Le Social Engeneering est la technique de piratage informatique la plus prisée en 2015. À l’heure actuelle, les pirates se concentrent davantage sur les failles humaines pour atteindre leur but. Allons à la découverte de ce système qui continue de faire ravage dans de nombreuses organisations.
La définition du Social Engineering
Le Social Engineering ou l’ingénierie sociale est une pratique qui vise à obtenir des informations confidentielles. Pour parvenir à son objectif, le pirate utilise plusieurs méthodes et exploite au maximum les failles humaines que les failles techniques. Ces dernières peuvent aussi être des failles sociales, organisationnelles et surtout psychologiques. Les données obtenues seront utilisées à l’encontre de la personne dont les informations sont piratées sans que celle-ci ne s’en rende compte.
Cette pratique peut se faire par le biais d’un téléphone portable, les réseaux sociaux ou par courrier électronique. Elle peut se faire en présence ou non de la victime. Le social engineering est très dangereux pour les entreprises. Face à cela, de nombreux employés sont formés pour affronter cela.
Les différentes techniques du Social engineering
Il existe de nombreuses techniques en termes d’ingénierie sociale dont le pretexting, le phishing, l’usurpation d’identité et les biais cognitifs.
Le pretexting comme son nom indique consiste à la création d’un prétexte approprié sous forme de scénario ayant pour but d’obtenir les informations personnelles de la cible. Ces dernières sont généralement des identifiants et des mots de passe permettant l’accès à des services et systèmes personnels importants. Par cette méthode, les pirates peuvent obtenir des versements bancaires à partir des comptes frauduleux.
Le phishing ou hameçonnage est une technique presque identique au pretexting. Le but est de pirater des comptes en utilisant des logos d’entreprises ou emails réalistes afin d’avoir les informations personnelles comme les identifiants et mot de passe. Les pirates peuvent également envoyer des fichiers qui installent automatiquement des malwares sur les appareils de la cible, qui à leur tour serviront d’espion pour la collecte des informations voulues. Les pirates pourront ainsi contrôler les appareils sans que la victime ne s’en rende compte.
L’usurpation d’identité est une technique de piratage très prisée. Le pirate se prend pour la victime et utilise les informations personnelles de cette dernière pour soutirer de l’argent. De ce fait, il est très important de protéger ses données personnelles en ligne via les adresses email ou réseaux sociaux.
Enfin, le piratage par les biais cognitifs consiste à l’exploitation des préjugés et des biais cognitifs de la victime par l’ingénieur social afin d’accéder à ce qu’il recherche.
En tout, pour atteindre son but, le pirate recueille le maximum d’informations sur sa victime (adresse email, activités sur les réseaux sociaux, contacts…). Il peut également faire une intrusion dans le système informatique et mettre en place un Backdoor ou porte dérobé, un logiciel lui permettant de contrôler discrètement le système. Il en est de même pour l’installation du RootKit sur les appareils de la victime.
Faire face au Social Engineering
Jusqu’à présent, il n’existe pas encore de solution précise pouvant contrer ce phénomène. Ce que les entreprises peuvent faire c’est de sensibiliser et former leurs employés sur les différentes menaces. L’établissement des mesures préventives ne doit pas non plus être négligé. Personne ne peut échapper à ce type de piratage, de ce fait, l’entreprise se doit d’identifier ses clients et/ou employés sensibles à cette attaque. Pour ce faire, la réalisation d’un test doit avoir lieu comme l’envoi d’email aux employés pour voir leurs attitudes.
La standardisation des procédures administratives pour l’obtention d’une information sensible doit aussi être mise en place.