Qu'est-ce que l'ingénierie sociale (social hacking) et comment fonctionne-t-elle ?

2017-05-22

L'ingénierie sociale est une forme d'espionnage industriel à la fois simple et très efficace. Les pirates volent des données importantes de l'entreprise ou introduisent des virus en profitant de l'imperfection humaine.

L'ingénierie sociale commence souvent par des recherches sur la personne ciblée et l'entreprise en question. Les pirates collectent des informations sur les employés en parcourant les réseaux sociaux tels que Facebook, Twitter, Xing ou LinkedIn à la recherche d'informations publiques. Parallèlement, ils collectent des informations sur le site web de l'entreprise et via des annuaires en ligne. Parfois, les pirates demandent également des informations directement à l'entreprise par e-mail ou par téléphone. Les informations de fond sur les structures internes, les collaborateurs et les supérieurs hiérarchiques sont ensuite utilisées par les attaquants pour la manœuvre de tromperie proprement dite.

attaque par téléphone, par e-mail ou en personne sur place

Souvent, les pirates utilisent le téléphone. Ils se font par exemple passer pour des administrateurs informatiques internes et informent d'une prétendue faille de sécurité qui doit être comblée immédiatement. L'habileté rhétorique et les informations de fond qui inspirent confiance aident les agresseurs à atteindre directement leur objectif. Les victimes prises au dépourvu transmettent des données personnelles telles que des mots de passe et permettent ainsi l'accès aux systèmes internes.

Il arrive aussi que les pirates s'infiltrent dans l'entreprise ou corrompent des collaborateurs. Certains observent leurs victimes lors de la saisie de mots de passe ou les écoutent lors de conversations internes. Dans d'autres cas, les pirates piratent les comptes de messagerie des collaborateurs, envoient des e-mails à partir de ces comptes et demandent des informations personnelles. Le phishing est donc également considéré comme une attaque d'ingénierie sociale, car des données personnelles sont volées par le biais de courriels falsifiés ou de liens nuisibles.

Comment se protéger et protéger son entreprise

Les exemples mentionnés montrent pourquoi l'ingénierie sociale fait partie des méthodes d'attaque les plus efficaces : les attaquants ciblent les faiblesses humaines et manipulent leurs victimes. Ces 7 conseils permettent de mieux se protéger contre les attaques :

  1. Formez régulièrement vos collaborateurs aux risques et aux formes possibles d'ingénierie sociale.
  2. Ne partagez pas d'informations personnelles sur les réseaux sociaux.
  3. Utiliser une mémoire de mots de passe dans l'entreprise
  4. Ne saisissez pas de mots de passe en présence de tiers.
  5. Demandez à vos supérieurs avant de donner des informations personnelles.
  6. Informez-vous sur les procédures de sécurité internes.
  7. Ne discutez pas en public d'informations internes à l'entreprise.

Articles similaires
Prêt pour la sécurité numérique de qualité suisse ?