Informationswissenschaft ⊕ Science de l'Information: Sécurité: Le maillon le plus faible?

Montag, 18. Oktober 2010

Sécurité: Le maillon le plus faible?

La rumeur dit que les professionnels piratent les gens, les amateurs piratent les ordinateurs.

Kevin Mitnick, un criminel informatique converti de grande notoriété, qui a popularisé le terme de l’«ingénierie sociale», souligne qu’il est beaucoup plus simple de piéger quelqu’un pour qu’il donne un mot de passe pour accéder à un réseau informatique ou à une application que de faire l’effort de le pirater pour obtenir l’entrée.

L’ingénierie sociale est un terme utilisé parmi les pirates pour décrire les techniques employées pour obtenir l’accès aux systèmes informatiques; ces dernières reposent sur la faiblesse humaine davantage que sur des outils logiciels. Son but est d'entraîner les gens à révéler leurs mots de passe et d'autres informations dont un pirate peut ensuite se servir pour compromettre la sécurité d’un système informatique. On peut le décrire comme: «l’art et la science de réussir à faire en sorte que les gens se soumettent à vos désirs.»

Dans un article du Washington Post, Mitnick explique qu’il a utilisé l’ingénierie sociale pour obtenir des informations sur un réseau – et parfois même réussir à accéder au réseau – pour plus de la moitié des exploitations de réseaux qu’il a réussi à effectuer.

Dans son livre, L’art de la supercherie, il explique avec précision:

«…par nature, les gens ont envie d’aider et par conséquent, ils se laissent facilement avoir.»
«Ils acceptent un niveau de confiance afin d'éviter le conflit.»
«Tout résulte du fait que les gens pensent que l’accès à l’information est anodin alors que ça ne l’est pas.»
«Vous pouvez dépenser des fortunes dans l’achat de technologies et services…et votre infrastructure de réseau reste vulnérable à la manipulation ancienne.»
«Le maillon le plus faible de la chaîne de sécurité est l’élément humain…»

Comment est-ce que j’ai pu être attaqué?

Le type le plus courant d'attaque d’ingénierie sociale est réalisé par téléphone. Un pirate vous appelle et imite une personne, souvent quelqu’un à un poste supérieur - qui, peu à peu, recueille le plus possible d'informations sur vous. Par exemple, l’un des moyens le plus efficace et le plus simple d’entraîner les utilisateurs informatiques à divulguer des informations est d’appeler et de se faire passer pour quelqu’un de l’help desk ou du support informatique et de demander les mots de passe de l’utilisateur.

Les ingénieurs sociaux obtiennent également des informations en prétendant qu’ils sont les administrateurs du réseau. Un criminel de ce genre vous enverra un message e-mail par le réseau, déclarant qu’il a besoin de votre nom d’utilisateur et de votre mot de passe pour corriger un problème technique. Dans un autre scam, il se peut que vous receviez un message électronique contenant un lien vers un site web d’un concours. On vous demande de remplir un formulaire et d’indiquer notamment les noms de collègues et responsables, les numéros de téléphone et autres informations importantes. Ces données – si elles sont recoupées – peuvent aider le pirate à étendre son réseau d’ingénierie sociale et à compromettre éventuellement votre réseau informatique.

Comment puis-je me protéger moi et mon entreprise d’une attaque d’ingénierie sociale?

Ne révélez jamais votre mot de passe à quiconque (sauf si vous y êtes autorisé). Tous les utilisateurs officiels du réseau ont leurs propres comptes, les administrateurs qui ont besoin d'effectuer une tâche peuvent le faire avec leurs propres comptes. L’administrateur n’a pas besoin de connaître votre mot de passe. La réinitialisation de votre mot de passe ou le déverrouillage de votre compte ne nécessite pas l’utilisation de votre mot de passe.

Voici d’autres conseils à suivre pour éviter les attaques d’ingénierie sociale:

Vérifiez l’identité de tous ceux qui vous appellent.
Assurez-vous à chaque fois que tous les visiteurs respectent les procédures locales d’enregistrement des visiteurs et disposent de l’identification visiteur correcte.
Ne dévoilez jamais d’informations confidentielles de l’entreprise. Soyez prudent si quelqu’un vous appelle et vous interroge sur d'autres collaborateurs, notamment sur leurs noms et leurs positions.
Si une personne qui vous appelle ou un visiteur inconnu vous demande de taper quelque chose sur votre ordinateur – ne le faites pas - sauf si vous êtes sûr qu'ils sont autorisés à agir ainsi.
Faites attention aux personnes qui regardent par-dessus votre épaule lorsque vous entrez votre mot de passe.
Ne donnez les numéros d'appels en interne sur votre réseau informatique ou sur tout autre système qu’aux utilisateurs valides.
Ne répondez jamais aux questions posées pour des sondages externes par téléphone.

Que puis-je faire si je pense que je suis attaqué?

Si vous recevez un appel que vous croyez provenir d’un ingénieur social:

Écrivez le numéro s'il s'affiche sur le téléphone.
Prenez des notes détaillées de la conversation, y compris la date et l'heure de l'appel.
Demandez le nom et le numéro de la personne qui appelle.
Contactez immédiatement votre équipe locale de sécurité informatique et suivez les procédures locales de réponse aux incidents.
Alertez les membres de votre équipe.

Source: inconnu

Keine Kommentare:

Kommentar veröffentlichen

Über den Blog Informationswissenschaft

Der Informationswissenschaft-Blog bietet eine Auswahl an Beiträgen mit einem Schwerpunkt auf der Informationswissenschaft und Informationsrecherche an. Die Sammlung wurde ursprünglich als Ersatz für eine Beige von Notitzzetteln und Zeitungsausrissen erstellt. Gleichfalls bietet die Auswahl allen Interessierten und im I+D-Bereich tätigen Personen eine Möglichkeit, die Trends und Entwicklungen mitzuverfolgen oder zu diskutieren.

Artikel erscheinen nur, wenn es auch etwas zu sagen gibt. Deshalb ist die Erscheinungsweise neuer Artikel nicht regelmäßig. Am besten abonnieren Sie den Blog als RSS-Feed oder als e-Mail, dann versäumen Sie keinen aktuellen Beitrag.

À propos du blog
Science de l'Information

Le blog Science de l'Information met à disposition une sélection d'articles sur les sciences de l'information et la recherche documentaire. Ceux-ci en français sont destinés en premier lieu aux utilisateurs de l'internet et des résaux socials et concernent la sécurité et la vie privée, mais également à toute personne concernée ou intéressée par ces domaines. Ces pages constituent également un outil permettant de suivre les évolutions du monde de l'information, notamment par un choix de blogs consacrés aux sciences de l'information et la discussion sur les sujets.

Les articles n'apparaissent que s'il y a quelque chose. Par conséquent, les nouvels articles ne sont pas publiés régulièrement. La meilleure façon de ne pas manquer un article est de vous abonner au blog comme flux RSS ou par e-mail, ainsi vous ne manquez pas un article.

Informationswissenschaft ⊕ Science de l'Information

Montag, 18. Oktober 2010

Sécurité: Le maillon le plus faible?

Comment est-ce que j’ai pu être attaqué?

Comment puis-je me protéger moi et mon entreprise d’une attaque d’ingénierie sociale?

Que puis-je faire si je pense que je suis attaqué?

Keine Kommentare:

Verknüpfungen ⊕ Liens

Archiv ⊕ Archives

Droits ⊕ Rechte

Recherche ⊕ Suche

Stichworte ⊕ Mots clés