Dans le cadre de la préparation de la conférence du 3 février au Club IES animée par la CNIL « Internet et la protection des données personnelles » (lire l’annonce de la conférence et lire le compte rendu), un mot sur ce que l’on appelle l’Ingénierie sociale (ou Social Engineering en bas breton) dans un contexte de sécurité informationnel.
Définition de l’ingénierie sociale
Le portail de la sécurité informatique du gouvernement nous en donne une définition :
« Manipulation consistant à obtenir un bien ou une information, en exploitant la confiance, l’ignorance ou la crédulité de tierces personnes. Remarques : Il s’agit, pour les personnes malveillantes usant de ces méthodes, d’exploiter le facteur humain, qui peut être considéré dans certains cas comme un maillon faible de la sécurité du système d’information. »
Le forum Comment ça marche va plus loin :
« L’ingénierie sociale est basée sur l’utilisation de la force de persuasion et l’exploitation de la naïveté des utilisateurs en se faisant passer pour une personne de la maison, un technicien, un administrateur, etc. D’une manière générale les méthodes d’ingénierie sociale se déroule selon le schéma suivant :
– Une phase d’approche permettant de mettre l’utilisateur en confiance, en se faisant passer pour une personne de sa hiérarchie, de l’entreprise, de son entourage ou pour un client, un fournisseur, etc.
– Une mise en alerte, afin de le déstabiliser et de s’assurer de la rapidité de sa réaction. Il peut s’agir par exemple d’un prétexte de sécurité ou d’une situation d’urgence ;
– Une diversion, c’est-à-dire une phrase ou une situation permettant de rassurer l’utilisateur et d’éviter qu’il se focalise sur l’alerte. Il peut s’agir par exemple d’un remerciement annonçant que tout est rentré dans l’ordre »
Linkedin utilisé comme outil d’ingénierie sociale
Ces méthodes ne sont possibles que parce que le manipulateur a pu récupérer suffisamment d’informations sur sa cible. Or, c’est souvent la cible qui met ces informations à disposition, notamment en alimentant ses profils dans les réseaux sociaux !
[Mise à jour 2022 ] Dans cet article publié en 2019 « LinkedIn, toujours utilisé comme outil d’ingénierie sociale » je présente le cas d’un faux compte Twitter et explique comment Linkedin peut justement être utilisé comme outil d’ingénierie sociale. Le sujet est devenu vraiment préoccupant et en 2020 je relance une alerte avec ce nouvel article « Multiplication des demandes de connexion de Chinoises sur LinkedIn »
Il est important d’avoir une analyse critique des demandes sur Linkedin. Il y a quelques points de vigilance, comme une trop belle photo, un parcours peu clair, des études prestigieuses qui ne cadrent pas avec les emplois… Cela ne prend qu’une petite minute, et permet de garder un réseau de qualité. D’autant que, comme je l’explique dans d’autres billets, un contact de niveau 1 pourra avoir accès (et donc analyser) votre réseau de niveau 1.
Plus d’information sur la sécurité informationnelle
Sur le thème de la sécurité, on pourra aussi lire :
- La cybersécurité, de Nicolas Arpagian.
- Compte rendu de la conférence : Panorama des menaces en cybersécurité.
- Compte rendu : Intelligence Economique et sécurité informationnelle.
- Vidéo: Cybersécurité – panorama des attaques et des cybercriminels.
- Compte rendu : Les défis de la sécurité informatique en 2012.
Jérôme Bondu