Ingénierie sociale (sécurité de l'information)

De Design wiki
Révision datée du 27 octobre 2023 à 10:11 par AntoineJaf (discussion | contributions) (yeah)
Aller à la navigation Aller à la recherche

Dans le contexte de la sécurité de l’information, l’ingénierie sociale (social engineering en anglais) est un acte de manipulation psychologique dans le but de frauder. Un terme plus approprié serait piratage psychologique ou fraude psychologique. L'office Québécois de la langue Française ne recommande pas en 2021 l'appellation « ingénierie sociale » car elle ne met pas l'accent sur la notion de tromperie.

Par exemple, un intrus peut se faire passer pour un employé du service d'assistance informatique et demander aux utilisateurs des données, telles que des noms d'utilisateur et des mots de passe. Il est surprenant de voir combien de personnes donnent cette information sans réfléchir, surtout si elle semble avoir été demandée par un fonctionnaire.

En d’autres termes, l’ingénierie sociale consiste à tromper les gens afin de les manipuler pour obtenir des informations, des données ou pour amener les utilisateurs à divulguer leurs informations ou leurs données.

A ne pas confondre avec le diplôme d'état d'ingénierie sociale qui forme des experts des politiques sociales, de l'action sociale et médico-sociale. Chargé de mission, chargé d'études ou conseiller technique, le titulaire du DEIS, utilise ses connaissances à la fois professionnelles et pluridisciplinaires pour analyser les questions sociales et politiques, proposer des programmes complexes, les évaluer et les mettre en oeuvre.

Les possibiles types d'attaques

Il existe différents types d’attaques d’ingénierie sociale et il est important de comprendre comment cela fonctionne afin de s'en protéger. Une fois le mode opératoire général défini, l’identification des attaques d’ingénierie sociale est beaucoup plus facile.

L'appât

Les techniques de leurre consistent à créer des pièges, tels que des clés USB contenant des logiciels malveillants. Lorsque quelqu'un est curieux de voir ce qu'il y a sur le disque, il connecte le disque à une clé USB, ce qui peut entraîner une contamination du système. Il existe effectivement une clé USB qui permet de compromettre votre ordinateur. Une fois branché, il se charge depuis la clé USB et libère de l'énergie sous la forme d'une violente surtension pouvant endommager l'appareil sur lequel il est branché. (Une telle clé USB coûte 54 $.)

Le prétexte

Cette attaque utilise des excuses pour attirer l’attention et inciter les victimes à fournir des informations. Par exemple, une enquête sur Internet peut paraître totalement innocente au premier abord, mais peut ensuite donner lieu à des demandes de coordonnées bancaires. La personne qui tient le presse-papiers peut également se présenter et vous dire qu'elle effectue une vérification interne du système. Cependant, elle n’est peut-être pas celle qu’elle prétend être et essaie de vous voler des informations précieuses.

Récupérée de « https://institut.design/DesignWiki/wiki/index.php?title=Ingénierie_sociale_(sécurité_de_l%27information)&oldid=319 »