www.wondershare.com

LOGO

Ingénierie socialeSécurité informatique

Kessraoui Habiba

Ingenieur informatique

Ecole nationale supérieure d’ingènieur de Tunis (ENSIT)

plan

Présentation de l’ingénierie sociale introduction définition

Méthodes de l’ingénierie sociale (cibles et attaques) Exemples classiques d’attaques techniques d’attaques Protection contre cette ingénierie techniques conseils

conclusion

plan

Présentation de l’ingénierie sociale introduction définition

Méthodes de l’ingénierie sociale (cibles et attaques) Exemples classiques d’attaques techniques d’attaques

Protection contre cette ingénierie techniques conseils

conclusion

LOGO

Présentation de l’ingénierie sociale

introduction

Avant d'entrer dans le monde de l'ingénierie sociale, il faut savoir que celle-ci est l’une des outils de piratage les plus simple et les plus facile à faire et peut être utilisé partout, à tout moment, et partout le monde.

En fait , c’est une technique qui n’utilise pas l’outil

informatique , mais des moyens de communications plus « traditionnels »,comme le téléphone et même le contact direct,

en exploitant la confiance, l’ignorance ou la crédulité de tierces personnes.

LOGO

Présentation de l’ingénierie sociale

Définition Le Social Engineering dit SE est une technique de manipulation psychologique humaine qui sert à obtenir "invisiblement" des informations d'une personne

ciblée.

Cela nécessite pas d'énormes connaissances informatiques, mais nécessite de s'adapter à la victime suivant le type de l'attaque du SE:

niveau de langage, apparence, charisme, persuasion, savoir mentir c'est-à-dire apprendre à exploiter les failles humaines :

confiance, manque d'informations).

 Il s’agit d’exploiter le facteur humain qui peut être considéré dans certains cas comme un maillon faible de la sécurité du système d’information.

LOGO

Définition L’ingénierie sociale selon plusieurs est : 

l'art et la science d'amener les gens à se conformer à vos désirs .

l’art de la manipulation, de la supercherie et de l’influence .

l'art de manipuler les gens en effectuant des actions ou divulguer des informations confidentielles .

Présentation de l’ingénierie sociale

l'ingénierie sociale repose sur l'incapacité des gens à faire face à une culture qui repose en grande partie sur les technologies de l'information. Les ingénieurs sociaux reposent sur le fait que les gens ne sont pas conscients de la valeur de l'information qu'elles possèdent et qui sont peu soucieux de la protéger.

plan

Présentation de l’ingénierie sociale introduction définition

Méthodes de l’ingénierie sociale(cibles et attaques) Exemples classiques d’attaques techniques d’attaques

Protection contre cette ingénierie techniques conseils

conclusion

LOGO

Méthodes d’ingénierie sociale(cibles et attaques)

Quelques exemples classiques Pour comprendre le fonctionnement des attaques d’ingénierie sociale, imaginez les scénario suivant :

Approche personnel:

une  personne (appelons-la Jean),  prétendant travailler pour le service facturation, appelle un « collègue » (la victime) du service client. Il affirme qu’il est en ligne avec une cliente très importante (Marie,  par exemple).La cliente, Marie, demande des informations sur son dossier qu’il ne peut lui indiquer en raison d’un problème avec son ordinateur. Il n’est donc pas en mesure de la renseigner. Jean demande alors à son collègue (la victime) s’il peut, par hasard, l’aider.La victime se sent désolée pour « ce collègue qui a besoin d’aide » et fournira sans doute des données confidentielles à l’imposteur. 

 

LOGO

Quelques exemples classiques Dans une entreprise:

à l’entrée de votre entreprise, vous croisez un homme portant des paquets qui semblent lourds. Vous en déduisez immédiatement qu’il s’agit d’un livreur. Il vous demande de lui ouvrir la porte puisqu’il ne parvient pas à saisir le badge qui se trouve dans sa poche. Vous n’hésitez pas une seconde et le faites entrer dans l’entreprise. Puisque rien ne vous a semblé suspect, vous ne  regarderez sans doute pas où il va, ne le suivrez pas et ne penserez plus à lui dès qu’il aura quitté votre champ de vision. Une fois dans l’entreprise, l’intrus peut se diriger vers une salle de conférence, sortir son ordinateur portable soigneusement caché dans l’un de ses paquets, se connecter au réseau derrière le pare-feu de l’entreprise et extraire des données. En quelques minutes, il a quitté le bâtiment avec des données sensibles.  

