Le social engineering se définit comme une pratique manipulatrice. Elle a pour but de manipuler les personnes afin d’obtenir un accès à quelque chose sans que l’on s’en rende compte. En d’autres termes, c’est le cauchemar des entreprises et de toutes les cibles des cyberattaques. Pour arriver à ses fins, un hacker va influencer et abuser de la confiance de sa victime pour obtenir des informations comme ses identifiants à des comptes sensibles. Dans ce podcast, je vais aborder la pratique du social engineering et te donner des conseils pour éviter de tomber dans le piège.
Le social engineering : l’art de manipuler et de tromper
Le social engineering est une faille humaine. Elle peut donc être exploitée par n’importe qui et cela sans connaissances techniques particulières. En effet, manipuler quelqu’un ne demande pas de quelconque diplôme, et tout le monde a déjà menti dans sa vie pour obtenir quelque chose. Ainsi, seul l’être humain peut se défendre face à cette faille, à condition d’être averti et très vigilant.
La pratique du social engineering est efficace dans 90% des piratages. Si le pourcentage de réussite est très élevé, c’est parce que les attaques utilisant le social engineering sont très ciblées. Par exemple, imaginons que tu souhaites attaquer une entreprise avec un budget cybersécurité très élevé, tu vas donc chercher à attaquer l’homme plutôt que de trouver des failles informatiques. Tu commences par tracer les adresses IP des serveurs, les mails, les noms et la place des employés dans l’entreprise. Imaginons que tu découvres l’identité de la secrétaire du patron et que par le biais d’un employé tu apprends que le patron a une réunion cette après-midi avec un partenaire.
Tu viens d’obtenir l’information clé pour lancer ta cyberattaque.
Tu as ici l’une des meilleures failles humaines car tu as un contexte. Il te suffit de charger ton virus dans un document Word et de te faire passer pour le patron. Tu vas donc demander à la secrétaire de vérifier le planning de la réunion, avec des erreurs pour inciter la secrétaire à utiliser le fichier, et le tour est joué. Si ton plan est bien ficelé, la secrétaire ne se rendra même pas compte qu’elle a cliqué sur le bouton « Activer la modification » de Word et répandu un ransomware dans l’entreprise.
Cet exemple, qui est une histoire vraie parmi tant d’autres, montre à quel point le social engineering est puissant. Une entreprise peut investir dans la cybersécurité, il suffit qu’un employé clique sur le mauvais bouton pour tout gâcher. Mais alors, si le social engineering est si puissant, comment peut-on contrer ce type d’attaque ? C’est ce que je vais te raconter dans ce podcast.
Ce podcast est disponible directement sur l’application Soundcloud, clique sur le bouton ci-dessous pour y accéder.
N’hésite pas à donner ton avis sur ce podcast dans l’espace commentaire ci-dessous ! Cela me permet de m’aider à améliorer mon contenu et de voir si le sujet t’intéresse ou non. Je t’invite aussi à le partager à toutes tes connaissances s’intéressant de près ou de loin au social engineering ! Enfin, je t’invite à lire mon article sur l’adresse IP pour que tu découvres le potentiel d’exploitation de cette dernière.