« Ingenierie Sociale » : différence entre les versions

De wikilivois
Aller à la navigationAller à la recherche
 
m (1 version)
 
(Aucune différence)

Version actuelle datée du 28 mai 2012 à 20:31

L’« ingénierie sociale » ou la manipulation humaine.

Le maillon faible

Le vrai maillon faible de la sécurité, c’est le facteur humain. La sécurité n’est pas qu’un problème de technologies, c’est un problème de personnes et d’organisation. Aujourd’hui, les cartes de l’information sont redistribuées : les salariés ont accès à beaucoup plus d’information qu’hier.

Définition : On dit d’une personne qu’elle a recours à la manipulation de type « ingénierie sociale » lorsqu’elle utilise l’influence et la persuasion pour duper les gens en se faisant passer pour quelqu’un qu’elle n’est pas. In fine, le manipulateur sait exploiter autrui afin d’obtenir des renseignements, en s’aidant ou non de moyens technologiques.

Le cycle de la manipulation

Action Description
Recherche Peut porter sur des sources publiques telles que les informations qui se trouvent dans les rapports annuels, les brochures publicitaires, les communiqués de presse, le contenu du site Web. Autre source possible : les poubelles.
Mise en place d’un rapport de confiance Le manipulateur montre qu’il est « dans le coup », usurpe une identité, il mentionne des noms de collègues, et joue sur les sentiments « humains » de son interlocuteur. Par exemple, il appelle à l’aide ou fait valoir son autorité.
Exploitation de la confiance Le manipulateur demande à la victime de lui fournir des informations ou d’agir à sa place (ex : installation d’un cheval de Troie). Ou inversement, la victime est parfois manipulée de telle manière qu’elle demande de l’aide à l’assaillant.
Utilisation des informations Si les informations obtenues ne sont qu’une étape pour atteindre l’objectif final, l’assaillant répète les manœuvres précédentes du cycle jusqu’à ce que le but soit atteint.

Les populations ciblées

Type de cible Exemples
Individu qui ne connaît pas la valeur des informations Réceptionniste, standardiste, agent de sécurité, personnel de « base »
Individu qui a des privilèges spéciaux Employé du service d’assistante technique, administrateur système, opérateur de saisie, responsable télécoms
Fabricant/fournisseur Fabricant de matériel, éditeur de logiciels, fournisseur de systèmes de boîtes vocales
Service spécifique Comptabilité, ressources humaines

La prévention

« Ne jamais faire spontanément confiance à quiconque sans vérification préalable »

« Ne jamais hésiter à demander des justifications supplémentaires. »

Vérifier, vérifier, vérifier

  • vérifier l’identité : identifier son interlocuteur de manière sûre
  • vérifier les autorisations : vérifier que l’interlocuteur a le droit d’obtenir les informations qu’il demande

Classification des données

Plan de formation et d’information des salariés

Copyright

© 2006 Christophe de Livois

Tête de GNU Vous avez l'autorisation de copier, distribuer et/ou modifier ce document suivant les termes de la GNU Free Documentation License, Version 1.2 ou n'importe quelle version ultérieure publiée par la Free Software Foundation; sans section invariante, sans page de garde, sans entête et sans page finale. Pour plus d'informations consulter le site de l'APRIL.