Méthodes d’ingénierie sociale(cibles et attaques)

LOGO

Méthodes d’ingénierie sociale

(cibles et attaques)Techniques d’attaque Les objectifs fondamentaux de l'ingénierie sociale sont les mêmes que le

piratage ,même si les techniques sont différentes , en général c’est obtenir un accès non autorisé à des systèmes ou des informations en vue de:

Les attaques d'ingénierie sociale se déroulera sur deux niveauxi. le physiqueii. le psychologique

commettre une fraude(faire une action malhonnête dans l’intension de tromper)

intrusion réseau(s’introduire dans un réseau sans y être invités)

l'espionnage industriel (moyens utilisés pour découvrir les secrets d'un concurrent industriel en matière de conception, de fabrication ou de production )

le vol d'identité. ou tout simplement de perturber le système ou le réseau.

LOGO

Méthodes d’ingénierie sociale

(cibles et attaques)Techniques d’attaque Nous allons nous concentrer sur le cadre physique de ces

attaques: Menaces en ligne (Internet)Support physiques la gestion des déchets (votre poubelle)l’ingénierie sociale inversePar téléphone1. MENACES EN LIGNE

L'Internet est un terrain fertile pour les ingénieurs sociaux qui cherchent à récolter les mots de passe . Phishing ou bien L'hameçonnage  - faux e-mails , les chats ou les sites

Web conçus pour envahir l'identité des systèmes réels dans le but de capturer des données sensibles):

•Technique utilisée par les voleurs en ligne, visant à envahir l'identité d'une personne ou d'une entité connue.• Le principe est  un internaute reçoit un email non sollicité (spam) à l'habillage

d'une entité connue (portail, banque, etc.). 

LOGO

Méthodes d’ingénierie sociale

(cibles et attaques)Techniques d’attaque • L'objectif est d'attirer l'internaute sur un faux site afin de mettre à jour ses

informations personnelles (carte bancaire, numéro de téléphone...).• Ces informations, saisies dans un faux formulaire, sont alors utilisées de

façon inadéquate par des escrocs(voleurs).Toutefois, à y regarder de plus près, vous pouvez constater deux différences :1. Le texte du message indique

que le site est sécurisé, en utilisant https, bien que l'info-bulle de lien hypertexte indique que le site utilise en fait http.

2. Le nom de la société dans le message est « Contoso », mais le lien dirige vers une société appelée « Comtoso ».

LOGO

Méthodes d’ingénierie sociale

(cibles et attaques)Techniques d’attaque

Messagerie instantanée est un moyen de communications relativement récent, mais elle a gagné une grande popularité .Ainsi la spontanéité et la familiarité de la messagerie instantanée en font un vaste terrain de chasse pour les attaques d'ingénierie sociale. Bien entendu, la messagerie instantanée représente aussi un autre moyen de demander simplement des informations.  En fait les deux principales attaques lancées par messagerie instantanée sont:

l'intrusion (intervention) de liens vers des logiciels malveillants et de fichiers réels.

le caractère informel de la messagerie instantanée,Son caractère interactif, ainsi que le choix d'utiliser un pseudonyme, impliquent que vos interlocuteurs ne sont pas forcément ceux qu'ils prétendent être, ce qui augmente les risques d'usurpation d'identité.

Le pirate invite un utilisateur à cliquer sur un lien ou à ouvrir une pièce jointe pour télécharger son programme qui utilise les ressources réseau de l'entreprise.

LOGO

Méthodes d’ingénierie sociale

(cibles et attaques)Techniques d’attaque dans le domaine de la sécurité et obtenir des arachides payés, donc ils ont tendance à répondre aux questions et passer à l'appel suivant. Cela peut créer un trou de sécurité énorme.

L'ingénierie sociale inverse désigne une situation dans laquelle la cible effectue l'approche initiale et communique au pirate les informations dont il a besoin. Par exemple, le support technique ne demande jamais l'ID utilisateur ou le mot de passe de l'appelant, car ils peuvent résoudre les problèmes sans ces informations. Certains utilisateurs communiquent spontanément ces éléments de sécurité essentiels pour accélérer la résolution de leurs problèmes informatiques. Le pirate n'a même pas besoin de les demander. 

