Qu’est-ce que c’est ?

L’ingénierie sociale est basée sur l’utilisation de la force de persuasion et l’exploitation de la naïveté des utilisateurs en se faisant passer pour une personne de la maison, un administrateur système, le plombier etc ...

En somme, le social engineering ou ingénierie sociale est l’art de manipuler une personne pour obtenir des informations que cette dernière ne devrait pas donner ou divulguer. Les méthode sont nombreuses et les pirates utilisent des outils classiques tels que :
 le téléphone
 le courrier électronique
 le courrier classique
 le contact direct

Comment ?

L’une des méthodes de social engineering les plus connues est le phishing. Par exemple il consiste pour le pirate à vous envoyer un courrier vous informant que votre compte de messagerie risque d’être fermé. Pour éviter cela il vous demande de fournir vos noms, prénoms, email et bien sûr votre mot de passe. Beaucoup d’internautes se font encore avoir par ce type de tromperie.

Le phishing n’est pas la seule technique, il en existe pleins d’autres plus ou moins astucieuses.

Comment se protéger ?

La meilleure solution est la sensibilisation des utilisateurs dans le cadre d’une entreprise. Il existe également des solutions de protection matérielles pour pallier les erreurs humaines. Il existe des systèmes pour détecter les tentatives de manipulation. Ces systèmes sont capables de bloquer alors l’action effectuée par un utilisateur imprudent. Selon le système utilisé, l’utilisateur peut être informé et des informations lui seront données par l’application concernant la technique utilisée et la conduite à tenir la prochaine fois.

Informations importantes

La plupart des antivirus intègrent un détecteur de phishing ainsi que d’autres tentatives de manipulation de l’utilisateur. Mais attention, les pirates sont toujours en avance, l’antivirus n’est pas toujours suffisant, malheureusement.

Attention ! La sécurité 100% n’existe pas. Toute sécurité peut être violée, cela dépend des moyens mis par l’attaquant et du temps dont il dispose. Le but de la sécurité est justement de faire en sorte qu’un éventuel attaquant soit découragé par les moyens à mettre en œuvre ou la durée de l’attaque ou les deux.
Il est vrai que la sécurité à 100% n’existe pas, mais il existe des sécurités efficaces. Exemple : personne n’a encore trouvé la formule secrète pour fabriquer du coca-cola.

Matière à réflexion

Toute mesure de sécurité doit tenir compte de la valeur du bien protégé, des menaces réelles, des vulnérabilités et de la probabilité de survenance d’un risque.
Si l’impact d’une menace est très grande et que la probabilité de survenance est nulle, il ne faut pas dépenser beaucoup d’argent pour s’en protéger.
Exemple : La mairie de Ouagadougou ne doit pas dépenser beaucoup d’argent pour se protéger des effets d’une tempête de neige.

Younoussa SANFO

Plus d’info sur http://www.intrapole.com