6 octobre 2017

Temps de lecture : 2 min

Le Social Engineering, les failles de l’être humain

Pour peu que vous ayez une réputation de geek, il vous est peut-être déjà arrivé de recevoir un message ressemblant à celui-ci « Salut tu sais hacker un compte Facebook ? », et en bon geek, vous êtes fatigués que certains pensent à tort qu’un hacker pourrait un jour se munir d’un logiciel, y entrer leur adresse mail et simplement appuyer sur un bouton pour récupérer leur mot de passe.

Pour peu que vous ayez une réputation de geek, il vous est peut-être déjà arrivé de recevoir un message ressemblant à celui-ci « Salut tu sais hacker un compte Facebook ? », et en bon geek, vous êtes fatigués que certains pensent à tort qu’un hacker pourrait un jour se munir d’un logiciel, y entrer leur adresse mail et simplement appuyer sur un bouton pour récupérer leur mot de passe.

Et bien non, pirater le système de Facebook ou encore de Google n’est pas à la portée du premier venu (c’est même une tâche quasi impossible à l’heure actuelle), mais vous serez étonnés d’apprendre qu’aujourd’hui le moyen le plus simple pour accéder à vos données personnelles… c’est vous.

Le social au service des hackers

La technique principalement utilisée par les hackers est le phishing (ou hameçonnage). C’est aussi la plus accessible : elle permet aux hackers de récupérer des informations sensibles auprès de personnes débutantes en informatique et/ou naïves, les personnes âgées étant une cible de choix pour ces pirates de la donnée.

La technique la plus connue de phishing est celle des mails frauduleux. Le principe étant d’envoyer un mail à la victime en se faisant passer pour quelqu’un d’autre, par exemple un établissement bancaire, en y ajoutant logo, adresse mail ressemblante et voire pour certains qui poussent plus loin le prénom et nom de la personne ciblée, mettant ainsi la victime en confiance.

Certains éléments devraient néanmoins mettre la puce à l’oreille : l’adresse mail n’est pas une adresse officielle, le mail contient pléthore de fautes d’orthographes, on demande des informations sensibles directement dans le contenu du mail (carte bancaire, changement de mot de passe, …). Ensuite on vous redirige vers une page web, il est très important d’analyser l’URL pour remarquer les incohérences.

La nouvelle dimension du hack

Le temps ou les hackers étaient renfermés sur eux-mêmes et cloîtrés entre 4 murs est révolu, désormais le hacker est simple, sociable, il se fond dans la masse, et c’est ce qui nous amène à parler d’une nouvelle tendance, une méthode de hack difficile mais nécessaire lorsque les systèmes sont inviolables.

C’est la forme la plus pure du social engineering, le contact direct avec la cible. Les pré-requis sont nombreux et les motivations doivent être très importantes pour que le hacker veuille sortir de l’ombre. Cela demande d’être charismatique, de savoir jouer un rôle avec aisance, savoir manipuler une personne et essayer de déceler ses points faibles en amont afin d’attaquer au bon endroit. L’humain tout comme la machine a des failles et le but est d’y pénétrer afin d’obtenir ce que l’on veut. Cette méthode use de beaucoup d’artifices et de subterfuges. En ce sens, la série Mr. Robot est assez pertinente et en montre de parfaits exemples. La vidéo suivante permet aussi de se faire une idée de ce qu’il est possible de faire avec peu de moyens. Bref, lorsque les machines sont bien protégées, le point faible du système c’est vous.

Photo de Une : Ganapathy Kumar

Allez plus loin avec Influencia

the good newsletter

LES FORMATIONS INFLUENCIA

les abonnements Influencia