1. L’INGÉNIERIE SOCIALE INVERSE

LOGO

Méthodes d’ingénierie sociale

(cibles et attaques)Techniques d’attaque Nous allons passons enfin aux attaques dans le cadre

psychologique : Les approches personnels

Le moyen le plus simple pour un pirate d'obtenir des informations est de les demander directement. Cette approche peut paraître grossière et évidente, mais elle a toujours été à l'origine des abus de confiance. Quatre approches principales se révèlent efficaces pour les pirates :

1. LES APPROCHES PERSONNELS:

•L'intimidation. Cette approche peut impliquer l'usurpation de l'identité d'une autorité pour obliger une cible à répondre à une demande.•La persuasion. Les formes les plus courantes de persuasion comprennent la flatterie ou l'utilisation de noms.•La relation de confiance. Cette approche constitue généralement un stratagème à plus long terme, par lequel un subordonné ou un collègue établit une relation pour gagner la confiance d'une cible et, finalement, obtenir des informations.•L'assistance. Dans cette approche, le pirate propose de l'aide à la cible. L'assistance exigera au final que la cible divulgue des informations personnelles qui permettront au pirate de voler son identité.

•L'intimidation. Cette approche peut impliquer l'usurpation de l'identité d'une autorité pour obliger une cible à répondre à une demande.•La persuasion. Les formes les plus courantes de persuasion comprennent la flatterie ou l'utilisation de noms.•La relation de confiance. Cette approche constitue généralement un stratagème à plus long terme, par lequel un subordonné ou un collègue établit une relation pour gagner la confiance d'une cible et, finalement, obtenir des informations.•L'assistance. Dans cette approche, le pirate propose de l'aide à la cible. L'assistance exigera au final que la cible divulgue des informations personnelles qui permettront au pirate de voler son identité.

•L'intimidation. Cette approche peut impliquer l'usurpation de l'identité d'une autorité pour obliger une cible à répondre à une demande.•La persuasion. Les formes les plus courantes de persuasion comprennent la flatterie ou l'utilisation de noms.•La relation de confiance. Cette approche constitue généralement un stratagème à plus long terme, par lequel un subordonné ou un collègue établit une relation pour gagner la confiance d'une cible et, finalement, obtenir des informations.•L'assistance. Dans cette approche, le pirate propose de l'aide à la cible. L'assistance exigera au final que la cible divulgue des informations personnelles qui permettront au pirate de voler son identité.

•L'intimidation. Cette approche peut impliquer l'usurpation de l'identité d'une autorité pour obliger une cible à répondre à une demande.•La persuasion. Les formes les plus courantes de persuasion comprennent la flatterie ou l'utilisation de noms.•La relation de confiance. Cette approche constitue généralement un stratagème à plus long terme, par lequel un subordonné ou un collègue établit une relation pour gagner la confiance d'une cible et, finalement, obtenir des informations.•L'assistance. Dans cette approche, le pirate propose de l'aide à la cible. L'assistance exigera au final que la cible divulgue des informations personnelles qui permettront au pirate de voler son identité.

•L'intimidation. Cette approche peut impliquer l'usurpation de l'identité d'une autorité pour obliger une cible à répondre à une demande.•La persuasion. Les formes les plus courantes de persuasion comprennent la flatterie ou l'utilisation de noms.•La relation de confiance. Cette approche constitue généralement un stratagème à plus long terme, par lequel un subordonné ou un collègue établit une relation pour gagner la confiance d'une cible et, finalement, obtenir des informations.•L'assistance. Dans cette approche, le pirate propose de l'aide à la cible. L'assistance exigera au final que la cible divulgue des informations personnelles qui permettront au pirate de voler son identité.

•L'intimidation. Cette approche peut impliquer l'usurpation de l'identité d'une autorité pour obliger une cible à répondre à une demande.•La persuasion. Les formes les plus courantes de persuasion comprennent la flatterie ou l'utilisation de noms.•La relation de confiance. Cette approche constitue généralement un stratagème à plus long terme, par lequel un subordonné ou un collègue établit une relation pour gagner la confiance d'une cible et, finalement, obtenir des informations.•L'assistance. Dans cette approche, le pirate propose de l'aide à la cible. L'assistance exigera au final que la cible divulgue des informations personnelles qui permettront au pirate de voler son identité.

•L'intimidation. Cette approche peut impliquer l'usurpation de l'identité d'une autorité pour obliger une cible à répondre à une demande.•La persuasion. Les formes les plus courantes de persuasion comprennent la flatterie ou l'utilisation de noms.•La relation de confiance. Cette approche constitue généralement un stratagème à plus long terme, par lequel un subordonné ou un collègue établit une relation pour gagner la confiance d'une cible et, finalement, obtenir des informations.•L'assistance. Dans cette approche, le pirate propose de l'aide à la cible. L'assistance exigera au final que la cible divulgue des informations personnelles qui permettront au pirate de voler son identité.

