jeu, 05/01/2012 - 15:58
Depuis une dizaine d’années, force est de contacter que la sécurité se positionne comme un véritable centre d’intérêt dans notre vie de tous les jours. Ainsi que ce soit dans un contexte privé ou professionnel, nous sommes de plus en plus gênés par ce fléau qui ne cesse de se développer : évolution des technologies, enjeux liés au piratage, nouvelles formes de piratage... L’environnement est assez mouvant et demande une attention constante de la part des utilisateurs. Nous sommes loin de l’époque où un simple antivirus ou firewall pouvait nous protéger des nombreuses menaces. Par Hubert Barkate, Président d’Adhara.
Parmi les points marquants ces derniers temps, nous constatons qu’une nouvelle forme de piratage semble se développer. Il s’agit de l’ingénierie sociale, encore connue sous le nom de social engineering. Il paraît important, dans un premier temps, d’en dessiner les contours afin de mieux comprendre son étendue et de trouver des parades efficaces. En quelques mots, l’ingénierie sociale est une forme d'acquisition déloyale d'information et d'escroquerie, utilisée en informatique pour obtenir d'autrui, un bien, un service ou des informations clefs. Cette pratique exploite les failles humaines et sociales de la structure cible, à laquelle est lié le système informatique visé (source Wikipédia).
Il s’agit donc d’une méthode complexe qui peut revêtir plusieurs formes complémentaires et être utilisée par différents canaux de communication : mail, téléphone… Son approche est également novatrice dans la mesure où le contact n’est pas aussi « intrusif » qu’une démarche classique. Il s’agit de jouer sur la confiance et de mettre la personne sollicitée dans un climat propice à la récolte d’informations. Par exemple, un hacker n’hésitera pas faire référence à un directeur ou à un chef de service pour obtenir des informations d’un collaborateur.
Les demandes peuvent être multiples et diverses : du simple mot de passe jusqu’à des informations plus précises. Cela dépend de la finalité de l’action. Il convient donc de déceler les comportements suspects et d’instaurer une culture de la méfiance. Les collaborateurs ne doivent pas être victimes de cette forme de piratage d’un nouveau genre et de plus en plus répandue.
L’on note également, la simplicité de cette méthode de piratage et sa rapidité de mise en œuvre. Un simple travail de veille est nécessaire pour lancer son dispositif. Il ne s’agit pas ici de bénéficier de compétences informatiques étendues, de s’introduire dans le SI par une action de contournement informatique… Une approche directe par mail et téléphone suffit. Lutter contre l’ingénierie sociale passe donc nécessairement par la formation des collaborateurs et un travail de mise en condition.
L’objectif d’un tel dispositif est de sensibiliser les collaborateurs, leur instaurer une culture de la méfiance au regard de certaines demandes et de leur permettre d’apporter les bonnes réponses en cas de sollicitation. N’oublions pas que le social engineering ne se limite pas à une seule technique. Il est donc nécessaire de présenter tous les scénarios possibles.
Au regard des nombreuses extorsions d’informations liées au social engineering, les professionnels doivent se mobiliser et rapidement déployer de nouvelles mesures pour ne pas être abusées par ces piratages d’un nouveau genre.
Hubert Barkate, Président d’Adhara
A propos de l'auteur