L\u2019ing\u00e9nierie sociale n\u2019est pas nouvelle et elle existe depuis toujours, avec des ing\u00e9nieurs c\u00e9l\u00e8bres tels que Kevin Mitnick ou Frank Abagnale qui sont d\u00e9sormais de c\u00e9l\u00e8bres consultants en s\u00e9curit\u00e9. Nous pouvons donc voir \u00e0 quel point la transformation de criminel \u00e0 \u00ab\u00a0guru white hat\u00a0\u00bb est possible. Frank Abagnale, par exemple, fut l\u2019un des artistes les plus c\u00e9l\u00e8bres gr\u00e2ce \u00e0 sa capacit\u00e9 \u00e0 cr\u00e9er de multiples entr\u00e9es, \u00e0 forcer les syst\u00e8mes de v\u00e9rification et \u00e0 pi\u00e9ger les gens pour qu\u2019ils communiquent les informations dont il avait besoin pour continuer son arnaque. Si vous avez vu le film \u00ab\u00a0Attrape-moi si tu peux<\/a>\u00ab\u00a0, vous obtiendrez un bon aper\u00e7u de ce qu\u2019un ing\u00e9nieur sociale peut faire quand il a une id\u00e9e en t\u00eate. Mais n\u2019oubliez pas, un ing\u00e9nieur social ne repose pas forc\u00e9ment seulement sur des arnaques techniques ou informatiques pour obtenir des informations, vous devez donc faire tr\u00e8s attention aux signes suspects dans vos activit\u00e9s quotidiennes. Par exemple, vous pourriez r\u00e9v\u00e9ler votre mot de passe par t\u00e9l\u00e9phone. Il n\u2019est pas conseill\u00e9 de communiquer votre mot de passe \u00e0 qui que ce soit, n\u00e9anmoins, la perspective change quand vous recevez un appel du \u00ab\u00a0support technique\u00a0\u00bb de votre entreprise, t\u00f4t le dimanche matin, vous demandant de passez au bureau pour r\u00e9aliser quelques mises \u00e0 jours techniques sur votre ordinateur. Vous donnerez alors votre mot de passe \u00e0 votre \u00ab\u00a0administrateur r\u00e9seaux\u00a0\u00bb, et pire, vous lui direz m\u00eame \u00ab\u00a0merci\u00a0\u00bb ! Peut-\u00eatre que vous \u00eates trop prudent pour cela, mais ce n\u2019est certainement pas le cas de tous vos coll\u00e8gues.<\/p>\n La plupart des cybercriminels ne d\u00e9pensent pas beaucoup de temps \u00e0 essayer des piratages technologiquement complexes quand il savent qu\u2019il est bien plus simple d\u2019utiliser l\u2019ing\u00e9nierie sociale pour arriver \u00e0 leurs fins. De plus, il existe m\u00eame des sites Web avec des informations tr\u00e8s utiles pour en apprendre davantage sur ce type de techniques et pourquoi elles sont si efficaces pour pi\u00e9ger les gens. L\u2019un d\u2019entre eux est SocialEngineer.org<\/a>, un site qui fournit une base tr\u00e8s utile pour apprendre la th\u00e9orie qui explique pourquoi chaque type d\u2019attaque fonctionne et qui fournit de vrais exemples qui illustrent les d\u00e9finitions et les concepts mentionn\u00e9s pr\u00e9c\u00e9demment.<\/p>\n Nous utilisons le langage parl\u00e9 tous les jours pour nous influencer les uns et les autres sans nous en apercevoir. Du point de vue d\u2019un ing\u00e9nieur social, le langage a certains d\u00e9fauts car il est li\u00e9 \u00e0 notre exp\u00e9rience subjective d\u2019un \u00e9v\u00e9nement duquel nous pouvons supprimer certaines parties, modifier des \u00e9l\u00e9ments ou m\u00eame r\u00e9aliser des g\u00e9n\u00e9ralisations. La programmation neuro-linguistique<\/a> (PNL), bien qu\u2019invent\u00e9e dans un but th\u00e9rapeutique, est consid\u00e9r\u00e9e de nos jours comme une forme avanc\u00e9e d\u2019hypnose utilis\u00e9e par de nombreux ing\u00e9nieurs sociaux comme un outil pour influencer et manipuler leurs victimes afin de les pousser \u00e0 r\u00e9aliser des actions, \u00e0 communiquer des informations confidentielles, \u00e0 d\u00e9sactiver une mesure de s\u00e9curit\u00e9 ou tout ce que l\u2019on pourrait imaginer comme premi\u00e8re \u00e9tape vers une potentielle intrusion.<\/p>\n Bien que le lien entre la psychologie et le piratage semble un peu tir\u00e9 par les cheveux, la triste r\u00e9alit\u00e9 est que les attaques en ligne sont bas\u00e9es autour des m\u00eames principes que ceux des attaques hors ligne. Nous poss\u00e9dons tous un d\u00e9sir de\u00a0 r\u00e9ciprocit\u00e9 (si je vous fais une faveur, vous m\u2019en ferez certainement une aussi), de reconnaissance sociale (vous croyez le jugement de la majorit\u00e9), d\u2019autorit\u00e9 (vous ferez confiance \u00e0 la police, \u00e0 un m\u00e9decin, \u00e0 un employ\u00e9 du support technique ou \u00e0 toute personne issue d\u2019un rang hi\u00e9rarchique plus