Montag, 25. Juli 2005

Ingénierie social: il paraît que les professionnels s'attaquent aux gens

Dans le cadre de notre campagne globale de sensibilisation à la Sécurité IT, voici le dernier de nos messages de bonne pratique sur l’«ingénierie sociale».

Il paraît que les professionnels s'attaquent aux gens, les amateurs aux ordinateurs. L'ingénierie sociale est un terme utilisé parmi les hackers pour désigner des techniques qui reposent davantage sur la faiblesse de la nature humaine, que sur celle de logiciels, pour réussir à accéder aux systèmes d'exploitation des ordinateurs. L'objectif du hacker est de piéger les gens en leur faisant révéler des mots de passe et d'autres informations qui peuvent être utilisées pour obtenir l'accès à leurs systèmes ou en compromettre la sécurité. L'ingénierie sociale peut être décrite comme «l'art et la science d'obtenir des gens qu'ils satisfassent à vos désirs».

Comment pourrais-je être «attaqué»?

Le type le plus courant d'attaque d'ingénierie sociale est mené par téléphone. Un hacker appelle et se fait passer pour quelqu'un, souvent à un poste d'autorité et obtient progressivement autant d'informations que possible de la part de l'utilisateur. Un moyen efficace et simple pour un agresseur de compromettre la sécurité d'un système consiste à appeler les utilisateurs, à déclarer être du Help Desk ou de l'assistance de bureau et de demander leurs mots de passe. Un autre moyen par lequel les hackers peuvent obtenir des informations est de prétendre être l'administrateur réseau, d'envoyer des e-mails par le réseau et de demander un mot de passe d'utilisateur pour permettre de régler un problème technique, déclarant avoir besoin de votre nom d'utilisateur et de votre mot de passe pour le résoudre. Il se peut que l'e-mail vous dirige vers un site web qui propose un concours ou une promotion et vous demande des informations liées à votre environnement professionnel.

Comme puis-je me protéger moi et mon employeur contre ceci?
  • Ne divulguez jamais votre mot de passe à quiconque (sauf si vous êtes autorisé à le faire). Tous les utilisateurs légitimes ont leurs propres comptes, et tout administrateur qui a besoin d'effectuer une tâche auprès d'un utilisateur peut le faire en utilisant son propre compte, sans avoir besoin de connaître le mot de passe de l'utilisateur. Des opérations telles que l'attribution d'un nouveau mot de passe ou le déverrouillage d'un compte utilisateur ne nécessitent pas l'utilisation d'un mot de passe.
  • Vérifiez l'identité de tous les appelants.
  • S'assurer que tout visiteur suit la procédure locale d'enregistrement des visiteurs et présente chaque fois l'identification visiteur adéquate.
  • Ne délivrez jamais d'informations confidentielles sur la compagnie. Soyez prudents lorsqu'on vous demande des informations sur d'autres collaborateurs, y compris leurs noms et leurs postes.
  • Ne saisissez jamais rien sur l'ordinateur quand quelqu'un vous dit de le faire à moins d'être sûr qu'il est autorisé à agir ainsi.
  • Faîtes attention aux personnes qui regardent par-dessus votre épaule lorsque vous saisissez votre mot de passe.
  • Ne saisissez les numéros de téléphone internes dans aucun système informatique à moins que ce ne soit pour valider un utilisateur.
  • Ne répondez jamais à des questions d'enquêtes externes par téléphone.
Que puis-je faire si je pense que je suis en train d'être attaqué?

Si vous recevez un appel que vous pensez provenir d'une personne non autorisée, vous devriez agir de la façon suivante:
  • Si le numéro de la personne qui appelle est affiché sur votre téléphone, notez-le
  • Prenez des notes détaillées de la conversation, y compris la date et l'heure
  • Demandez le nom et le numéro de la personne qui appelle
  • Contactez immédiatement vote équipe locale de Sécurité IT - suivez les procédures locales de en cas de problème
  • Avertissez vos collègues d'équipe
Source: «Zurich» Assurances