Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique préventive - Décontamination - Antivirus - Protection - Protection de la Vie Privée

Ingénierie sociale

L'ingénierie sociale : techniques de manipulations mentales / psychologiques / de l'esprit, afin d'aider ou nuire à autrui. Sur le Web, c'est l'art de tirer les vers du nez, d'arnaquer.

Ingénierie sociale - Ingénierie sociale Ingénierie socialeEcrire à Assiste.com - Ingénierie sociale - Ingénierie sociale Ingénierie sociale

L'ingénierie sociale, ou "élicitation" ou "social engineering" en anglais, est l'ensemble des techniques de manipulations psychologiques (manipulations mentales, manipulations de l'esprit) des individus, afin d'aider ou nuire à autrui.

Par exemple, la secte de la Scientologie est sans cesse accusée de manipulations mentales des personnes qu'elle attire / recrute (lavage de cerveaux) afin de leur soutirer leur patrimoine - leur argent, en leur faisant miroiter la progression par étapes lourdement payantes d'un état qu'elles n'atteindront jamais. C'est de l'ingénierie sociale (de l'"élicitation") qui fait tomber les victimes dans un mécanisme où elles versent sans fin de l'argent - le tonneau des Danaïdes.

Il n'y a pas de remède à l'ingénierie sociale. Un esprit est fort et résiste à la manipulation ou est faible et se laisse manipuler, convaincre...

En matière de sécurité informatique et sécurité de l'information (toutes informations, y compris en dehors de l'informatique), l'ingénierie sociale est l'art de tirer les vers du nez ou l'art d'arnaquer ou l'art de convaincre... (l'art d'obtenir d'un utilisateur ses codes d'identification et mots de passe, l'art de faire ouvrir un fichier contaminé, l'art d'obtenir les références bancaires, etc. ...).

Toutes les attaques de type phishing, toutes les arnaques 419 (arnaque nigériennes), toutes les chaînes pyramidales, etc. ... reposent sur de l'ingénierie sociale.

Les tentatives de vous faire installer les produits d'un sponsor lorsque vous installez un logiciel, relèvent également de l'ingénierie sociale.

L'ingénierie sociale utilisée pour obtenir de l'information est donc quelque chose de malin (au sens étymologique du terme) et déloyal.

L'ingénierie sociale exploite la première des failles de sécurité : le virus PEBCAK.

L'attaquant utilise ses connaissances, son charisme, l'imposture ou le culot, l'attaquant abuse de la confiance, de l'ignorance ou de la crédulité des personnes possédant ce qu'il tente d'obtenir.

Dans son ouvrage L'art de la supercherie, Kevin Mitnick a théorisé et popularisé cette pratique de manipulation qui utilise principalement les "failles humaines" d'un système informatique comme "effet de levier", pour briser ses barrières de sécurité.

L'Ingénierie sociale est aussi appelé processus "d'élicitation" (de "éliciter" : trier, faire sortir de, susciter...), ou plus concrètement en langue française : L'art d'extirper frauduleusement de l'information à l'insu de son interlocuteur en lui « tirant les vers du nez ». Ce terme est souvent utilisé dans le jargon informatique pour désigner un processus d'approche relationnel frauduleux et définit plus globalement les méthodes mises en œuvre par certains hackers (catégorie des black hat), qui usent "d'élicitation" pour obtenir d'une personne manipulée, un accès direct à un système informatique ou plus simplement, pour satisfaire leur curiosité.

De nos jours, un effort de formation et de prévention est fourni aux utilisateurs des systèmes informatisés sécurisés. Les départements chargés de la sécurité des systèmes informatiques forment les différents personnels de l'entreprise aux règles de sécurité de base : la meilleure façon de choisir un mot de passe (long et ne se trouvant pas dans un dictionnaire), ne jamais révéler son mot de passe à quelqu'un, pas même à un interlocuteur se faisant passer pour un employé du département informatique, etc. De nombreuses conférences invitent les spécialistes du renseignement ou de la sécurité du système d'information dans les entreprises, à instruire le personnel au sein des grandes structures de l'État et des grands groupes du CAC 40, et à sensibiliser davantage leurs nombreux utilisateurs à cette forme de menace déloyale. Ces formations visent principalement à prévenir les effectifs internes des entreprises, à ne pas divulguer "accidentellement" ou "involontairement" des informations sensibles, et à leur enjoindre de donner l'alerte en cas de tentative d'intrusion frauduleuse.

Exemples d'Ingénierie sociale : tous les liens dans :

Spectaculaire : Ingénierie sociale sans l'usage du Web, dans ces deux films :

Ingénierie sociale - Ingénierie sociale