haut, etc.). Il s\u2019agit de mani\u00e8res universelles de construire une relation avec les autres et de satisfaire nos besoins humains \u00e9l\u00e9mentaires. Un ing\u00e9nieur social connait les boutons \u00e0 pousser pour obtenir de nous la r\u00e9ponse d\u00e9sir\u00e9e en cr\u00e9ant un contexte (un cadre) qui permet de rendre une histoire invent\u00e9e plausible afin de leur permettre de contr\u00f4ler l\u2019interaction. Contourner notre processus de pens\u00e9e rationnelle<\/a> n\u2019est pas difficile pour les individus tr\u00e8s talentueux et il leur suffit d\u2019une fraction de secondes pour qu\u2019ils obtiennent l\u2019avantage dont ils ont besoin pour obtenir ce qu\u2019ils veulent.<\/p>\n N\u00e9anmoins, dans cet article, nous nous concentrerons principalement sur les diff\u00e9rentes techniques utilis\u00e9es par les cybercriminels pour r\u00e9aliser leurs activit\u00e9s afin d\u2019obtenir des informations ill\u00e9gales et de profiter de la bonne foi de leurs victimes. Comme mentionn\u00e9 pr\u00e9c\u00e9demment, les principes utilis\u00e9es en ligne sont les m\u00eame que ceux utilis\u00e9s dans la vraie vie mais Internet \u00e9tant un moyen de distribution de l\u2019information gigantesque, un simple e-mail d\u2019hame\u00e7onnage par exemple, peut \u00eatre envoy\u00e9 \u00e0 des millions de destinataires en quelques instants seulement, rendant ce genre d\u2019attaques un jeu de nombres. M\u00eame si seulement un petit nombre de victimes tombe dans le pi\u00e8ge, cela rapportera tout de m\u00eame un \u00e9norme b\u00e9n\u00e9fice au groupe criminel ou \u00e0 l\u2019individu responsable de l\u2019attaque.<\/p>\n Aujourd\u2019hui, l\u2019une des m\u00e9thodes les plus communes pour obtenir des informations confidentielles est l\u2019hame\u00e7onnage (ou phishing). L\u2019hame\u00e7onnage peut \u00eatre d\u00e9crit comme une sorte de fraude informatique qui utilise les principes de l\u2019ing\u00e9nierie sociale dans le but d\u2019obtenir des informations priv\u00e9es sur la victime. Le cybercriminel utilise souvent des e-mails, des messageries instantan\u00e9es ou des SMS pour diffuser le message malveillant qui persuadera la victime de r\u00e9v\u00e9ler ses informations directement ou de r\u00e9aliser une action (entrer dans un faux site Web, cliquer sur un lien de t\u00e9l\u00e9chargement malveillant, etc.), ce qui permettra au criminel de poursuivre son plan malintentionn\u00e9.<\/p>\n Nous observons une \u00e9volution dans les malwares qui va de pair avec l\u2019ing\u00e9nierie sociale. Avant, les infections \u00e9taient assez \u00e9videntes car elles affichaient des bo\u00eetes de message, des ic\u00f4nes, des images, etc., tout ce qui pouvait permettre \u00e0 l\u2019auteur de revendiquer sa cr\u00e9ation. Mais de nos jours, il n\u2019est pas rare de trouver des malwares qui acc\u00e8dent \u00e0 l\u2019ordinateur de la victime gr\u00e2ce \u00e0 des techniques d\u2019ing\u00e9nierie sociale et qui restent cach\u00e9s jusqu\u2019\u00e0 ce qu\u2019ils aient besoin d\u2019ex\u00e9cuter un code malveillant. L\u2019\u00e9ternel jeu du chat et de la souris se joue entre les criminels et les entreprises de s\u00e9curit\u00e9 qui essaient d\u2019inculquer aux utilisateurs les m\u00e9canismes de d\u00e9fense fondamentaux en les informant des derni\u00e8res tendances et menaces qui existent actuellement.<\/p>\n On trouve de nombreux malwares\u00a0 qui reposent sur l\u2019ing\u00e9nierie sociale pour r\u00e9ussir leurs attaques. Parmi les plus populaires, on trouve les fausses mises \u00e0 jour de Flash Player, les fichiers ex\u00e9cutables int\u00e9gr\u00e9s dans des documents Word, les copies de navigateurs l\u00e9gitimes de mauvaise qualit\u00e9 tels qu\u2019Internet Explorer et bien d\u2019autres.<\/p>\n Un site Web distributeur de malwares qui utilise une fausse mise \u00e0 jour de Flash Player pour encourager les utilisateurs \u00e0 utiliser le logiciel.<\/p><\/div>\n \u00a0<\/p>\n La plupart des exemples d\u2019attaques cit\u00e9s ici ciblent le public latino am\u00e9ricain, principalement car ces types de menaces technologiques ne sont pas bien connus dans cette r\u00e9gion et si nous ajoutons le fait que la plupart des ordinateurs utilisent des syst\u00e8mes plus anciens, cela donne au cybercriminel de nombreuses opportunit\u00e9s. Ce n\u2019est que r\u00e9cemment que les mesures de s\u00e9curit\u00e9 des syst\u00e8mes bancaires en ligne ont \u00e9t\u00e9 renforc\u00e9es mais il existe encore des failles qui peuvent permettre de r\u00e9ussir des attaques d\u2019ing\u00e9nierie sociale en Am\u00e9rique du Sud.