La sécurité informatique et internet au service des entreprises
Accueil | Produits & Services | Documentation | Partenaires | Références | A propos | Contact | Flux RSS | Flux RSS Facebook Recherche 
 

Produits & Services
Appliance de sécurité
Prestations d'Audits : audit intrusif, de vulnérabilités, ...
Hébergement sécurisé
Recouvrement de mot de passe
SecuriteInfo.com AntiPub
Formations
SecuriteInfo.com sur Facebook
Le Grand Livre
Le grand livre de Securiteinfo.com sécurité informatique et internet
Tout notre savoir faire en 319 pages. Commandez le maintenant !
Initiation
Qu'est-ce que le piratage informatique ?
Introduction à la sécurité informatique
Sécurisation de vos données informatiques : Quels enjeux pour votre entreprise ?
Principes de sécurité informatique et évolution du marché
Initiation à la cryptographie
Principaux types d'attaque
Open Source et sécurité
Modélisation
Le Compartemented Mode Workstation
Le modèle "Bell La Padula"
La méthode FEROS
Classes de Fonctionnalité
Les contrats de licence et la Sécurité Informatique
Laboratoire
LibClamAV Warning : RAR code not compiled-in
myServer 0.7
TrackMania DoS
Pablo FTP 1.77
CuteNews 1.3
myServer 0.4.3
Pablo Baby Web Server 1.51
Téléchargements
NetAudit pour Android
Ebooks
WinSSLMiM
WinTCPKill
WinDNSSpoof
ICMP Shell Detect
Domino Hash Breaker
Le Social Engineering : un espionnage sans compétences techniques


Envoyer cet article par Email ! Imprimer cet article ! Exporter cet article en PDF ! Facebook Twitter Netvibes Google Bookmarks Technorati StumbleUpon Sphinn Scoopeo Tapemoi VisitezMonSite MisterWong Fr Wikio FR Fuzz Blogonet Yoolink Viadeo



Qu'est-ce que c'est ?

"Illusion is everything" - Bernz
C'est une technique qui a pour but d'extirper des informations à des personnes sans qu'elles ne s'en rendent compte. Contrairement aux autres attaques, elle ne nécessite pas de logiciel. La seule force de persuasion est la clé de voûte de cette attaque. Il y a quatre grandes méthodes de social engineering : par téléphone, par lettre, par internet et par contact direct.

Par téléphone

Le hacker vous contactera par téléphone. C'est la technique la plus facile. Son but est d'avoir le renseignement le plus rapidement possible. Un bon hacker aura préparé son personnage et son discours. Il sera sûr de lui. Il sera très persuasif dans le timbre de sa voix. Certains hackers ont quelques techniques pour parfaire leur crédibilité, comme jouer sur un magnétophone une cassette préalablement enregistrée de bruits de bureau, ou encore utiliser un matériel qui change le timbre de la voix pour imiter celle d'une secrétaire.

Comment parer cette méthode ?

Si vous recevez un coup de fil d'une personne que vous ne connaissez pas : Ne donnez aucun renseignement. Restez dans le vague, et débarrassez vous de lui : soit vous mettez un terme à cet appel, soit demandez une confirmation par écrit (par fax) de la demande. Par fax, on obtient le numéro appelant, et il est donc facile de l'identifier. Et ainsi, on garde une trace écrite, cela pouvant être d'une grande importance pour déposer une plainte.
Malheureusement, un bon hacker vous aura étudié avant, et se fera passer pour un client, un fournisseur, ou un de vos collègue situé dans un autre bureau dans le cas d'une grande entreprise. Pire encore, il attaquera au moment le plus propice pour lui : par exemple, lorsque le responsable d'un client est en vacances. Il devient très dur alors, de se douter d'une mauvaise intention...

Par lettre

Le hacker vous fera une lettre très professionnelle. Au besoin, il n'hésitera pas à voir un imprimeur pour avoir du papier à lettre comporant un logo, un filigrane, téléphone, fax, email... Il utilisera très certainement une boîte postale pour l'adresse de sa société fictive.

