Scribd
Importer
344 vues16 pages

Présentation Ingénierie Sociale

Ce document décrit les attaques par ingénierie sociale, leurs formes comme le hameçonnage ou le harponnage, un exemple réel de vol par manipulation, les vulnérabilités exploitées comme les faiblesses humaines, et les bonnes pratiques comme la vérification et la sensibilisation.

Transféré par

Cyril S
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PPTX, PDF, TXT ou lisez en ligne sur Scribd
344 vues16 pages

Présentation Ingénierie Sociale

Ce document décrit les attaques par ingénierie sociale, leurs formes comme le hameçonnage ou le harponnage, un exemple réel de vol par manipulation, les vulnérabilités exploitées comme les faiblesses humaines, et les bonnes pratiques comme la vérification et la sensibilisation.

Transféré par

Cyril S
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PPTX, PDF, TXT ou lisez en ligne sur Scribd

L’INGENIERIE SOCIALE

SOMMAIRE
I. L’ATTAQUE PAR INGENIERIE SOCIALE EXPLICATION
II. LES DIFFERENTES FORMES D’ATTAQUES PAR
INGENIERIE SOCIALE
III. UN EXEMPLE REEL
IV. LES VULNERABILITES
V. LES BONNES PRATIQUES
L’ATTAQUE PAR
INGENIERIE
SOCIALE
EXPLICATION
 Le principe de l’attaque par l’ingénierie sociale repose sur
l’abus de confiance et des faiblesses humaines. Cela ouvre
des brèches dont profitent les pirates. Le hacker va à la
pêche aux informations pour piéger les victimes en
manipulant les points sensibles : naïveté, émotions
personnelles, centres d’intérêts, adresses e-mail et
d’éventuelles failles d’organisation. La pression par le
biais des appels téléphoniques, du courriel et des réseaux
sociaux, est ensuite utilisée par les arnaqueurs pour obtenir
les identifiants et les mots de passe.
LES DIFFERENTES
FORMES
D’ATTAQUES PAR
INGENIERIE
SOCIALE
Voici les 9 exemples les plus courants :
 1. Hameçonnage : courriels, sites web ou  6. Quiproquo : attaque utilisant un
textos trompeurs pour voler de échange d’information ou de service pour
l’information. convaincre la victime d’agir.
 2. Harponnage (fraude du PDG) :  7. Talonnage : s’appuyant sur la confiance
courriels ciblés visant des personnes ou humaine pour donner au criminel l’accès
des entreprises. physique à un édifice ou une zone
sécurisée.
 3. Appâtage : attaque d’ingénierie
sociale, en ligne et physique, qui promet à  8. Hameçonnage vocal : message
la victime une récompense ou un cadeau. téléphonique qui semble urgent pour
convaincre les victimes d’agir prestement
 4. Maliciel : attaque qui fait croire qu’un pour éviter une arrestation ou d’autres
maliciel a été installé sur l’ordinateur de risques.
la victime en lui offrant de payer pour le
faire supprimer.
 9. Attaque par point d’eau : attaque
d’ingénierie sociale sophistiquée qui
 5. Faux-semblant : fausse identité pour infecte, par un logiciel malveillant, à la
tromper les victimes et soutirer de fois un site web et les internautes qui le
l’information. visitent.
Voici un exemple réel
d’attaque par ingénierie
sociale
 En 2007, un systèmes de sécurité a été contourné par les deux frères Eliser
Mishali et Yehuda Mishali. Pour ce faire, il n’était pas nécessaire de recourir à des
armes, à la violence ou à des dispositifs électroniques. Un homme a pris 28
millions de dollars en diamants à la banque ABM AMRO, basée en Belgique, en
étant une personne charmante. Il est évident que ce type d’arme ne peut pas être
acheté. Eliser qui se faisait passer pour un certain Carlos Héctor Flomenbaum,
avait un passeport argentin qui avait été volé en Israël. Avec sa nouvelle identité,
il a gagné la confiance des employés de la banque pendant un an. Alors qu’il se
présentait comme un homme d’affaires prospère, le voleur s’est montré amical
avec les employés de la banque en leur donnant des boîtes de chocolat. Un jour,
ils lui ont donné accès aux boîtes de sécurité qui contenaient des pierres
précieuses d’une valeur de 120 000 carats. Ce fut alors l’un des plus gros vols
commis par une seule personne de l’histoire.
Les Vulnérabilités
 L’ANSSI qui est l'autorité nationale en matière de sécurité et de
défense des systèmes d’information définit l’ingénierie sociale
comme une manipulation consistant à obtenir un bien ou une
information, en exploitant la confiance, l’ignorance ou la crédulité
de tierces personnes.
 Il y a de nombreuses vulnérabilités qui peuvent être utilisées par des
hackers dans le cadre d’attaque par ingénierie sociale.
 Par exemple les fragilités humaines, comme le manque de confiance
en soit, les soucis personnels, la fatigue ou même le manque
d’attention.
Les Vulnérabilités suite
 Ou encore les failles humaines, la connexion d’une clé USB
inconnue, la revente de données, le vol de données par un ancien
collaborateur, ne pas faire les mises à jours des logiciels, le
téléchargement non protégé, les appareils provenant de l’extérieur,
l’abus de confiance, la négligence, les spams et phishings.
 On peut également citer les faiblesses organisationnelles, telles que
l’absence d’équipe informatique, des logiciels trop vieux, l’absence
de gestion des droits d’accès.
 Enfin probablement la plus grande vulnérabilité lorsqu’il s’agit
d’ingénierie sociale le manque de formation et de sensibilisation des
collaborateurs.
LES BONNES PRATIQUES
POUR EVITER LES
PIEGES DES
ATTAQUANTS
Vérification
 Toujours vérifier la source d’un mail, identifier l’adresse mail
d’expédition et s’assurer de sa légitimité, faire attention au contenu du
mail et aux éventuelles fautes d’orthographes.

