Faso-tic




Accueil > Actualités > Piratage informatique : Gare au social engineering !

Piratage informatique : Gare au social engineering !

jeudi 31 octobre 2013

On le sait désormais, 70 à 80% des problèmes de sécurité proviennent de failles humaines. C’est toujours l’Homme qui, parce qu’il a fait, ou n’a pas fait ou a mal fait quelque chose qui finalement ouvre une brèche de sécurité.
C’est pour cette raison que les pirates, très souvent, avant de rechercher des solutions techniques de piratage, tentent le coup de la faille humaine, du social enginneering (ingénierie sociale). Et malheureusement, çà fonctionne plus qu’on ne le pense !


Qu’est-ce que c’est ?

L’ingénierie sociale est basée sur l’utilisation de la force de persuasion et l’exploitation de la naïveté des utilisateurs en se faisant passer pour une personne de la maison, un administrateur système, le plombier etc ...

En somme, le social engineering ou ingénierie sociale est l’art de manipuler une personne pour obtenir des informations que cette dernière ne devrait pas donner ou divulguer. Les méthode sont nombreuses et les pirates utilisent des outils classiques tels que :
- le téléphone
- le courrier électronique
- le courrier classique
- le contact direct

Comment ?

L’une des méthodes de social engineering les plus connues est le phishing. Par exemple il consiste pour le pirate à vous envoyer un courrier vous informant que votre compte de messagerie risque d’être fermé. Pour éviter cela il vous demande de fournir vos noms, prénoms, email et bien sûr votre mot de passe. Beaucoup d’internautes se font encore avoir par ce type de tromperie.

Le phishing n’est pas la seule technique, il en existe pleins d’autres plus ou moins astucieuses.

Comment se protéger ?

La meilleure solution est la sensibilisation des utilisateurs dans le cadre d’une entreprise. Il existe également des solutions de protection matérielles pour pallier les erreurs humaines. Il existe des systèmes pour détecter les tentatives de manipulation. Ces systèmes sont capables de bloquer alors l’action effectuée par un utilisateur imprudent. Selon le système utilisé, l’utilisateur peut être informé et des informations lui seront données par l’application concernant la technique utilisée et la conduite à tenir la prochaine fois.

Informations importantes

La plupart des antivirus intègrent un détecteur de phishing ainsi que d’autres tentatives de manipulation de l’utilisateur. Mais attention, les pirates sont toujours en avance, l’antivirus n’est pas toujours suffisant, malheureusement.

Attention ! La sécurité 100% n’existe pas. Toute sécurité peut être violée, cela dépend des moyens mis par l’attaquant et du temps dont il dispose. Le but de la sécurité est justement de faire en sorte qu’un éventuel attaquant soit découragé par les moyens à mettre en œuvre ou la durée de l’attaque ou les deux.
Il est vrai que la sécurité à 100% n’existe pas, mais il existe des sécurités efficaces. Exemple : personne n’a encore trouvé la formule secrète pour fabriquer du coca-cola.

Matière à réflexion

Toute mesure de sécurité doit tenir compte de la valeur du bien protégé, des menaces réelles, des vulnérabilités et de la probabilité de survenance d’un risque.
Si l’impact d’une menace est très grande et que la probabilité de survenance est nulle, il ne faut pas dépenser beaucoup d’argent pour s’en protéger.
Exemple : La mairie de Ouagadougou ne doit pas dépenser beaucoup d’argent pour se protéger des effets d’une tempête de neige.

Younoussa SANFO

Plus d’info sur http://www.intrapole.com

Répondre à cet article


Rechercher:
A G E N D A  

Salon International de la Sécurité des Technologies de l’Information et des Communications
Journée mondiale de la liberté de la presse : 3 mai 2016
JOURNEE JEUNES FILLES & TIC : La deuxième édition de cette journée se tiendra du 22 au 26 juin 2015
SNI 2015 : La promotion des moyens et outils de payement électronique au Burkina Faso : Enjeux et Perspectives. DU 23 AU 27 JUIN 2015






N E W S L E T T E R  

Votre E-Mail :
inscription   désinscription



L I E N S   D U   F A S O  

Droits de reproduction et de diffusion réservés © faso-tic.net 2009 Suivre la vie du site RSS 2.0 | Plan du site | Espace privé | SPIP | squelette