1⃣ Définition L'ingénierie sociale
(social engineering en anglais) est, dans le contexte de la sécurité de l'information, une pratique de manipulation psychologique à des fins d'escroquerie.
Les termes plus appropriés à utiliser sont le piratage psychologique ou la fraude psychologique.
Dans le contexte de la sécurité de l'informatique, la désignation ingénierie sociale est déconseillée puisqu'elle n'accentue pas le concept de tromperie.
2⃣ Principe Les pratiques du piratage
psychologique exploitent les faiblesses psychologiques, sociales et plus largement organisationnelles des individus ou organisations pour obtenir quelque chose frauduleusement (un bien, un service, un virement bancaire, un accès physique ou informatique, la divulgation d’informations confidentielles, etc.).
En utilisant ses connaissances, son charisme, son sens de l’imposture ou son culot, l’attaquant cherche à abuser de la confiance, de l’ignorance et de la crédulité de sa cible pour obtenir ce qu’il souhaite
3⃣ Techniques
Toutes les techniques d'ingénierie sociale sont basées sur les biais cognitifs qui permettent à une personne de prendre une décision.
Ces biais peuvent être exploités de manières très différentes afin de créer des moyens d'attaquer, certaines de ces techniques sont présentées ci-dessous.
Les attaques peuvent avoir pour objectif de collecter des informations confidentielles auprès des salariés ou encore de les inciter à prendre de mauvaises décisions.
Les techniques les plus simples se font via un appel téléphonique.
4⃣ Exemples
Un individu entre dans un immeuble et placarde une affiche à l’aspect officiel affirmant que le numéro de service de dépannage informatique a changé.
Donc quand les salariés de l'entreprise auront besoin d'une assistance technique ils appelleront cet individu, en ayant une entière confiance en lui.
Ainsi ce dernier pourra leur demander login, mot de passe ou d'autres informations confidentielles et personnelles prétextant une intervention à distance par exemple.
De cette manière l'individu pourra avoir accès au système d'information de l'entreprise.