Comment parer cette méthode ?

L'idéal serait de filtrer tout le courrier entrant de l'entreprise. Pour chaque source inconnue de l'entreprise, il faudrait faire une vérification de l'existence réelle de celle-ci.

Par internet

Le social engineering par internet est semblable à celui par téléphone. Le hacker se fera facilement passer pour un opérateur système, un responsable informatique ou un ingénieur système.

Comment parer cette méthode ?

Comme pour le téléphone, ne donnez pas de renseignements à quelqu'un que vous ne connaissez pas. Mais par internet, c'est plus facile de donner de la crédibilité, tant il y a de noms de domaines et d'adresses emails farfelus. Il n'est donc pas facile de faire la part des choses. Une bonne étude de la gestion de l'extranet et de la mise en place d'une structure matérielle et personnelle adéquate est la meilleure solution.

Par contact direct

C'est le social engineering le plus dur de la part du hacker. Il sera équipé pour que vous n'y voyez que du feu : costard, cravate, très classe, très propre, attaché-case , agenda rempli, documents divers, carte de visite, badge... Si le hacker prend de tels risques, c'est qu'il est déterminé à obtenir les renseignements souhaités. Il sera donc très persuasif.

Comment parer cette méthode ?

Cela est très difficile, car vous avez été directement confronté au charisme du hacker. S'il a réussi, vous êtes persuadé de son honnêteté. Cependant, lors d'une discussion, n'hésitez pas à demander un maximum de renseignements "concrets" (nom de votre interlocuteur, nom et adresse de la société, etc), pour, par la suite, vérifier auprès des organismes compétants l'existenceréelle de votre interlocuteur. N'hésitez pas à téléphoner à la société pour savoir si la personne existe, et si elle est au courant qu'elle vous a vu ces dernieres heures...

Conclusion

Il ne faut pas perdre de vue que le hacker ne se limitera pas à une seule de ces techniques, mais au contraire, utilisera une combinaison de ces quatre méthodes. Par exemple : téléphoner pour obtenir un rendez-vous, confirmer par écrit, et passer une heure en votre compagnie...
Il est important, de la part d'une entreprise, de former le personnel à ce problème. Un bon hacker s'attaquera à la personne la plus faible de l'entreprise, à savoir le personnel non technique (secrétaires, comptables...) et les personnes récemment recrutées.
La paranoïa reste l'arme ultime de ce genre d'attaque.

Cybercriminalité
Cybercriminalité : le piratage politique
Que faire lors d'une attaque ?
Cybercriminalité : Comment porter plainte ?
Cryptographie
La cryptographie à algorithmes symétriques
Les mots de passe à usage unique (OTP : One Time Password)
Le chiffrement AES
Les fonctions de hachage
Attaques et faiblesses du SSL : Secure Socket Layer
Le tunneling
IPSec
Technologies de la sécurité informatique
Technologie
Choisir un mot de passe robuste
Les firewalls
Les antivirus gratuits en ligne et professionnels
La biométrie : L'informatique au service de l'authentification des personnes
Sécurité des réseaux Wifi et Wardriving
Les enjeux sécuritaires de la 3G
Les sauvegardes : enjeux et choix des supports
Malwares
Les différents types de malwares
Statistiques des malwares capturés par notre pot de miel
Statistiques des malwares détectés sur des sites web infectés
Chevaux de Troie (ou Trojans) expliqués
Fonctionnement des Key Loggers (enregistreurs de touches)
Découverte des Espiogiciels (Spywares)
La collecte d'information grâce au Social Engeeriering
Explication du fonctionnement des emails de Spam Images
Attaques
IP Spoofing
DNS Spoofing
Buffer Overflow
Deni de Service Distribué (DDoS)
Challenges de hacking
SecuriteInfo.com – Oise / Picardie – 03.44.39.76.46 – SARL au capital de 15000 € – SIREN : 477 509 350 – TVA intracommunautraire : FR52477509350 – Déclaration CNIL n° 1014585 – Design by LNDM