Commentaires : Le social engineering : « cerveau-piratage » ou piratage informatique ? Notre dossier

L’ingénierie sociale, mise en lumière avec le piratage massif de Twitter, est définie comme « l’art d’utiliser la tromperie et le mensonge pour arriver à ses fins » par Kevin Mitnick en 2006, utilise les failles humaines pour aboutir à des vols de données ou des arnaques. L’informatique sert de parfait théâtre pour cette pratique.

Je trouve que cerveau-piratage fait terme « télévisuel » j’imagine un pseudo intellectuelle sur TF1 qui essaye de faire peur avec.

L’ingénierie sociale, c’est le mot savant pour « manipulation » de masse. Publicité, « communication », etc. Et ça marche… tout le monde est persuadé d’acheter, de croire, etc.

Il y a quand même des énormes lacunes en terme de sécurité chez Twitter, beaucoup de personnes ont accès des droit impressionnant sur des comptes très sensible.

C’était que pour de l’argent, mais ça aurait pu être une déclaration de guerre de la part du compte de Trump, là ça aurait pu avoir des conséquences catastrophiques!

Et bordel, dans quel monde on donne des login / mot de passe par téléphone…

Une pensée aux naïfs qui ont cru à cette arnaque, ils ne reverront jamais leur argent.

« dans quel monde on donne des login / mot de passe par téléphone » oh mais c’est bien plus courant qu’on ne le pense … Et franchement comment savoir a distance si quelqu’un fait réellement parti du Service Informatique ou non ? Pour bien des personnes l’informatique est simplement un outil comme un autre et ne savent pas vraiment comment ça fonctionne (et s’en foutent royalement) Du coup dés qu’il y a quelqu’un d’un peu technique et qui sait de quoi il parle on lui accorde naturellement une certaine confiance … il n’en faut pas plus …
Mais cela n’est pas vraiment nouveau, c’est un peu le même principe que pour le scam419 … ou tout simplement aux actualités quand des journalistes affirment des choses qu’il est impossible d’aller vérifier (si tant est qu’on s’en donne la peine)…

Moi qui travaille dans l’informatique tu n’imagines même pas à quel point je me bat avec mes utilisateurs pour leur inculqué la sensibilité d’un mot de passe eux qui l’écrive sur des post-it… c’est une guerre du quotidien idem avec le verrouillage de session. plein de petit facteurs de sécurité qui ne sont pas respecté c’est assez affligeant.
Même en sécurisant fortement le système la faille humaine est toujours réelle.

Ça fait des années qu’on que la plus grosse faille dans l’informatique aujourd’hui se trouve entre la chaise et le clavier

@AlexLex14 Merci pour cet article qui peut servir de sensibilisation à beaucoup de monde.
Les exemples sont nombreux en France sur le manque de culture au sujet de la sécurité informatique. Même si le social engineering dépasse le cadre de l’informatique. Les employés ne sont pas les seuls fautifs. Je pense que beaucoup d’employeurs ne sont eux-mêmes pas sensibilisés ou s’en fichent et ne veulent pas investir: formations, service IT qui va bien etc…

Tu as parfaitement raison… Il y a de sérieuses carences, et je pense qu’on est pas près de les combler

Sinon, bon week-end

D’un autre coté, quand les choses sont vraiment prises au sérieux, il est quasiment impossible de travailler.
Un de mes client a subi un gros dommage suite à un piratage. Depuis le service informatique dépend d’un « security officier » qui vérifie tout. On n’a plus droit aux pièces jointes, le web est limité à une liste blanche de quelques sites, seul le protocole http est autorisé, les machines ne peuvent exécuter que les rares exécutables signés en interne (aucune autre signature n’est autorisée, et sinon, il faut une autorisation manuelle, je te laisse imaginer le problème quand tu bosses 50% de temps de plus que le service du SCO…), l’anti virus divise les perfs disque par 2, prend 50% de CPU et 30% de la mémoire des bécanes, … Et on est obliger de faire des truc pas du tout bon pour la sécurité pour pouvoir bosser, donc on est toujours le maillon faible.

L’ingénierie sociale date depuis au moins la date de publication de la « La fabrique du consentement » et a été largement employé bien avant l’informatique, on est d’accord

Ça s’est souvent tout le problème. A part déconnecter un pc du réseau il est impossible de faire de la sécurité a 100%. Il faut trouver le juste milieu entre utilisation et sécurité. Chose que bon nombre de responsables sécu ne savent pas faire ou ne veulent pas faire. Résultat le remède est pire que le mal car ça pousse les gens a trouver des solutions pour bosser correctement qui souvent contournent les règles de sécurité…et du coup on se retrouve à nouveau avec des failles non maîtrisées

On a beau se dire « Je suis trop malin pour que ça m’arrive », il y a toujours un moment de faiblesse où on répond machinalement et où, au moment de cliquer sur envoyer, on se dit que quelque chose cloche. Parfois trop tard.

Se méfier aussi des commerçants classiques (boutiques en dur) qui sont très peu soupçonnés dans les arnaques internet. Pourtant ce type d’arnaque est courante. Il suffit à un vendeur de vous voir saisir votre code de carte (beaucoup cachent leur code aux clients derrière sans se protéger du marchand), de laisser trainer un smartphone sur le comptoir qui filme votre carte recto verso pendant l’échange. Et hop, vous venez de donner toutes les infos à votre voleur qui se fera une joie de fêter l’événement en dépensant des milliers d’euros sur internet.

Etant donné qu’il n’y a pas besoin du code secret pour commander sur Internet (le code secret n’est là que pour protéger l’accès physique à la puce de la carte), il « suffit » d’avoir le numéro de la carte et le cryptogramme visuel (les trois chiffres au dos).

Article très intéressant et plutôt complet !

Etant dans le domaine, je confirme que le facteurs humain est la plus grosse faille de sécurité ses dernières années car les systèmes d’information sont de plus en plus sécurisé et l’accès à cette sécurité est plus accessible niveau économique et compétence.
C’est pour cela que l’aspect sociale est de plus en plus important en informatiques car l’humain fait partie intégrante de la sécurité de l’information.

Donc en tant qu’utilisateurs au sein de votre entreprise, ne vous plaignez pas quand le service IT « vous met des batons dans les roues » pour des raisons de sécurité car au final on fait ça pour éviter que vous fassiez une conn.rie x)

Oui, c’est vrai. Mais dans ce type d’arnaques, les voleurs cumulent souvent retraits aux distributeurs (en cas de vol de la carte) et achats sur internet. C’est d’ailleurs les retraits massifs aux distributeurs qui peuvent permette de donner l’alarme plus vite.