Connect with us

formulaire de recherche !

Sécurité

L’Ingénierie sociale ou social engineering en anglais

Le Social Engineering vise à manipuler une personne, la victime, afin de soustraire des informations du système informatique ou de s’y introduire, sans avoir besoin de procéder à un quelconque piratage informatique classique.

L’ingénierie sociale (social engineering en anglais) est, dans le contexte de la sécurité informatique, une pratique de manipulation psychologique à des fins d’escroquerie. Les termes plus appropriés à utiliser sont le piratage psychologique ou la fraude psychologique.

Qui n’a pas reçu un faux message électronique proposant des sommes mirobolantes en échange de l’utilisation d’un compte bancaire pour effectuer des virements d’un montant très élevé? Il s’agit en général de prétendus fonds qui se trouveraient bloqués dans une banque au nom de prétendus héritiers ne pouvant récupérer leurs avoirs sans l’intervention d’un tiers. Les escrocs excellent dans l’art d’instaurer un doute dans l’esprit des personnes qui se font duper en usurpant le nom de personnes réelles et de vraies banques et en créant des adresses électroniques évocatrices, mais fausses.

Depuis la fin du confinement, une recrudescence d’attaque par ingénierie sociale a été constatée. Ces attaques ne sont basées ni sur l’outil informatique, ni sur l’exploitation de failles matérielles ou logicielles.

Ce type d’attaque utilise une autre faille : l’Humain. Le Social Engineering vise à manipuler une personne, la victime, afin de soustraire des informations du système informatique ou de s’y introduire, sans avoir besoin de procéder à un quelconque piratage informatique classique.


La persuasion et la manipulation sont les clefs de voûte de cette technique. Le Social Engineering peut être appliqué sous divers scénarios, ce qui peut le rendre d’autant plus difficile à identifier. Le malfaiteur chercher à exercer une pression psychologique sur la victime, en invoquant l’urgence ou la confidentialité pour obtenir rapidement les informations souhaitées.


Ces escrocs sont des experts de la recherche personnalisée et des réseaux sociaux si ils s’attaquent à vous personnellement ils ont en général fait leurs devoirs et ont réussi à obtenir des informations susceptibles de vous mettre en confianc
e. D’autres vont même plus loin jusqu’à rechercher des données sensibles en dehors de l’ordinateur, comme lorsqu’on fouille dans les ordures de quelqu’un pour obtenir des informations


La solution est donc de toujours vérifier les informations fournies par l’interlocuteur et la légitimité de sa demande, il ne faut pas hésiter à en parler autour de soit afin de recouper les informations avec ses collègues ou son supérieur. Peu importe la méthode et les arguments utilisés on vous sollicite pour obtenir quelque chose de votre part : une action ou une information déterminante pour permettre à l’escroc de tirer un profit.

Nous avons eu le cas récemment chez un de nos clients. Le Hacker a contacté la comptabilité et s’est fait passer pour un fournisseur, il a mis la pression à la comptable en donnant des informations personnelles sur les dirigeants. Il a ensuite demandé à être payé de façon urgente sinon le PDG serait mis dans l’embarras. La comptable est tombée dans le piège et à fait de nombreux virements.

Donc ici, il n’y a aucune faille du système d’information, le maillon faible est humain c’est pourquoi il faut mettre en place des processus de validation qui empêchent ce type d’arnaques.

Comment contrer ce type d’ attaques ?

  • Ne validez jamais seul, demandez toujours de l’aide en cas de doute
  • Ne laissez pas trop de trace sur internet d’informations personnelles
  • Mettez en place des processus de validation
  • Soyez toujours vigilant et ne croyez pas les offres spéciales ou alléchantes..
  • Prenez conseil auprès de spécialistes pour vous accompagner

Vous pourriez aussi aimer :

Sticky Post

SECUR-CLOUD - LE FACILIATEUR TECHNOLOGIQUE

Sécurité

Avec l’adoption croissante des services cloud par les entreprises, la sécurité des données stockées dans le cloud est devenue une préoccupation majeure pour les...

Système & Réseau

PHP est un langage de programmation de script côté serveur utilisé pour développer des sites web dynamiques et interactifs. Il peut être intégré directement...

Système & Réseau

Le bac à sable (ou « sandbox » en anglais) est une fonction de sécurité intégrée à certaines versions de Windows qui permet de lancer des...