Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

L’INGENIERIE SOCIALE SOMMAIRE I. L’ATTAQUE PAR INGENIERIE SOCIALE EXPLICATION I

L’INGENIERIE SOCIALE SOMMAIRE I. L’ATTAQUE PAR INGENIERIE SOCIALE EXPLICATION II. LES DIFFERENTES FORMES D’ATTAQUES PAR INGENIERIE SOCIALE III. UN EXEMPLE REEL IV. LES VULNERABILITES V. LES BONNES PRATIQUES L’ATTAQUE PAR INGENIERIE SOCIALE EXPLICATION Le principe de l’attaque par l’ingénierie sociale repose sur l’abus de confiance et des faiblesses humaines. Cela ouvre des brèches dont profitent les pirates. Le hacker va à la pêche aux informations pour piéger les victimes en manipulant les points sensibles : naïveté, émotions personnelles, centres d’intérêts, adresses e-mail et d’éventuelles failles d’organisation. La pression par le biais des appels téléphoniques, du courriel et des réseaux sociaux, est ensuite utilisée par les arnaqueurs pour obtenir les identifiants et les mots de passe. LES DIFFERENTES FORMES D’ATTAQUES PAR INGENIERIE SOCIALE Voici les 9 exemples les plus courants : 1. Hameçonnage : courriels, sites web ou textos trompeurs pour voler de l’information. 2. Harponnage (fraude du PDG) : courriels ciblés visant des personnes ou des entreprises. 3. Appâtage : attaque d’ingénierie sociale, en ligne et physique, qui promet à la victime une récompense ou un cadeau. 4. Maliciel : attaque qui fait croire qu’un maliciel a été installé sur l’ordinateur de la victime en lui offrant de payer pour le faire supprimer. 5. Faux-semblant : fausse identité pour tromper les victimes et soutirer de l’information. 6. Quiproquo : attaque utilisant un échange d’information ou de service pour convaincre la victime d’agir. 7. Talonnage : s’appuyant sur la confiance humaine pour donner au criminel l’accès physique à un édifice ou une zone sécurisée. 8. Hameçonnage vocal : message téléphonique qui semble urgent pour convaincre les victimes d’agir prestement pour éviter une arrestation ou d’autres risques. 9. Attaque par point d’eau : attaque d’ingénierie sociale sophistiquée qui infecte, par un logiciel malveillant, à la fois un site web et les internautes qui le visitent. Voici un exemple réel d’attaque par ingénierie sociale En 2007, un systèmes de sécurité a été contourné par les deux frères Eliser Mishali et Yehuda Mishali. Pour ce faire, il n’était pas nécessaire de recourir à des armes, à la violence ou à des dispositifs électroniques. Un homme a pris 28 millions de dollars en diamants à la banque ABM AMRO, basée en Belgique, en étant une personne charmante. Il est évident que ce type d’arme ne peut pas être acheté. Eliser qui se faisait passer pour un certain Carlos Héctor Flomenbaum, avait un passeport argentin qui avait été volé en Israël. Avec sa nouvelle identité, il a gagné la confiance des employés de la banque pendant un an. Alors qu’il se présentait comme un homme d’affaires prospère, le voleur s’est montré amical avec les employés de la banque en leur donnant des boîtes de chocolat. Un jour, ils lui ont donné accès aux boîtes de sécurité qui contenaient des pierres précieuses d’une valeur de 120 000 carats. Ce fut alors l’un des plus gros vols commis par une seule personne de l’histoire. Les Vulnérabilités L’ANSSI qui est l'autorité nationale en matière de sécurité et de défense des systèmes d’information définit l’ingénierie sociale comme une manipulation consistant à obtenir un bien ou une information, en exploitant la confiance, l’ignorance ou la crédulité de tierces personnes. Il y a de nombreuses vulnérabilités qui peuvent être utilisées par des hackers dans le cadre d’attaque par ingénierie sociale. Par exemple les fragilités humaines, comme le manque de confiance en soit, les soucis personnels, la fatigue ou même le manque d’attention. Les Vulnérabilités suite Ou encore les failles humaines, la connexion d’une clé USB inconnue, la revente de données, le vol de données par un ancien collaborateur, ne pas faire les mises à jours des logiciels, le téléchargement non protégé, les appareils provenant de l’extérieur, l’abus de confiance, la négligence, les spams et phishings. On peut également citer les faiblesses organisationnelles, telles que l’absence d’équipe informatique, des logiciels trop vieux, l’absence de gestion des droits d’accès. Enfin probablement la plus grande vulnérabilité lorsqu’il s’agit d’ingénierie sociale le manque de formation et de sensibilisation des collaborateurs. LES BONNES PRATIQUES POUR EVITER LES PIEGES DES ATTAQUANTS Vérification Toujours vérifier la source d’un mail, identifier l’adresse mail d’expédition et s’assurer de sa légitimité, faire attention au contenu du mail et aux éventuelles fautes d’orthographes. Ne pas cliquer sur des liens présents dans les mails, plutôt les copier et les coller dans un navigateur sécurisé ( QWANT) Ne pas brancher de clés USB dont on ne connait pas la provenance, ni la personne qui nous la remet, et surtout pas une clé USB trouvée par terre. Être sur de l’identité de l’interlocuteur Ne jamais faire confiance ou confier des données sensibles ou confidentielles sans être sûr de l’identité de la personne qui en fait la demande. A la moindre suspicion, on vérifie l’identité de l’interlocuteur, On s’assure que l’adresse mail est bien celle de la personne a qui l’on pense parler, si ca n’est pas le cas il faut contacter la personne par l’adresse mail habituelle afin de vérifier qu’il s’agit bien de la même personne. On effectue les mêmes actions en cas d’échange par téléphone. On vérifie également que notre supposé interlocuteur n’est pas absent ou en vacance. Enfin on réfléchie calmement avant d’agir, l’urgence est une méthode très utilisée par les hackers (la précipitation réduit l’attention et la réflexion) SENSIBILISER ET FORMER LES COLLABORATEURS Sans doute le plus important en therme de bonne pratique pour lutter contre l’ingénierie sociale, la sensibilisation et la formation des collaborateurs aux bonnes pratiques et aux bons comportements au seins de l’entreprise. En organisant des campagnes de sensibilisation afin de présenter les méthodes utilisées par les hackers mais également les risques que cela peut engendrer pour l’entreprise mais également pour leur vie privé et pouvoir présenter des solutions et des bonnes pratiques pour éviter les pièges tendus par les hackers. Et en proposant des formations pour apprendre aux collaborateurs à se prémunir des attaques. Liens annexes : 9 exemples d’attaques d'ingénierie sociale | Terranova Security Les 12 failles humaines de la sécurité IT en 2018 (journaldunet.com) LIVRET_FICHE37_JD8FASECO_INGENIERIE (ihemi.fr) Qu'est-ce que le Social Engineering ? | Jedha Bootcamp Document réalisé par Sebille Cyril uploads/Finance/ presentation-ingenierie-sociale.pdf