« Social engineering » : différence entre les versions

De Wiki du LAMA (UMR 5127)
Aller à la navigation Aller à la recherche
Aucun résumé des modifications
mAucun résumé des modifications
Ligne 1 : Ligne 1 :
Auteur : Aurélien SENGER
Auteurs : Aurélien SENGER et Jérémy Manceaux


Le social engineering (ou Ingénierie sociale) est un pratique qui a pour but de soutirer des information à une personne, ou de la faire agir, en tirant partie de sa crédulité, de son inexpérience, ou de sa négligence.<br/>
Le social engineering (ou Ingénierie sociale) est un pratique qui a pour but de soutirer des information à une personne, ou de la faire agir, en tirant partie de sa crédulité, de son inexpérience, ou de sa négligence.<br/>

Version du 18 juin 2017 à 10:41

Auteurs : Aurélien SENGER et Jérémy Manceaux

Le social engineering (ou Ingénierie sociale) est un pratique qui a pour but de soutirer des information à une personne, ou de la faire agir, en tirant partie de sa crédulité, de son inexpérience, ou de sa négligence.
Cette science sociale tire parti du fait que les gens prennent des décisions sans connaitre toutes les informations et prennent des raccourcis dans leur chemin de réflexion.
De ces raccourcis découlent plusieurs types d'attaques.


La Réciprocité

Ce principe est simple : Il faut rendre ce que l'on nous donne. L'exemple le plus commun serait le pourboire que l'on donne à un serveur au restaurant si on a été content de son service.
Pour recevoir, il faut être le premier à donner. plus l'offre de départ est inattendue et personnalisée, plus les chances de succès sont grandes.
Par exemple si une société nous envoie un courrier personnalisé avec un "cadeau", il y a plus de chance que l'on commande que si on avait simplement reçu une publicité.

La Rareté

Ce principe se base sur le fait que les gens veulent ce qui est rare, difficile à obtenir, ce dont il y a le moins.
Pour que l'approche de la rareté fonctionne, il faut non seulement parler des bénéfices à accepter, mais aussi à quel point ce que l'on propose est unique et ce que l'on pourrait perdre à passer à côté.

L'Argument d'autorité

Les gens sont prêts à suivre ou croire quelqu'un qui détient des connaissances, ce qui est normal. Il s'agit donc de se faire présenter sois-même ou un tiers comme une personnes experte, ou ayant un pouvoir de décision afin que la victime soit plus enclin a effectué l'action voulue par l'attaquant.
Par exemple, une personne va se faire passer pour un expert en sécurité et va inciter sa victime à installer un logiciel. Ce logiciel peut être un logiciel malveillant qui pourra servir à récupérer des informations sur la machine de la victime ou encore en prendre le contrôle total.

La Cohérence

Les gens veulent être cohérents. S'il disent ou font quelque chose, ils continueront a faire ou dire des choses dans le même sens. Pour atteindre son objectif, il faut donc les inciter a agir un tout petit peu dans son sens, et augmenter petit à petit l'impacte des demandes. Plus l'action initiale aura été faite volontairement, plus les chances de succès seront augmentées. Un autre facteur influence l'efficacité, c'est le caractère publique de l'action. Si cette dernière est publiquement remarquable, la cible sera plus prompt à agir dans le sens de l'action initiale.

L'Affection

Naturellement, les gens disent plus facilement oui à quelqu'un qu'ils apprécient. Afin de se faire apprécier, il y a trois principales raisons :

  • Les gens apprécient ceux qui leur sont similaires (mêmes goût artistiques, expériences similaires, connaissances communes)
  • Les gens apprécient ceux qui les complimente
  • Les gens apprécient ceux qui coopèrent

Avant de négocier ou de demander quelque chose, il faut donc chercher à se faire apprécier via l'un de ces trois moyen en échangeant, en trouvant des points communs avec notre interlocuteur, et en lui faisant des compliments.

Le Consensus

Les gens s’intéressent aux actions des autres pour eux-même agir. Il est par exemple plus facile de prendre un décision si c'est la décision que prennent la majorité des gens que l'on connait.
Pour amener quelqu'un a faire quelque chose, il faut donc lui dire que c'est ce que font la majorité des gens.
Il est préférable et plus efficace même de dire que c'est ce que font la majorité des gens dans exactement la même situation. La personne va plus facilement s'identifier et prendre la décision qui convient


Bilan

En informatique le social engineering est un enjeu de taille, car les informations valent très cher. par exemple récupérer un mot de passe professionnel afin d'accéder à des documents confidentiels de société pour les revendre est une bonne motivation pour nombre de personnes malveillantes.
De plus la plupart des approches ne coûtent rien (écrire et envoyer un faux mail ou se faire passer pour quelqu'un d'autre au téléphone, prendre quelqu'un par les sentiment ou lui montrer pourquoi il devrait accepter).
Il est donc primordial d'éduquer les utilisateurs afin qu'ils ne fassent pas confiance au premier email venu qui aurait l'air d'un mail du DSI (Directeur des Systèmes d’information) par exemple.
Il faut leur apprendre à se méfier de tout comme l'ont montrés les différentes propagations de virus via des mails ayant l'apparence de factures fournisseurs ou autres