieurs sociaux reposent sur le fait que
les gens ne sont pas conscients de la valeur de l'information
LOGO
qu'elles possèdent et qui sont peu soucieux de la protéger.
7. Présentation de l’ingénierie sociale
introduction
définition
Méthodes de l’ingénierie sociale(cibles et attaques
Exemples classiques d’attaques
techniques d’attaques
Protection contre cette ingénierie
techniques
conseils
conclusion
8. Quelques exemples classiques
Pour comprendre le fonctionnement des attaques d’ingénierie
sociale, imaginez les scénario suivant :
une personne (appelons-la Jean), prétendant travailler pour le service
facturation, appelle un « collègue » (la victime) du service client. Il affirme
qu’il est en ligne avec une cliente très importante (Marie, par exemple).
La cliente, Marie, demande des informations sur son dossier qu’il ne peut
lui indiquer en raison d’un problème avec son ordinateur. Il n’est donc pas
en mesure de la renseigner. Jean demande alors à son collègue (la victime)
s’il peut, par hasard, l’aider.
La victime se sent désolée pour « ce collègue qui a besoin d’aide » et
LOGO
fournira sans doute des données confidentielles à l’imposteur.
9. Quelques exemples classiques
à l’entrée de votre entreprise, vous croisez un homme portant des paquets qui
semblent lourds. Vous en déduisez immédiatement qu’il s’agit d’un livreur. Il
vous demande de lui ouvrir la porte puisqu’il ne parvient pas à saisir le badge
qui se trouve dans sa poche. Vous n’hésitez pas une seconde et le faites entrer
dans l’entreprise.
Puisque rien ne vous a semblé suspect, vous ne regarderez sans doute pas où
il va, ne le suivrez pas et ne penserez plus à lui dès qu’il aura quitté votre
champ de vision.
Une fois dans l’entreprise, l’intrus peut se diriger vers une salle de
conférence, sortir son ordinateur portable soigneusement caché dans l’un de
ses paquets, se connecter au réseau derrière le pare-feu de l’entreprise et
LOGO
extraire des données. En quelques minutes, il a quitté le bâtiment avec des
données sensibles.
10. Techniques d’attaque
Les objectifs fondamentaux de l'ingénierie sociale sont les mêmes que le
piratage ,même si les techniques sont différentes , en général c’est obtenir un
accès non autorisé à des systèmes ou des informations en vue de:
commettre une fraude(faire une action malhonnête dans l’intension de tromper)
intrusion réseau(s’introduire dans un réseau sans y être invités)
l'espionnage industriel (moyens utilisés pour découvrir les secrets
d'un concurrent industriel en matière de conception, de fabrication ou de production )
le vol d'identité.
ou tout simplement de perturber le système ou le réseau.
Les attaques d'ingénierie sociale se déroulera sur deux niveaux
LOGO
11. Techniques d’attaque
Nous allons nous concentrer sur le cadre physique de ces
attaques:
Menaces en ligne (Internet)
Support physiques
la gestion des déchets (votre poubelle)
l’ingénierie sociale inverse
Par téléphone
Phishing ou bien L'hameçonnage - faux e-mails , les chats ou les sites
Web conçus pour envahir l'identité des systèmes réels dans le but de capturer des
données sensibles):
•Technique utilisée par les voleurs en ligne, visant à envahir l'identité d'une personne ou
d'une entité connue.
•Le principe est un internaute reçoit un email non sollicité (spam) à l'habillage
d'une entité connue (portail, banque, etc.).
LOGO
12. Techniques d’attaque
• L'objectif est d'attirer l'internaute sur un faux site afin de mettre à jour ses
informations personnelles (carte bancaire, numéro de téléphone...).
•Ces informations, saisies dans un faux formulaire, sont alors utilisées de
façon inadéquate par des escrocs(voleurs).
LOGO
13. Techniques d’attaque
Le pirate invite un utilisateur à cliquer sur un lien ou à ouvrir une pièce jointe
pour télécharger son programme qui utilise les ressources réseau de l'entreprise.
Messagerie instantanée est un moyen de communications relativement récent,
mais elle a gagné une grande popularité .Ainsi la spontanéité et la familiarité de la
messagerie instantanée en font un vaste terrain de chasse pour les attaques d'ingénierie
sociale. Bien entendu, la messagerie instantanée représente aussi un autre moyen de
demander simplement des informations.
