Social engineering : l'art de l'influence et de la manipulation
-
Upload
christophe-casalegno -
Category
Technology
-
view
425 -
download
3
description
Transcript of Social engineering : l'art de l'influence et de la manipulation
![Page 1: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/1.jpg)
Social EngineeringL'art de l'influence et de la manipulation
Christophe CasalegnoGroupe Digital Network
![Page 2: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/2.jpg)
Social Engineering
Le social engineering ou ingénierie sociale est un ensemble de méthodes et de techniques permettant au travers d'une approche relationnelle basée sur l'influence et la manipulation, d'obtenir l'accès à un système d'information ou à des informations confi-dentielles.
![Page 3: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/3.jpg)
Social Engineering
Dans la pratique, le pirate exploitera les vulnérabili-tés humaines et sa connaissance de la cible, de ses clients ainsi que de ses fournisseurs et sous-trai-tants en utilisant :
la manipulation, la supercherie et l'influence
Pour son exploitation, le pirate pourra utiliser tout média à sa disposition : rencontre IRL, téléphone, email, messagerie instantanée, réseaux sociaux...
![Page 4: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/4.jpg)
Social Engineering
CONNAÎTRE LA CIBLEAnalyser la cible dans ses moindres détails
![Page 5: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/5.jpg)
Social Engineering
INTERNETUne source d'informations inépuisable
![Page 6: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/6.jpg)
Social Engineering
- Sites de la cible, des clients, partenaires, fournisseurs
- Réseaux sociaux (Facebook, Twitter, Foursquare...)
- Réseaux sociaux professionnels (Linkedin, Viadeo, Xing...)
- Forums, listes de discussion messageries instantanées
- Blogs, sites de rencontre, plateformes de recrutements...
- Sites spécialisés ( infogreffes, societe.com, inpi...)●
![Page 7: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/7.jpg)
Social Engineering
IRL / IN REAL LIFEDans la vie réelle
![Page 8: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/8.jpg)
Social Engineering
- Le Trashing (la fouille des poubelles)
- Le « sondage » téléphonique
- Le rendez vous commercial
- L'entretien d'embauche (Je postule)
- L'entretien d'embauche (je recherche)
- L'écoute passive (TGV, Restaurant, Bar, etc...)
![Page 9: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/9.jpg)
Social Engineering
Il est dans la nature humaine de croire nos semblables, en particulier lorsqu'ils formulent des
demandes qui paraissent raisonnables
![Page 10: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/10.jpg)
Social Engineering
S'ATTAQUER AU MAILLON FAIBLEUne chaîne n'est jamais plus solide que son maillon
le plus faible
![Page 11: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/11.jpg)
Social Engineering
INSTAURER LA CONFIANCELa démarche doit paraître ordinaire
Parfaite maîtrise du jargon
![Page 12: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/12.jpg)
Social Engineering
LAISSEZ MOI VOUS AIDERNous avons toujours tendance à vouloir rendre la
pareille à celui qui nous rend service
![Page 13: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/13.jpg)
Social Engineering
POUVEZ VOUS M'AIDER ?Il est gratifiant d'aider quelqu'un et de se sentir
remercié et valorisé (aide, compétences...)
![Page 14: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/14.jpg)
Social Engineering
UTILISER L'AUTORITELa hiérarchie dans les grands groupes, l'armée ou les administrations est rarement remise en cause
![Page 15: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/15.jpg)
Social Engineering
J'ORDONNE, TU OBEISJe suis l'autorité.
![Page 16: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/16.jpg)
Social Engineering
J'ORDONNE, TU OBEISJ'agis sur demande de l'autorité
![Page 17: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/17.jpg)
Social Engineering
J'ORDONNE, TU OBEISJe suis l'autorité et je crédibilise celui qui va agir sur
demande de l'autorité
![Page 18: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/18.jpg)
Social Engineering
DONNER L'ILLUSION DU CHOIXLes gens seront plus prompt à accepter votre demande si vous leur donnez l'illusion du choix
![Page 19: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/19.jpg)
Social Engineering
LUI FAIRE DIRE « OUI »Les gens seront plus prompt à accepter votre
demande si vous leur faite accepter une première demande anodine
![Page 20: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/20.jpg)
Social Engineering
LUI FAIRE DIRE « NON »Les gens seront plus prompt à accepter une
seconde demande raisonnable si la première est démesurément inacceptable
![Page 21: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/21.jpg)
Social Engineering
ADAPTER SA TECHNIQUELa sympathie, l'autorité, le charme la réciprocité...
![Page 22: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/22.jpg)
Social Engineering
COMBINER LES TECHNIQUESLa technique et le social engineering font toujours
bon ménage... avec la cible.
![Page 23: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/23.jpg)
Social Engineering
LA SUPERCHERIEUsurper une identité, tromper la vigilance...
![Page 24: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/24.jpg)
Social Engineering
- Se faire passer pour un fournisseur, un partenaire
- Se faire passer pour un collègue
- Se faire passer pour un supérieur hiérarchique
- Se faire passer pour une administration
- Se faire passer pour police/pompiers/gendarmerie
- Se faire passer pour un livreur (UPS/TNT/FEDEX...)
