Kevin Mitnick, un criminel informatique converti de grande notoriété, qui a popularisé le terme de l’«ingénierie sociale», souligne qu’il est beaucoup plus simple de piéger quelqu’un pour qu’il donne un mot de passe pour accéder à un réseau informatique ou à une application que de faire l’effort de le pirater pour obtenir l’entrée. L’ingénierie sociale est un terme utilisé parmi les pirates pour décrire les techniques employées pour obtenir l’accès aux systèmes informatiques; ces dernières reposent sur la faiblesse humaine davantage que sur des outils logiciels. Son but est d'entraîner les gens à révéler leurs mots de passe et d'autres informations dont un pirate peut ensuite se servir pour compromettre la sécurité d’un système informatique. On peut le décrire comme: «l’art et la science de réussir à faire en sorte que les gens se soumettent à vos désirs.» Dans un article du Washington Post, Mitnick explique qu’il a utilisé l’ingénierie sociale pour obtenir des informations sur un réseau – et parfois même réussir à accéder au réseau – pour plus de la moitié des exploitations de réseaux qu’il a réussi à effectuer. Dans son livre, L’art de la supercherie, il explique avec précision: «…par nature, les gens ont envie d’aider et par conséquent, ils se laissent facilement avoir.» Le type le plus courant d'attaque d’ingénierie sociale est réalisé par téléphone. Un pirate vous appelle et imite une personne, souvent quelqu’un à un poste supérieur - qui, peu à peu, recueille le plus possible d'informations sur vous. Par exemple, l’un des moyens le plus efficace et le plus simple d’entraîner les utilisateurs informatiques à divulguer des informations est d’appeler et de se faire passer pour quelqu’un de l’help desk ou du support informatique et de demander les mots de passe de l’utilisateur. Les ingénieurs sociaux obtiennent également des informations en prétendant qu’ils sont les administrateurs du réseau. Un criminel de ce genre vous enverra un message e-mail par le réseau, déclarant qu’il a besoin de votre nom d’utilisateur et de votre mot de passe pour corriger un problème technique. Dans un autre scam, il se peut que vous receviez un message électronique contenant un lien vers un site web d’un concours. On vous demande de remplir un formulaire et d’indiquer notamment les noms de collègues et responsables, les numéros de téléphone et autres informations importantes. Ces données – si elles sont recoupées – peuvent aider le pirate à étendre son réseau d’ingénierie sociale et à compromettre éventuellement votre réseau informatique. Ne révélez jamais votre mot de passe à quiconque (sauf si vous y êtes autorisé). Tous les utilisateurs officiels du réseau ont leurs propres comptes, les administrateurs qui ont besoin d'effectuer une tâche peuvent le faire avec leurs propres comptes. L’administrateur n’a pas besoin de connaître votre mot de passe. La réinitialisation de votre mot de passe ou le déverrouillage de votre compte ne nécessite pas l’utilisation de votre mot de passe. Voici d’autres conseils à suivre pour éviter les attaques d’ingénierie sociale: Si vous recevez un appel que vous croyez provenir d’un ingénieur social:
«Ils acceptent un niveau de confiance afin d'éviter le conflit.»
«Tout résulte du fait que les gens pensent que l’accès à l’information est anodin alors que ça ne l’est pas.»
«Vous pouvez dépenser des fortunes dans l’achat de technologies et services…et votre infrastructure de réseau reste vulnérable à la manipulation ancienne.»
«Le maillon le plus faible de la chaîne de sécurité est l’élément humain…»Comment est-ce que j’ai pu être attaqué?
Comment puis-je me protéger moi et mon entreprise d’une attaque d’ingénierie sociale?
Que puis-je faire si je pense que je suis attaqué?
Source: inconnu
Montag, 18. Oktober 2010
Sécurité: Le maillon le plus faible?
La rumeur dit que les professionnels piratent les gens, les amateurs piratent les ordinateurs.
Abonnieren
Kommentare zum Post (Atom)
Keine Kommentare:
Kommentar veröffentlichen