L'ingénierie sociale, ou « élicitation » ou « social engineering » en anglais, est l'ensemble des techniques de manipulations psychologiques (manipulations mentales, manipulations de l'esprit) des individus, afin d'aider ou nuire à autrui.
Par exemple, la secte de la Scientologie est sans cesse accusée de manipulations mentales des personnes qu'elle attire / recrute (lavage de cerveaux) afin de leur soutirer leur patrimoine - leur argent, en leur faisant miroiter la progression par étapes lourdement payantes d'un état imaginaire qu'elles n'atteindront jamais. C'est de l'ingénierie sociale (de l'« élicitation ») qui fait tomber les victimes dans un mécanisme où elles versent sans fin de l'argent - le tonneau des Danaïdes.
On trouve, dans ces techniques, la « restriction mentale », un acte mental par lequel on donne aux phrases des sens différents de ceux que le lecteur/l'interlocuteur va leur donner, dans le but de l'induire en erreur.
Il n'y a pas de remède à l'ingénierie sociale.
- Un esprit est fort et résiste à la manipulation ou est faible et se laisse manipuler, convaincre...
- La culture peut être un rempart mais n'est pas suffisante à elle seule. Même les politiques les plus cultivés et les ingénieurs les plus intelligents peuvent se faire manipuler. Ainsi en fut-il dans l'affaire des avions renifleurs.
En matière de sécurité informatique et sécurité de l'information (toutes informations, y compris en dehors de l'informatique), l'ingénierie sociale est l'art de tirer les vers du nez ou l'art d'arnaquer ou l'art de convaincre... (l'art d'obtenir d'un utilisateur ses codes d'identification et mots de passe, l'art de faire ouvrir un fichier contaminé, l'art d'obtenir les références bancaires, etc. ...).
Toutes les attaques de type phishing, toutes les arnaques 419 (arnaque nigériennes), toutes les chaînes pyramidales, etc. ... reposent sur de l'ingénierie sociale.
Les tentatives de vous faire installer les produits d'un sponsor lorsque vous installez un logiciel, relèvent également de l'ingénierie sociale.
L'ingénierie sociale utilisée pour obtenir de l'information est donc quelque chose de malin (au sens étymologique du terme) et déloyal.
L'ingénierie sociale exploite la première des failles de sécurité : le virus PEBCAK.
L'attaquant utilise ses connaissances, son charisme, l'imposture ou le culot, l'attaquant abuse de la confiance, de l'ignorance ou de la crédulité des personnes possédant ce qu'il tente d'obtenir.
Dans son ouvrage L'art de la supercherie, Kevin Mitnick a théorisé et popularisé cette pratique de manipulation qui utilise principalement les "failles humaines" d'un système informatique comme "effet de levier", pour briser ses barrières de sécurité.
L'Ingénierie sociale est aussi appelé processus "d'élicitation" (de "éliciter" : trier, faire sortir de, susciter...), ou plus concrètement en langue française : L'art d'extirper frauduleusement de l'information à l'insu de son interlocuteur en lui « tirant les vers du nez ». Ce terme est souvent utilisé dans le jargon informatique pour désigner un processus d'approche relationnel frauduleux et définit plus globalement les méthodes mises en œuvre par certains hackers (catégorie des black hat), qui usent "d'élicitation" pour obtenir d'une personne manipulée, un accès direct à un système informatique ou plus simplement, pour satisfaire leur curiosité.
De nos jours, un effort de formation et de prévention est fourni aux utilisateurs des systèmes informatisés sécurisés. Les départements chargés de la sécurité des systèmes informatiques forment les différents personnels de l'entreprise aux règles de sécurité de base : la meilleure façon de choisir un mot de passe (long et ne se trouvant pas dans un dictionnaire), ne jamais révéler son mot de passe à quelqu'un, pas même à un interlocuteur se faisant passer pour un employé du département informatique, etc. De nombreuses conférences invitent les spécialistes du renseignement ou de la sécurité du système d'information dans les entreprises, à instruire le personnel au sein des grandes structures de l'État et des grands groupes du CAC 40, et à sensibiliser davantage leurs nombreux utilisateurs à cette forme de menace déloyale. Ces formations visent principalement à prévenir les effectifs internes des entreprises, à ne pas divulguer "accidentellement" ou "involontairement" des informations sensibles, et à leur enjoindre de donner l'alerte en cas de tentative d'intrusion frauduleuse.
Exemples d'Ingénierie sociale : tous les liens dans :
Spectaculaire : Ingénierie sociale sans l'usage du Web, dans ces deux films :
En matière de « Sécurité de l'information » (en informatique, en cryptographie, en matière de vie privée sur l'Internet, etc.), l'« Ingénierie sociale » (« Social engineering » en anglais), est la méthode la plus répandue et la plus simple de convaincre un individu et le conduire à révéler ce qui devrait rester caché ou faire ce qui ne devrait pas être fait. C'est une escroquerie en col blanc. Par exemple, lors d'une attaque contre un « mot de passe » d'un individu, l'« Ingénierie sociale » consiste à convaincre cet individu de donner, volontairement, son couple : identifiant (login - UserName) et « mot de passe ». L'attaquant se fait passer pour le responsable du service informatique de son entreprise ou pour un cadre dirigeant stressé travaillant cette nuit pour produire dans l'urgence, lors d'une importante réunion qui a lieu demain matin, un document urgent, etc. Cela se fait le plus souvent à distance (téléphone, courriel...), à un moment où l'individu attaqué ne peut se déplacer (de nuit, de week-end...).
C'est tout un art, mais en matière de « Sécurité de l'information », il s'agit d'un acte frauduleux.
Plus le hacker attaquant est un bon comédien charismatique et plus l'attaque à des chances de réussir. Le taux de réussite de ce type d'attaques frise les 100% !
La « bonne foi », l'imposture de l'attaquant, etc. ne sont pas des arguments de défense et c'est l'individu attaqué qui constitue la « faille de sécurité ». Il aurait dû activer un antivirus contre le virus PEBCAK.
