Ingénierie sociale

Objectifs

• Définir l'ingénierie sociale
• Identifier les différentes techniques d'ingénierie sociale
  • Hameçonnage (phishing)
  • Appâtage (baiting)
  • Attaque de point d'eau (watering hole)
  • Prétexter (pretexting)
  • Talonnage (tailgating)
• Reconnaître les signes d'une attaque d'ingénierie sociale
• Lister les moyens de protection contre l'ingénierie sociale
• Définir le hacking éthique

Cours

Appuyez sur F pour passer en plein écran.
Version plein écran ou imprimable.

Exercices

Lisez l'article sur https://www.lecho.be/entreprises/banques/crelan-la-fraude-etait-d-origine-humaine/9725467.html et répondez aux questions suivantes :

1. Quelles est le lien avec le sujet de ce cours ?
2. Quels techniques ont été utilisées ?
3. Quelles erreurs ont été commises ?
4. Quelles mesures de protection auraient pu être mises en place ?

Correction

1. La fraude a été commise par un employé de la banque Crelan, le système informatique n'est pas en cause. C'est donc un cas d'ingénierie sociale.
2. Le fraudeur a prétexté être le CEO de la banque pour obtenir des informations confidentielles et/ou pousser les employés à effectuer des virements.
3. Les employés ont cédé à la pression et n'ont pas vérifié l'identité de la personne.
4. Les employés auraient peut-être pu vérifier l'identité de la personne en appelant le CEO par exemple. La banque aurait pu mieux former ses employés à reconnaître les techniques d'ingénierie sociale.

Lisez l'article sur https://www.blick.ch/fr/news/suisse/soyez-vigilents-des-escrocs-faussent-les-factures-de-redevance-searfe-id19385891.html et répondez aux questions suivantes :

1. Est-ce un cas d'ingénierie sociale ?
2. Quelles techniques ont été utilisées ?
3. Quelles erreurs ont été commises ?
4. Comment aurait-on pu éviter cette fraude ?

Correction

1. Oui, c'est un cas d'ingénierie sociale car on a tenté de tromper les gens pour obtenir de l'argent.
2. C'est un cas de phishing par courrier. Les escrocs ont envoyé des factures de redevance Serafe falsifiées.
3. Les gens ont payé sans vérifier l'authenticité de la facture.
4. Serafe aurait peut-être pu informer ses clients de cette fraude (si elle est au courant). Les clients auraient pu mieux vérifier les données de paiement (IBAN, nom, ...) avant de payer.

Sources

• https://fr.wikipedia.org/wiki/Ingénierie_sociale_(sécurité_de_l'information)

• https://www.ncsc.admin.ch/ncsc/fr/home/infos-fuer/infos-private/aktuelle-themen/social-engineering.html

• https://www.ncsc.admin.ch/ncsc/fr/home.html

• https://www.securiteinfo.com/attaques/divers/social.shtml

• https://www.metacompliance.fr/blog-cybersecurite/phishing-et-ransomware/techniques-d-attaques-utilisant-l-ingenierie-sociale

• https://fr.vikidia.org/wiki/Hameçonnage ou https://fr.wikipedia.org/wiki/Hameçonnage

• https://fr.wikipedia.org/wiki/Hacking_éthique

• https://www.ibm.com/fr-fr/topics/social-engineering

• https://terranovasecurity.com/fr/quest-ce-que-l-ingenierie-sociale/

• Sécurité informatique - Gildas Avoine, Pascal Junod, Philippe Oechslin - Vuibert - ISBN 978-2-311-40168-4