En fait les deux principales attaques lancées par messagerie instantanée sont:
l'intrusion (intervention) de liens vers des logiciels malveillants et de fichiers
réels.
le caractère informel de la messagerie instantanée,Son caractère interactif, ainsi
que le choix d'utiliser un pseudonyme, impliquent que vos interlocuteurs ne sont
pas forcément ceux qu'ils prétendent être, ce qui augmente les risques
d'usurpation d'identité.
LOGO
14. Techniques d’attaque
dans le domaine de la sécurité et obtenir des arachides payés, donc ils ont tendance à
répondre aux questions et passer à l'appel suivant. Cela peut créer un trou de sécurité
énorme.
1. L’INGÉNIERIE SOCIALE INVERSE
L'ingénierie sociale inverse désigne une situation dans laquelle la cible effectue
l'approche initiale et communique au pirate les informations dont il a besoin.
Par exemple, le support technique ne demande jamais l'ID utilisateur ou le mot
de passe de l'appelant, car ils peuvent résoudre les problèmes sans ces
informations. Certains utilisateurs communiquent spontanément ces éléments de
sécurité essentiels pour accélérer la résolution de leurs problèmes informatiques.
Le pirate n'a même pas besoin de les demander.
LOGO
15. •L'assistance. Dans cette approche, le pirate propose de l'aide à la cible. L'assistance exigera au final que la cible divulgue des informations personnelles qui permettront au pirate d
Techniques d’attaque
Nous allons passons enfin aux attaques dans le cadre
psychologique :
Les approches personnels
1. LES APPROCHES PERSONNELS:
Le moyen le plus simple pour un pirate d'obtenir des informations est de les demander
directement. Cette approche peut paraître grossière et évidente, mais elle a toujours été
à l'origine des abus de confiance.
Quatre approches principales se révèlent efficaces pour les pirates :
•L'intimidation. ..le chantage.
•La relation de confiance.
•L'assistance: Dans cette approche, le pirate propose de l'aide à la cible. L'assistan
exigera au final que la cible divulgue des informations personnelles
LOGO
qui permettront au pirate de voler son identité.
16. Présentation de l’ingénierie sociale
introduction
définition
Méthodes de l’ingénierie sociale (cibles et attaque
Exemples classiques d’attaques
techniques d’attaques
Protection contre cette ingénierie
techniques
conseils
conclusion
17. techniques
.
Des menaces similaires ne présentent pas le même niveau de risque pour
différentes entreprises. Vous devez passer en revue toutes les menaces
d'ingénierie sociale et rationaliser le danger qu'elles présentent pour votre
organisation.
.
Développez un ensemble de stratégies et de procédures écrites qui stipulent
LOGO
comment vos employés doivent gérer des situations considérées comme des
18. techniques
attaques d'ingénierie sociale. Cette mesure suppose l'existence d'une stratégie de sécurité,
en dehors de la menace représentée par l'ingénierie sociale. Si actuellement vous ne
disposez pas de stratégie de sécurité, vous devez en élaborer une. Les éléments
identifiés par votre évaluation des risques d'ingénierie sociale constitueront un bon
début, mais vous devrez analyser les autres dangers potentiels.
LOGO
19. conseils
La meilleure façon de se protéger des techniques
d'ingénierie sociale est d'utiliser son bon sens pour ne pas
divulguer à n'importe qui des informations pouvant nuire à la
sécurité de l'entreprise.
Il est ainsi conseillé, quel que soit le type de renseignement
demandé :
de vérifier éventuellement les renseignements fournis
de s'interroger sur la criticité des informations
LOGO
demandées.
20. Présentation de l’ingénierie sociale
introduction
définition
Méthodes de l’ingénierie sociale (cibles et attaque
Exemples classiques d’attaques
techniques d’attaques
Protection contre cette ingénierie
techniques
conseils
conclusion
21. On peut conclure finalement que l’ingénierie sociale est une
sorte d’attaque très puissant ,pourtant qu’il ne s’appuie pas
beaucoup sur des notion informatique.
Bien sûr, aucun sujet traitant l’ingénierie sociale est complet
sans la mention de Kevin Mitnick, l’ ancien hacker américain et
l’écrivain de livre L'art de la supercherie, donc je vais conclure
avec une
citation de lui à partir d'un article paru dans Security Focus :
"Vous pouvez
passer d'une technologie et des services d'achat fortune ... et
votre infrastructure réseau
pourrait demeurent vulnérables à l'ancienne manipulation "
LOGO