« Social engineering » : différence entre les versions

De Wiki du LAMA (UMR 5127)
Aller à la navigation Aller à la recherche
Ligne 26 : Ligne 26 :


== L'Affection ==
== L'Affection ==
Naturellement, les gens disent plus facilement oui à quelqu'un qu'ils apprécient.
Afin de se faire apprécier, il y a trois principales raisons :
-Les gens apprécient ceux qui leur sont similaires (mêmes goût artistiques, expériences similaires, connaissances communes)
-Les gens apprécient ceux qui les complimente
-Les gens apprécient ceux qui coopèrent
Avant de négocier ou de demander quelque chose, il faut donc chercher à se faire apprécier via l'un de ces trois moyen en échangeant, en trouvant des points communs avec notre interlocuteur, et en lui faisant des compliments.


== Le Consensus ==
== Le Consensus ==

Version du 9 juin 2017 à 19:56

Le social engineering (ou Ingénierie sociale) est un pratique qui a pour but de soutirer des information à une personne, ou de la faire agir, en tirant partie de sa crédulité, de son inexpérience, ou de sa négligence. Cette science sociale tire parti du fait que les gens prennent des décisions sans connaitre toutes les informations et prennent des raccourcis dans leur chemin de réflexion. De ces raccourcis découlent plusieurs types d'attaques.


La Réciprocité

Ce principe est simple : Il faut rendre ce que l'on nous donne. L'exemple le plus commun serait le pourboire que l'on donne à un serveur au restaurant si on a été content de son service. Pour recevoir, il faut être le premier à donner. plus l'offre de départ est inattendue et personnalisée, plus les chances de succès sont grandes. par exemple si une société nous envoie un courrier personnalisé avec un "cadeau", il y a plus de chance que l'on commande que si on avait simplement reçu une publicité.

La Rareté

Ce principe se base sur le fait que les gens veulent ce qui est rare, difficile à obtenir, ce dont il y a le moins. Pour que l'approche de la rareté fonctionne, il faut non seulement parler des bénéfices à accepter, mais aussi à quel point ce que l'on propose est unique et ce que l'on pourrait perdre à passer à côté.

L'Argument d'autorité

Les gens sont prêts à suivre ou croire quelqu'un qui détient des connaissances, ce qui est normal. Il s'agit donc de se faire présenter sois-même ou un tiers comme une personnes experte, ou ayant un pouvoir de décision afin que la victime soit plus enclin a effectué l'action voulue par l'attaquant par exemple, une personne va se faire passer pour un expert en sécurité et va inciter sa victime à installer un logiciel. Ce logiciel peut être un logiciel malveillant qui pourra servir à récupérer des informations sur la machine de la victime ou encore en prendre le contrôle total.

La Cohérence

Les gens veulent être cohérents. S'il disent ou font quelque chose, ils continueront a faire ou dire des choses dans le même sens. Pour atteindre son objectif, il faut donc les inciter a agir un tout petit peu dans son sens, et augmenter petit à petit l'impacte des demandes. Plus l'action initiale aura été faite volontairement, plus les chances de succès seront augmentées. Un autre facteur influence l'efficacité, c'est le caractère publique de l'action. Si cette dernière est publiquement remarquable, la cible sera plus prompt à agir dans le sens de l'action initiale.

L'Affection

Naturellement, les gens disent plus facilement oui à quelqu'un qu'ils apprécient. Afin de se faire apprécier, il y a trois principales raisons : -Les gens apprécient ceux qui leur sont similaires (mêmes goût artistiques, expériences similaires, connaissances communes) -Les gens apprécient ceux qui les complimente -Les gens apprécient ceux qui coopèrent Avant de négocier ou de demander quelque chose, il faut donc chercher à se faire apprécier via l'un de ces trois moyen en échangeant, en trouvant des points communs avec notre interlocuteur, et en lui faisant des compliments.

Le Consensus

En informatique le social engineering est un enjeu de taille, car les informations valent très cher. par exemple récupérer un mot de passe professionnel afin d'accéder à des documents confidentiels de société pour les revendre est une bonne motivation pour nombre de personnes malveillantes. Il est donc primordial d'éduquer les utilisateurs afin qu'ils ne fassent pas confiance au premier email venu qui aurait l'air d'un mail du DSI (Directeur des Systèmes d’information) par exemple.