Attaque par ingénierie sociale

En matière de « Sécurité de l'information numérique » (en informatique, en cryptographie, en matière de vie privée sur le Web, etc.), l'« Ingénierie sociale » (« Social engineering » en anglais), est la méthode la plus répandue et la plus simple de convaincre un individu et le conduire à révéler ce qui devrait rester caché ou faire ce qui ne devrait pas être fait. C'est une escroquerie en col blanc. Par exemple, lors d'une attaque contre un « mot de passe » d'un individu, l'« Ingénierie sociale » consiste à convaincre cet individu de donner, volontairement, son couple : identifiant (login - UserName) et « mot de passe ». L'attaquant se fait passer pour le responsable du service informatique de son entreprise ou pour un cadre dirigeant stressé travaillant cette nuit pour produire dans l'urgence, lors d'une importante réunion qui a lieu demain matin, un document urgent, etc. Cela se fait le plus souvent à distance (téléphone, courriel...), à un moment où l'individu attaqué (la victime) ne peut se déplacer (de nuit, de week-end...).

C'est tout un art, mais en matière de « Sécurité de l'information numérique », il s'agit d'un acte frauduleux.

Plus le hacker attaquant est un bon comédien charismatique et plus l'attaque à des chances de réussir. Le taux de réussite de ce type d'attaques frise les 100% !

• Le « phishing » est une forme d'« Ingénierie sociale ».

• Le « spam nigérian » (ou « fraude 419 » ou « nigérian spam ») est une forme d'« Ingénierie sociale ».

• La propagation de virus peut se faire grâce à de l'« Ingénierie sociale ».

La « bonne foi », l'imposture de l'attaquant, etc. ne sont pas des arguments de défense et c'est l'individu attaqué qui constitue la « faille de sécurité ». Il aurait dû activer un antivirus contre le virus PEBCAK.

Voir, dans l'encyclopédie, l'article complet sur l'Ingénierie sociale.