English
Posted the 16.01.2017

L’art de deviner un mot de passe par la conversation !

Cyber Sécurité

De nos jours, les systèmes informatiques sont de plus en plus complexes et pour un pirate, il est de plus en plus difficile d’extirper des informations telles qu’un mot de passe ou une donnée sensible. Pour pallier à cela, les hackers ont développé une technique qui s’appelle le « social engineering ».

 

social-engineering

 

Qu’est-ce que le social engineering ?

Le social engineering (ou Ingénierie sociale) est une forme d’escroquerie qui consiste à exploiter des failles humaines afin de soutirer des informations (mots de passe, données bancaires…).

Dans son ouvrage « L’art de la supercherie » paru en 2002, Kevin Mitnick dévoile des techniques de manipulation censées amener la victime à divulguer des informations sensibles sans qu’elle s’en rende compte. Ces techniques se basent notamment sur du charisme, des connaissances, la psychologie et l’informatique.

Pour résumer c’est un peu comme si « The Mentalist » voudrait pirater votre ordinateur.

 

Les différentes techniques utilisées

  • Par téléphone

La technique la plus répandue chez les pirates est de vous contacter directement par téléphone. L’objectif étant d’avoir un renseignement précis (un mot de passe par exemple) le plus rapidement possible. Pour cela, il devra préparer son personnage en se faisant passer pour un administrateur réseau ou un responsable et il devra être sûr de lui afin d’être le plus convainquant possible. Afin de parfaire leurs techniques, certains pirates ajoutent des bruits de fonds comme des simulateurs de bruits de bureau ou des logiciels de modifications de voix afin de rendre l’illusion plus réelle.
Pour parer à cette technique, lorsqu’on vous appelle, ne donnez aucunes informations sensibles par téléphone, restez vague le plus possible et demandez une confirmation par écrit de préférence par fax ou lettre manuscrite (plus difficile à usurper qu’un simple e-mail).

  • Par lettre

Pour cette technique, le hacker vous enverra une lettre qui soit le plus professionnelle possible, allant même à créer un logo et un filigrane. Par précaution il utilisera une boite postale créée à l’occasion pour endormir la confiance du destinataire.
Pour parer à cette technique, il faut mettre en place un système de filtrage du courrier entrant dans l’entreprise et si une lettre possède une adresse inconnue, elle devra être soumise à vérification.

  • Par Internet

Pour ce qu’il est de l’internet, c’est exactement le même principe que par téléphone. On peut très bien imaginer un pirate se faisant passer pour un technicien de FAI (Orange, Free, SFR etc.) et qu’il y a des problèmes sur votre box et qu’il a besoin de la clé wifi pour procéder à des modifications. De même que pour les précédentes techniques, on ne va pas exploiter des failles informatiques mais le comportement des gens (naïveté, sensibilité etc.).
Pour parer à cette technique, les consignes restent les mêmes que pour le téléphone. De plus une bonne étude des procédés de l’entreprise permettra de détecter une anomalie.

  • Par contact direct

C’est une technique qui est très peu utilisée par les pirates car l’illusion devra se faire également avec l’apparence (Costume trois pièces, attaché-case, carte de visite, etc.). L’avantage de cette technique est qu’il est plus facile d’avoir une idée de l’infrastructure afin d’y déceler des failles. Il faut voir cette technique un peu comme une mission de reconnaissance. De plus, sa présence physique pourra permettre d’injecter une clé usb sur le réseau contenant du code malveillant ou simplement passer de bureau en bureau afin de repérer d’éventuelles mots de passe écrit sur un post-it collé sur l’écran.
Il est très difficile de déceler cette technique, surtout si le pirate a énormément de charisme. Cependant n’hésitez pas à demander un maximum de renseignements afin de déceler une faille dans sa supercherie (l’arroseur arrosé).

 

Les hackers les plus efficaces combinent ses différentes techniques afin de garantir la récupération des informations souhaitées. Il est nécessaire pour une entreprise de sensibiliser le personnel car ce type d’attaque représente 90% des piratages. 

Tant que les humains ne sont pas patchables, la vigilance sera votre meilleure arme.

A propos de l'auteur

Stan

Membre actif de la cyber sécurité en entreprise, c’est afin de limiter ma présence sur internet que j’ai choisi l’anonymat pour partager avec vous des actualités sécuritaires, des bonnes pratiques à suivre et des conseils pour vous protéger vous, votre entourage et votre entreprise.

Voir tous les articles

Contenus reliés

Hasards improbables et certitudes numériques : Les cyberattaques ne sont pas des jeux de dés

Prévoyez le pire, protégez l’essentiel : L’importance des sauvegardes dans une stratégie de cybersécurité

PME : Comment faire face aux cyberattaques ?

En poursuivant votre navigation, vous acceptez le dépôt et l’utilisation de cookies de fonctionnement du site, de statistiques de visites et de partage pour les réseaux sociaux. A tout moment, vous pouvez modifier vos réglages en cliquant sur Préférences cookies en pied de page du site.

J’accepte

Paramétrez vos cookies

Afin de vous assurer une navigation optimale nous utilisons plusieurs types de cookies. Ci-dessous vous pouvez choisir de les désactiver. Ces modifications sont valables uniquement sur l’équipement et le navigateur actuellement utilisé.

Fonctionnement

Autoriser le dépôt et la lecture de cookies de fonctionnement pour me permettre de profiter de l’ergonomie du site, du choix de la langue et de la sécurité de navigation.

Statistique

Autoriser le dépôt et la lecture de cookies de statistiques pour permettre à AntemetA de suivre la fréquentation du site et améliorer la qualité du service.

Réseaux Sociaux

Autoriser le dépôt et la lecture de cookies de réseaux sociaux pour me permettre de partager des contenus sur LinkedIn, Facebook, Twitter, Google + et YouTube.