 Ne pas cliquer sur des liens présents dans les mails, plutôt les copier et
les coller dans un navigateur sécurisé ( QWANT)

 Ne pas brancher de clés USB dont on ne connait pas la provenance, ni la


personne qui nous la remet, et surtout pas une clé USB trouvée par terre.
Être sur de l’identité de l’interlocuteur
 Ne jamais faire confiance ou confier des données sensibles ou confidentielles sans
être sûr de l’identité de la personne qui en fait la demande.
 A la moindre suspicion, on vérifie l’identité de l’interlocuteur,
 On s’assure que l’adresse mail est bien celle de la personne a qui l’on pense
parler, si ca n’est pas le cas il faut contacter la personne par l’adresse mail
habituelle afin de vérifier qu’il s’agit bien de la même personne. On effectue les
mêmes actions en cas d’échange par téléphone.
 On vérifie également que notre supposé interlocuteur n’est pas absent ou en
vacance.
 Enfin on réfléchie calmement avant d’agir, l’urgence est une méthode très utilisée
par les hackers (la précipitation réduit l’attention et la réflexion)
SENSIBILISER ET
FORMER LES
COLLABORATEURS
 Sans doute le plus important en therme de bonne pratique pour lutter
contre l’ingénierie sociale, la sensibilisation et la formation des
collaborateurs aux bonnes pratiques et aux bons comportements au
seins de l’entreprise.
 En organisant des campagnes de sensibilisation afin de présenter les
méthodes utilisées par les hackers mais également les risques que
cela peut engendrer pour l’entreprise mais également pour leur vie
privé et pouvoir présenter des solutions et des bonnes pratiques pour
éviter les pièges tendus par les hackers.
 Et en proposant des formations pour apprendre aux collaborateurs à
se prémunir des attaques.
Liens annexes :
9 exemples d’attaques d'ingénierie sociale | Terranova Security
Les 12 failles humaines de la sécurité IT en 2018 (journaldunet.com)
LIVRET_FICHE37_JD8FASECO_INGENIERIE (ihemi.fr)
Qu'est-ce que le Social Engineering ? | Jedha Bootcamp

Document réalisé par Sebille Cyril

Vous aimerez peut-être aussi