- Se faire passer pour le service technique / support
![Page 25: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/25.jpg)
Social Engineering
LA SUPERCHERIEChoisir le média le plus adapté à la cible...
![Page 26: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/26.jpg)
Social Engineering
- Le téléphone
- L'email
- La messagerie instantanée
- Le Fax
- Les réseaux sociaux
- La rencontre
- Un site web
![Page 27: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/27.jpg)
Social Engineering
EXEMPLES D'ATTAQUESQuelques exemples d'attaque...
![Page 28: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/28.jpg)
Social Engineering
Déguisé en livreur, l'attaquant apporte une clef USB piégée provenant d'un fournisseur (cadeau) : permet à la fois une attaque ciblée et donne la possibilité de mettre la pièce concernée sur écoute.
L'attaquant camouflé en candidat potentiel distribue son CV sur clef USB
La clef USB piégée est laissée sur le sol et en vue à proximité de la porte d'entrée de la cible.
![Page 29: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/29.jpg)
Social Engineering
Usurpant l'identité d'un fournisseur software de la cible, l'attaquant propose un patch pour corriger un bug ou une faille de sécurité
Usurpant l'identité de la société de service de main-tenance qui s'occupe des imprimantes de la cible, l'attaquant introduit un micro-programme malveillant dans le système d'information de la cible.
Usurpant l'identité de l'administrateur, l'attaquant demande à un user de changer son mot de passe.
![Page 30: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/30.jpg)
Social Engineering
● COMMENT SE PROTEGER ?
![Page 31: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/31.jpg)
Social Engineering
● FORMATION ET INFORMATION● La pédagogie est un élément essentiel
![Page 32: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/32.jpg)
Social Engineering
● FORMATION ET INFORMATION● Tout le monde est concerné
![Page 33: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/33.jpg)
Social Engineering
LES PROCEDURESProlongement de la politique de sécurité
![Page 34: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/34.jpg)
Social Engineering
LES PROCEDURESS'assurer du respect des procédures sécurité
![Page 35: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/35.jpg)
Social Engineering
LES PROCEDURESS'assurer que les autres respectent
les procédures
![Page 36: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/36.jpg)
Social Engineering
CLASSIFIER L'INFORMATIONLa classification de l'information doit faire partie
intégrante de la politique de sécurité
![Page 37: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/37.jpg)
Social Engineering
CLASSIFIER L'INFORMATIONConfidentielle, privée, interne ou publique ?
![Page 38: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/38.jpg)
Social Engineering
L'IDENTIFICATIONSuis-je sur de parler à la bonne personne ?
![Page 39: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/39.jpg)
Social Engineering
L'AUTHENTIFICATIONDispose t'elle bien des autorisations nécessaires ?
![Page 40: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/40.jpg)
Social Engineering
LA LEGITIMITELa demande de mon interlocuteur est elle légitime ?
![Page 41: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/41.jpg)
Social Engineering
GESTION DES COMMUNICATIONSDes procédures pour chaque média : email, fax, té-
léphone, messagerie instantanée, IRL...
![Page 42: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/42.jpg)
Social Engineering
SUPPRIMER LE MAILLON FAIBLELorsque le personnel n'est pas à même de réaliser l'évaluation nécessaire, cette dernière peut parfois
être automatisée
![Page 43: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/43.jpg)
Social Engineering
LES MOTS DE PASSEUn mot de passe est un secret entre l'utilisateur et
le système qui ne doit jamais être partagé.
![Page 44: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/44.jpg)
Social Engineering
REPENSER LA SECURITEIl est nécessaire de sensibiliser tout le monde
![Page 45: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/45.jpg)
Social Engineering
REPENSER LA SECURITELes règles ne suffisent pas
![Page 46: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/46.jpg)
Social Engineering
REPENSER LA SECURITEPenser aux affichages dans les zones de repos
![Page 47: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/47.jpg)
Social Engineering
REPENSER LA SECURITEFaire des encarts sur les factures, devis, etc.
![Page 48: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/48.jpg)
Social Engineering
REPENSER LA SECURITEFaire des rappels sur l'intranet, le crm, par email
![Page 49: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/49.jpg)
Social Engineering
REPENSER LA SECURITEAccompagner le bulletin de salaire avec les
dernières alertes sécurité et les règles à appliquer
![Page 50: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/50.jpg)
Social Engineering
REPENSER LA SECURITEUtiliser des autocollants comme rappels visuels
![Page 51: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/51.jpg)
Social Engineering
REPENSER LA SECURITEMettre un économiseur d'écran pour rappeler
l'importance de la sécurité
![Page 52: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/52.jpg)
Social Engineering
REPENSER LA SECURITEAfficher l'employé du mois, prévoir une
récompense...
![Page 53: Social engineering : l'art de l'influence et de la manipulation](https://reader034.fdocuments.fr/reader034/viewer/2022051314/555dff71d8b42a3f618b5309/html5/thumbnails/53.jpg)
Social Engineering
REPONDRE AUX OBJECTIONSLa confiance n'exclue pas le contrôle