•L'intimidation. Cette approche peut impliquer l'usurpation de l'identité d'une autorité pour obliger une cible à répondre à une demande.•La persuasion. Les formes les plus courantes de persuasion comprennent la flatterie ou l'utilisation de noms.•La relation de confiance. Cette approche constitue généralement un stratagème à plus long terme, par lequel un subordonné ou un collègue établit une relation pour gagner la confiance d'une cible et, finalement, obtenir des informations.•L'assistance. Dans cette approche, le pirate propose de l'aide à la cible. L'assistance exigera au final que la cible divulgue des informations personnelles qui permettront au pirate de voler son identité.

•L'intimidation. Cette approche peut impliquer l'usurpation de l'identité d'une autorité pour obliger une cible à répondre à une demande.•La persuasion. Les formes les plus courantes de persuasion comprennent la flatterie ou l'utilisation de noms.•La relation de confiance. Cette approche constitue généralement un stratagème à plus long terme, par lequel un subordonné ou un collègue établit une relation pour gagner la confiance d'une cible et, finalement, obtenir des informations.•L'assistance. Dans cette approche, le pirate propose de l'aide à la cible. L'assistance exigera au final que la cible divulgue des informations personnelles qui permettront au pirate de voler son identité.

•L'intimidation. ..le chantage. •La relation de confiance.•L'assistance: Dans cette approche, le pirate propose de l'aide à la cible. L'assistance exigera au final que la cible divulgue des informations personnelles qui permettront au pirate de voler son identité.

plan

Présentation de l’ingénierie sociale introduction définition

Méthodes de l’ingénierie sociale (cibles et attaques) Exemples classiques d’attaques techniques d’attaques Protection contre cette ingénierie techniques conseils

conclusion

LOGO

protection contre l’ingénierie socialetechniques

 1. Développez un environnement de gestion de la sécurité. Vous devez définir un ensemble d'objectifs de sécurité contre l'ingénierie sociale ainsi

que les employés responsables de la réalisation de ces objectifs.

2. Effectuez une évaluation de la gestion des risques Des menaces similaires ne présentent pas le même niveau de risque pour

différentes entreprises. Vous devez passer en revue toutes les menaces d'ingénierie sociale et rationaliser le danger qu'elles présentent pour votre

organisation.

3. Implémentez des défenses contre l'ingénierie sociale dans votre stratégie de sécurité.

Développez un ensemble de stratégies et de procédures écrites qui stipulent comment vos employés doivent gérer des situations considérées comme des

LOGO

protection contre l’ingénierie socialetechniques

attaques d'ingénierie sociale. Cette mesure suppose l'existence d'une stratégie de sécurité, en dehors de la menace représentée par l'ingénierie sociale. Si actuellement vous ne

disposez pas de stratégie de sécurité, vous devez en élaborer une. Les éléments identifiés par votre évaluation des risques d'ingénierie sociale constitueront un bon

début, mais vous devrez analyser les autres dangers potentiels.

LOGO

protection contre l’ingénierie sociale

conseils La meilleure façon de se protéger des techniques

d'ingénierie sociale est d'utiliser son bon sens pour ne pas divulguer à n'importe qui des informations pouvant nuire à la sécurité de l'entreprise.

Il est ainsi conseillé, quel que soit le type de renseignement demandé :

de se renseigner sur l'identité de son interlocuteur en lui demandant des informations précises (nom et prénom, société,

numéro de téléphone) de vérifier éventuellement les renseignements fournis de s'interroger sur la criticité des informations

demandées.

plan

Présentation de l’ingénierie sociale introduction définition

Méthodes de l’ingénierie sociale (cibles et attaques) Exemples classiques d’attaques techniques d’attaques Protection contre cette ingénierie techniques conseils

conclusion

LOGO

conclusion

 

On peut conclure finalement que l’ingénierie sociale est une sorte d’attaque très puissant ,pourtant qu’il ne s’appuie pas

beaucoup sur des notion informatique.

Bien sûr, aucun sujet traitant l’ingénierie sociale est complet sans la mention de Kevin Mitnick, l’ ancien hacker américain et l’écrivain de livre  L'art de la supercherie, donc je vais conclure

avec une citation de lui à partir d'un article paru dans Security Focus :

"Vous pouvez passer d'une technologie et des services d'achat fortune ... et

votre infrastructure réseau pourrait demeurent vulnérables à l'ancienne manipulation "

LOGO

 

MERCI POUR VOTRE ATTENTION