<\/p>\n D\u2019autres attaques sont plus populaires dans la r\u00e9gion, m\u00eame si elles ne tombent pas r\u00e9ellement dans la cat\u00e9gorie des fraudes informatiques. Une arnaque connue sous le nom de \u00ab\u00a0kidnapping virtuel<\/a>\u00a0\u00bb utilise des tactiques d\u2019ing\u00e9nierie sociale en affirmant qu\u2019un membre de la famille de la victime a \u00e9t\u00e9 kidnapp\u00e9 et qu\u2019une ran\u00e7on doit \u00eatre imm\u00e9diatement pay\u00e9e afin d\u2019assurer sa s\u00e9curit\u00e9 et sa lib\u00e9ration. Le pirate profite de la panique et de la peur de la victime pour arriver \u00e0 ses fins alors que la victime ne se rend m\u00eame pas compte que personne n\u2019a en fait \u00e9t\u00e9 kidnapp\u00e9. En Am\u00e9rique latine, o\u00f9 ce type de crime est commun, les criminels gagnent beaucoup d\u2019argent en utilisant ce genre de strat\u00e9gie qui exploite les traits caract\u00e9ristiques du comportement humain<\/a>.<\/p>\n En outre, il est important de garder \u00e0 l\u2019esprit que n\u2019importe quel information que vous postez publiquement en ligne (Facebook, Twitter, Foursquare, etc.) est susceptible de fournir aux pirates des informations lui permettant de savoir o\u00f9 vous \u00eates et qui vous \u00eates. Les attaques cibl\u00e9es (spear-phishing) sont moins communes mais si vous publiez des informations de valeur, encore une fois, vous pourriez rendre la vie des cybercriminels bien plus facile. M\u00eame une liste d\u2019envies Amazon pourrait \u00eatre la source d\u2019une attaque d\u2019ing\u00e9nierie sociale \u00e0 grande \u00e9chelle<\/a>.<\/p>\n Comme cela a \u00e9t\u00e9 mentionn\u00e9 pr\u00e9c\u00e9demment, vous devez obligatoirement disposer d\u2019un logiciel de s\u00e9curit\u00e9 complet install\u00e9 sur votre ordinateur si vous r\u00e9alisez des activit\u00e9s en ligne (et il y a de grandes chances pour que \u00e7a soit le cas). En outre, restez inform\u00e9 des derni\u00e8res menaces et astuces de l\u2019ing\u00e9nierie sociale pourrait vous donner une longueur d\u2019avance et vous \u00e9viter d\u2019\u00eatre \u00e0 votre tour victime de ce genre d\u2019attaques (en ligne ou hors ligne). Souvenez-vous que tous les gadgets technologiques ainsi que les m\u00e9canismes de d\u00e9fense ne servent \u00e0 rien si vous ne savez pas les utiliser et que vous n\u2019\u00eates pas au courant de ce que les pirates sont capables de faire. Le crime \u00e9volue et vous devriez faire de m\u00eame : de nos jours, \u00eatre un peu parano\u00efaque peut s\u2019av\u00e9rer tr\u00e8s utile.<\/p>\n \u00a0<\/p>\n","protected":false},"excerpt":{"rendered":" L\u2019ing\u00e9nierie sociale, parfois appel\u00e9e la science et l\u2019art du piratage humain, est devenue tr\u00e8s populaire ces derniers temps \u00e9tant donn\u00e9 la croissance exponentielle des r\u00e9seaux sociaux, des messageries par e-mail<\/p>\n","protected":false},"author":313,"featured_media":2169,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6,686],"tags":[533,89,61],"class_list":{"0":"post-2168","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"category-threats","9":"tag-ingenierie-sociale","10":"tag-phishing","11":"tag-securite"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/lingenierie-sociale-ou-le-piratage-du-systeme-dexploitation-humain\/2168\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/ingenierie-sociale\/","name":"ing\u00e9nierie sociale"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/2168","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/313"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=2168"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/2168\/revisions"}],"predecessor-version":[{"id":14059,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/2168\/revisions\/14059"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/2169"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=2168"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=2168"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=2168"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"flash-update\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2014\/01\/06102248\/flash-update.png\")
<\/a>