« Ingénierie sociale (sécurité de l'information) » : différence entre les versions
(yeah) |
Aucun résumé des modifications |
||
| Ligne 18 : | Ligne 18 : | ||
=== Le prétexte === | === Le prétexte === | ||
Cette attaque utilise des excuses pour attirer l’attention et inciter les victimes à fournir des informations. Par exemple, une enquête sur Internet peut paraître totalement innocente au premier abord, mais peut ensuite donner lieu à des demandes de coordonnées bancaires. La personne qui tient le presse-papiers peut également se présenter et vous dire qu'elle effectue une vérification interne du système. Cependant, elle n’est peut-être pas celle qu’elle prétend être et essaie de vous voler des informations précieuses. | Cette attaque utilise des excuses pour attirer l’attention et inciter les victimes à fournir des informations. Par exemple, une enquête sur Internet peut paraître totalement innocente au premier abord, mais peut ensuite donner lieu à des demandes de coordonnées bancaires. La personne qui tient le presse-papiers peut également se présenter et vous dire qu'elle effectue une vérification interne du système. Cependant, elle n’est peut-être pas celle qu’elle prétend être et essaie de vous voler des informations précieuses. | ||
=== Hameçonnage ou phishing === | |||
Les attaques de phishing utilisent des e-mails ou des messages texte prétendant provenir d'une source fiable et demandant des informations. Un exemple bien connu : les banques enverraient des e-mails demandant aux clients de vérifier les informations de sécurité, puis redirigeraient les utilisateurs vers une fausse page où sont stockées leurs informations de connexion. Le spear phishing cible une seule personne au sein d’une organisation. Cette activité consiste à envoyer des courriels prétendant provenir d’un haut dirigeant de l’entreprise et demandant des informations confidentielles. | |||
=== Hameçonnage vocal et hameçonnage par SMS === | |||
Ces types d’attaques d’ingénierie sociale constituent un type de phishing. Le « phishing » consiste simplement à appeler quelqu'un et à lui demander de lui transmettre des informations. Les criminels peuvent se faire passer pour des collègues de travail, comme des employés du service d'assistance informatique, et demander l'accès à vos données. Le phishing par SMS tente d'obtenir ces informations à l'aide de messages texte SMS. | |||
=== Quid pro quo === | |||
"L'échange équitable n'est pas vol", dit-on. Cependant, il s'agit clairement d'un vol. De nombreuses attaques d'ingénierie sociale font croire aux victimes qu'elles reçoivent quelque chose en échange de données ou d'accès. Cette méthode est utilisée par les « faux logiciels de sécurité ». Alors qu'en fait, ce sont les logiciels eux-mêmes qui représentent la menace de sécurité, ils promettent aux utilisateurs une mise à jour pour corriger un problème de sécurité urgent. | |||
Version du 27 octobre 2023 à 10:30
Dans le contexte de la sécurité de l’information, l’ingénierie sociale (social engineering en anglais) est un acte de manipulation psychologique dans le but de frauder. Un terme plus approprié serait piratage psychologique ou fraude psychologique. L'office Québécois de la langue Française ne recommande pas en 2021 l'appellation « ingénierie sociale » car elle ne met pas l'accent sur la notion de tromperie.
Par exemple, un intrus peut se faire passer pour un employé du service d'assistance informatique et demander aux utilisateurs des données, telles que des noms d'utilisateur et des mots de passe. Il est surprenant de voir combien de personnes donnent cette information sans réfléchir, surtout si elle semble avoir été demandée par un fonctionnaire.
En d’autres termes, l’ingénierie sociale consiste à tromper les gens afin de les manipuler pour obtenir des informations, des données ou pour amener les utilisateurs à divulguer leurs informations ou leurs données.
A ne pas confondre avec le diplôme d'état d'ingénierie sociale qui forme des experts des politiques sociales, de l'action sociale et médico-sociale. Chargé de mission, chargé d'études ou conseiller technique, le titulaire du DEIS, utilise ses connaissances à la fois professionnelles et pluridisciplinaires pour analyser les questions sociales et politiques, proposer des programmes complexes, les évaluer et les mettre en oeuvre.
Les possibiles types d'attaques
Il existe différents types d’attaques d’ingénierie sociale et il est important de comprendre comment cela fonctionne afin de s'en protéger. Une fois le mode opératoire général défini, l’identification des attaques d’ingénierie sociale est beaucoup plus facile.
L'appât
Les techniques de leurre consistent à créer des pièges, tels que des clés USB contenant des logiciels malveillants. Lorsque quelqu'un est curieux de voir ce qu'il y a sur le disque, il connecte le disque à une clé USB, ce qui peut entraîner une contamination du système. Il existe effectivement une clé USB qui permet de compromettre votre ordinateur. Une fois branché, il se charge depuis la clé USB et libère de l'énergie sous la forme d'une violente surtension pouvant endommager l'appareil sur lequel il est branché. (Une telle clé USB coûte 54 $.)
Le prétexte
Cette attaque utilise des excuses pour attirer l’attention et inciter les victimes à fournir des informations. Par exemple, une enquête sur Internet peut paraître totalement innocente au premier abord, mais peut ensuite donner lieu à des demandes de coordonnées bancaires. La personne qui tient le presse-papiers peut également se présenter et vous dire qu'elle effectue une vérification interne du système. Cependant, elle n’est peut-être pas celle qu’elle prétend être et essaie de vous voler des informations précieuses.
Hameçonnage ou phishing
Les attaques de phishing utilisent des e-mails ou des messages texte prétendant provenir d'une source fiable et demandant des informations. Un exemple bien connu : les banques enverraient des e-mails demandant aux clients de vérifier les informations de sécurité, puis redirigeraient les utilisateurs vers une fausse page où sont stockées leurs informations de connexion. Le spear phishing cible une seule personne au sein d’une organisation. Cette activité consiste à envoyer des courriels prétendant provenir d’un haut dirigeant de l’entreprise et demandant des informations confidentielles.
Hameçonnage vocal et hameçonnage par SMS
Ces types d’attaques d’ingénierie sociale constituent un type de phishing. Le « phishing » consiste simplement à appeler quelqu'un et à lui demander de lui transmettre des informations. Les criminels peuvent se faire passer pour des collègues de travail, comme des employés du service d'assistance informatique, et demander l'accès à vos données. Le phishing par SMS tente d'obtenir ces informations à l'aide de messages texte SMS.
Quid pro quo
"L'échange équitable n'est pas vol", dit-on. Cependant, il s'agit clairement d'un vol. De nombreuses attaques d'ingénierie sociale font croire aux victimes qu'elles reçoivent quelque chose en échange de données ou d'accès. Cette méthode est utilisée par les « faux logiciels de sécurité ». Alors qu'en fait, ce sont les logiciels eux-mêmes qui représentent la menace de sécurité, ils promettent aux utilisateurs une mise à jour pour corriger un problème de sécurité urgent.