Social engineering et spam

Juste un petit poste pour compléter la note que j’ai publié sur facebook.

Qu’est ce que le social engineering ?

L’ingénierie sociale (social engineering en anglais) est la discipline consistant à obtenir quelque chose (un bien ou une information) en exploitant la confiance mais parfois également l’ignorance ou la crédulité de tierces personnes. Il s’agira pour les personnes usant de ces méthodes d’exploiter le facteur humain, qui peut être considéré comme le maillon faible de tout système de sécurité. Kevin Mitnick, avec son ouvrage L’art de la supercherie a théorisé et popularisé cette pratique.

Ce terme est surtout utilisé en jargon informatique pour définir les méthodes des crackers (improprement appelés hackers), qui usent d’ingénierie sociale pour obtenir respectivement un accès à un système informatique ou pour satisfaire leur curiosité.

Parce qu’il n’y a pas de patch, c’est à dire un correctif de sécurité sure à 100%, à la stupidité humaine, le social engineering restera la méthode de piratage informatique la plus efficace.

De nos jours, l’ingénierie sociale en informatique se heurte de plus en plus à l’éducation des utilisateurs. De plus en plus, les départements de gestion informatique font circuler un document décrivant les règles de sécurité de base : choisir un mot de passe long et ne se trouvant pas dans le dictionnaire, ne jamais donner son mot de passe à quelqu’un, pas même à un employé du département informatique… Ces micro-informations permettent aux employés de ne pas divulguer accidentellement des informations sensibles et de donner l’alerte.

Les crackers parviennent souvent à acquérir quelque chose d’un peu moins évident par ce biais. Par exemple, les plus audacieux essayeront même de se présenter dans les locaux de l’entreprise en tant qu’employés de la société de maintenance informatique pour avoir un accès physique à la machine.

Source : Wikipedia

Qu’est ce que le spam

Le pourriel ou le spam (anglicisme) désigne une communication électronique, notamment du courrier électronique, non sollicitée par les destinataires, expédiée en masse à des fins publicitaires ou malhonnêtes. Le terme polluriel est, plus rarement, utilisé pour désigner le pourriel.

Source : Wikipedia

On sous-estime souvent les effets du social engineering.
Les chaines de mails, les groupes bidons sur facebook,… sont des véritable mine d’or pour quelqu’un de malintentionné.

Vous allez me dire : « Mais on ne peut rien faire avec un nom et une adresse email ».
Détrompez-vous, avec votre un nom et votre adresse email quelqu’un peut se faire passer pour vous (envoyer des mails comme si cela provenait de votre boite mail) et contacter vos amis pour obtenir des informations sensibles.

On peut également vous envoyer un mail qui ressemble en tout point à un mail de votre banque vous demandant d’introduire votre numéro de carte de crédit car ils ont un soucis avec leur système informatique.

Des exemples je peux vous en citer 1000.

Il y a plusieurs règles d’or à respecter pour éviter pas mal de problèmes :

  • Toujours vérifiez l’url (l’adresse d’un site internet) du site que vous visitez. Par exemple : google.tuvatefaireavoir.com n’est pas du tout équivalent à google.com
  • Ne jamais transmettre des informations sensibles (numéro de carte de crédit, mot de passe,…) à un tiers par téléphone ou via email.
  • Il vaut mieux être trop méfiant que pas assez. Même si vous recevez un mail qui semble provenir de votre meilleur ami, est ce vraiment lui qui vous l’a envoyé ?

Et n’oubliez pas, il y a autant (si ce n’est plus) de criminels sur internet quand dans le monde réel.
Sur ce bonne chance à tous dans ce monde cruel qu’est le web.

Hervé — 22 novembre 2008 @ 19:14 Filed under: Informatique,Internet,Web 2.0 Tag: , , ,