ingenierie-sociale.jpgDans le cadre de la préparation de la conférence du 3 février au Club IES animée par la CNIL "Internet et la protection des données personnelles ", un mot sur ce que l'on appelle l'Ingénierie sociale (ou Social Engineering en bas breton) dans un contexte de sécurité informationnel :

Le portail de la sécurité informatique du gouvernement nous en donne une définition :
« Manipulation consistant à obtenir un bien ou une information, en exploitant la confiance, l'ignorance ou la crédulité de tierces personnes. Remarques : Il s'agit, pour les personnes malveillantes usant de ces méthodes, d'exploiter le facteur humain, qui peut être considéré dans certains cas comme un maillon faible de la sécurité du système d'information. »

Le forum Comment ça marche va plus loin :
« L'ingénierie sociale est basée sur l'utilisation de la force de persuasion et l'exploitation de la naïveté des utilisateurs en se faisant passer pour une personne de la maison, un technicien, un administrateur, etc. D'une manière générale les méthodes d'ingénierie sociale se déroule selon le schéma suivant :
- Une phase d'approche permettant de mettre l'utilisateur en confiance, en se faisant passer pour une personne de sa hiérarchie, de l'entreprise, de son entourage ou pour un client, un fournisseur, etc.
- Une mise en alerte, afin de le déstabiliser et de s'assurer de la rapidité de sa réaction. Il peut s'agir par exemple d'un prétexte de sécurité ou d'une situation d'urgence ;
- Une diversion, c'est-à-dire une phrase ou une situation permettant de rassurer l'utilisateur et d'éviter qu'il se focalise sur l'alerte. Il peut s'agir par exemple d'un remerciement annonçant que tout est rentré dans l'ordre, d'une phrase anodine ou dans le cas d'un courrier électronique ou d'un site web, d'une redirection vers le site web de l'entreprise. »

Ces méthodes ne sont possibles que parce que le manipulateur a pu récupérer suffisamment d'informations sur sa cible. Or, c'est souvent la cible qui met ces informations à disposition, notamment en alimentant ses profils dans les réseaux sociaux !
A bon entendeur?

JB

NB : Notez que l'ingénierie sociale est aussi le nom donné à un ensemble de compétences tout à fait légales, qui fait d'ailleurs l'objet d'un diplôme d'Etat (voir le site de l'UPEC).

 

Source Image : Crime-cyber