Qu’est-ce que l’ingénierie sociale?

Le temps comme facteur critique

Dans de nombreux cas, on demande à la personne concernée de faire quelque chose en appliquant une contrainte temporelle. Cela peut pousser la victime à effectuer des actions inconsidérées qu’elle ne ferait peut-être pas sans cette pression.

Promesse de satisfaction des besoins

Certaines attaques consistent à exploiter les besoins et les désirs de la victime pour l’inciter à se comporter comme on le souhaite. Cela peut par exemple prendre la forme d’un smartphone gratuit, d’argent facile ou d’une histoire d’amour.

Peur des conséquences

Dans la plupart des cas, les agresseurs menacent la victime de conséquences négatives si une certaine mesure n’est pas prise (p. ex. le blocage d’un compte bancaire si rien n’est fait dans le délai donné).

Incertitudes et doutes

L’ingénierie sociale exploite souvent les incertitudes de la victime (p. ex. manque de connaissances techniques, manque de familiarité avec les processus opérationnels). Les agresseurs déconcertent généralement leurs victimes par leur comportement sûr d’eux et leur jargon technique, et menacent même parfois d’impliquer la direction.

Exemples d’ingénierie sociale
  • Une personne se fait passer pour un technicien (p. ex. d’une compagnie de téléphone, d’une compagnie d’électricité, etc.) et tente d’accéder à votre domicile ou à votre entreprise.
  • Vous recevez un e-mail vous demandant de cliquer sur un lien et de vous connecter ou de fournir des renseignements personnels.
  • Une personne vous appelle par téléphone et veut vous poser certaines questions dans le cadre d’une enquête (p. ex. sur votre revenu, vos mesures de sécurité informatique, etc.)
  • Un agresseur falsifie l’expéditeur d’un e-mail pour se faire passer pour une personne connue (il est probable que la pièce jointe contienne un virus).
  • Au travail, une personne se fait passer pour un informaticien et prétend effectuer l’entretien de votre ordinateur.
  • Hameçonnage/harponnage: tentative d’accéder aux données confidentielles des internautes en utilisant de fausses pages web, des e-mails ou des SMS falsifiés.

Comment s’en protéger:
  • Ne publiez sur Internet que les informations absolument nécessaires.
  • Soyez également prudent au téléphone quand il s’agit de divulguer des renseignements confidentiels (comme un nom d’utilisateur, un mot de passe, etc.).
  • Ne partagez pas d’informations confidentielles avec d’autres personnes. Si quelqu’un insiste, signalez-le à votre supérieur, à votre administrateur système ou à votre fournisseur de services (p. ex. banque, fournisseur de services Internet, etc.). Un fournisseur de services digne de confiance ne vous demandera pas votre mot de passe.

Autor: Oussama Zgheb Leiter Engineering & Security
L’auteur: Oussama Zgheb – Responsable Engineering et Security

En tant qu’expert en sécurité informatique, je vous informe en amont des défis actuels du réseau. En outre, je vous divulgue des conseils sur la manière de vous protéger simplement et clarifie des notions de sécurité informatique qui semblent compliquées. Voyez avec moi à quel point le numérique dans le secteur de la santé est passionnant. Ensemble, nous pouvons le rendre plus sûr.

En savoir plus