Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
Le blog de Verneuil sous coucy par kate nana

Bienvenue sur ce blog ! Merci pour vos passage et bonne lecture !!

Le Social Engineering

Publié le 29 Avril 2017 par kate nana in informatique

Le Social Engineering

- Bonjour, Pierre Durand, Directeur support d'Orange
- Bonjour c'est pourquoi ?
- Voilà nous avons eu un grave incident causé par un virus au niveau de notre base de données et nous avons perdu des informations de certains clients dont vous faites partis. Pouvez vous nous communiquer vos informations personnelles. Nous vous envoyons un mail avec le lien à suivre. Vous cliquerez sur ce lien pour accéder à notre page d'information avec laquelle vous pourrez communiquer vos coordonnées.
- Ok mais qui me prouve que vous êtes bien ce que vous dites ?
- Vous aurez le logo de Wanadoo au sein de la page d'information et la page est sécurisée. Nous avons besoin de vos informations pour remettre à jour notre base de données.
- Très bien si le logo y figure alors je vous communiquerais mes coordonnées.
- Surtout n'oubliez pas votre nom d'utilisateur et votre mot de passe, c'est très important pour notre base de données
- Pas de problème je le ferais
- Au nom de Wanadoo et de son équipe, je vous remercie de votre collaboration, je vous souhaite une bonne journée
- Merci à vous aussi...

Voilà une conversation type du parfait piratage par Social Engineering. Vous avez reçu le mail, et vous vous êtes dirigé vers la page d'information mis grâce au lien dans votre courrier, tout confiant en voyant le logo de Wanadoo, vous avez entré vos coordonnées ainsi que votre nom d'utilisateur et votre mot de passe. Malheureusement pour vous cette page n'est pas celle de Wanadoo mais bel et bien celle d'un pirate informatique qui vous a mis en confiance en vous baratinant une belle salade à la sauce SOCIAL ENGINEERING, et vous internaute crédule et ne connaissant pas cette technique, vous êtes tombé dedans les 2 pieds en avant. Une semaine après cette aventure vous vous êtes aperçu que votre compte Wanadoo et vos boîtes aux lettres ont été piraté. Voilà ce qu'on appelle le :

SOCIAL ENGINEERING

Cette technique de piratage exploite une faille qui ne peut être mis à jour par un quelconque logiciel : VOUS (l'être humain et sa psychologie).

Vous avez peut être un bon antivirus mis à jour régulièrement, un pare-feu qui ne laisse rien passer mais avez vous pensé à vous. Eh oui vous ne le saviez pas mais c'est vous :

LE MAILLON FAIBLE DE LA SÉCURITÉ INFORMATIQUE


Le SOCIAL ENGINEERING permet au pirate d'obtenir des informations sur le système qu'il doit attaquer, cela lui permet de ne pas agresser sa victime en étant aveugle. Cela lui permet d'obtenir ce qu'il a besoin plus facilement qu'une attaque normale (avec un cheval de Troie par exemple).

Il existe 4 types d'attaque par SOCIAL ENGINEERING :

L'attaque par Internet
Ce sont des attaques avec des sites leurres(faux site de Wanadoo par exemple) contrôlés par un pirate qui lui permettent de d'obtenir les infos personnelles de l'internaute qui visite le site leurre croyant que c'est bien l'original. Ce sont aussi des attaques avec des fakemails (faux mails). Ces faux messages peuvent vous demander de ressaisir vos informations personnelles comme nom de login et mot de passe suite à une perte de données de la base de votre Fournisseur d'Accès Internet par exemple. Les fakemails peuvent aussi contenir un cheval de Troie dans un fichier joint qui bouche un faille de sécurité de Windows.

L'attaque par téléphone
Le pirate qui se trouve au bout du fil vous paraîtra crédible, il aura préparé un scénario en béton pour vous attaquer de cette façon (bruits de fonds de bureaux, personnes qui parlent en arrière plan, bruits d'impression etc...). Il pourra aussi changer le son de sa voie pour vous faire croire que vous avez à faire à plusieurs personnes différentes.

L'attaque directe
Le pirate qui fait ce type d'attaque a un culot énorme puisqu'il est entré dans la société ou vous travaillez et ce fait passer par un employé de la boite. Il rentrera en contact direct avec vous pour obtenir le plus d'informations possibles sur la société ou sur votre compte personnel.

L'attaque par lettre
Cette attaque consiste à vous envoyer une fausse lettre avec un entête professionnel. cette lettre peut par exemple vous demander de vous rendre sur un site précis pour donner vos informations personnelles afin de mettre à jour la base de données de votre Fournisseur d'Accès Internet par exemple.

L'élément Humain est la clé de la sécurité informatique et surtout son plus gros point faible. Aucun pare-feu, aucun antivirus, aucun cryptage ne sera jamais assez solide pour arrêter un pirate déterminé à pénétrer dans votre système. Une personne mal informée et qui ne respecte pas les conseils élémentaires de sécurité sera une cible de choix pour un pirate.

IL NE FAUT JAMAIS DONNER SON MOT DE PASSE 
A QUI QUE CE SOIT MÊME A UNE PERSONNE DE CONFIANCE


Et surtout n'oubliez pas ce qui suit

CONSEIL TRÈS IMPORTANT

De nos jours, sous Windows, vous devez posséder OBLIGATOIREMENT un programme d'antivirus
MIS A JOUR RÉGULIÈREMENT et un PARE-FEU (Firewall) activé ou utiliser un système libre type Ubuntu

L'intégrité de vos données ne dépend que de vous,
alors surtout il faut sortir couvert ou surfer libre pour Surfer Tranquille

Commenter cet article