Ingénierie sociale

L'ingénierie sociale (social engineering en anglais) est la discipline consistant à obtenir quelque chose (un bien ou une information) en exploitant la confiance mais parfois également l'ignorance ou la crédulité de tierces personnes. Il s'agira pour les personnes usant de ces méthodes d'exploiter le facteur humain, qui peut être considéré comme le maillon faible de tout système de sécurité. Kevin Mitnick, avec son ouvrage L'art de la supercherie a théorisé et popularisé cette pratique.

Ce terme est surtout utilisé en jargon informatique pour définir les méthodes des crackers ou des hackers, qui usent d'ingénierie sociale pour obtenir respectivement un accès à un système informatique ou pour satisfaire leur curiosité.

Exemple

Voici un exemple d'une possible conversation téléphonique entre un cracker et une secrétaire d'une société X. Le cracker n'a aucune information lui permettant d'entrer dans le système. Néanmoins, il a fait de la recherche préliminaire sur la société, pour pouvoir tromper la secrétaire de manière convaincante (commentaires entre parenthèses)

• Bonjour, c'est M^lle Foobar à l'appareil ?
• Oui, mais qui...
• Oui, c'est Greg Malone, département de sécurité informatique au siège. Ecoutez, le grand patron est en train de péter les plombs là, et j'ai un peu chaud aux fesses...
• Ah ?
• En fait, notre réseau a été pénétré par un pirate informatique qui s'est attaqué aux principales bases clients...
• Ha oui ?!
• Et donc là, nous tous dans le département de sécurité, on nous met la pression pour déployer les protocoles d'urgence au plus vite. Enfin vous savez ce que c'est, ils veulent ça pour hier en quelque sorte...
• Tous les mêmes...
• Oui, ça c'est sûr... Enfin en tout cas, on nous demande de changer les mots de passe d'accès pour tout le système.
• Oui, je sais comment changer le mien. Vous voulez que je le change maintenant?
• Non, j'aimerais autant le faire à partir d'ici, pour être sûr que le pirate ne pourra pas le détourner... On ne sait pas encore jusqu'où il a pu aller en fait...
• Ah d'accord...
• Alors si vous pouviez juste me donner votre mot de passe actuel, pour que je puisse le changer...
• Bon, c'est 'Turingrom'... Vous le changez tout de suite ?
• Oui oui, si vous restez en ligne deux secondes... (le cracker ayant une machine à proximité se connecte et change le mot de passe de la secrétaire)... Voila, alors prenez un papier et un crayon pour noter le nouveau, je l'ai choisi un peu compliqué, au cas où... C'est « Hx7é%d ».
• Ah oui, effectivement, c'est plus compliqué.
• Oui, je suis désolé, mais c'est nécessaire, vous comprenez... Surtout n'essayez pas de le changer à partir de chez vous, sinon le pirate pourrait l'intercepter et retrouver un accès au système. Je vous rappelle quand nous aurons sécurisé tout le réseau pour vous dire quand vous pourrez à nouveau le changer.
• D'accord, merci!
• De rien. Au pire, je pense d'ici quelques jours nous aurons tout sécurisé... J'espère ne pas trop vous avoir dérangé...
• Non non, pas du tout!
• Merci, vous m'avez beaucoup aidé! Au revoir!

À l'issue de cette conversation, le cracker dispose d'un accès au réseau de la société. Cet accès peut se révéler très court si la victime parle de cette conversation et que quelqu'un se rend compte du subterfuge, mais suffisant pour installer un autre accès à la machine.

De nos jours, l'ingénierie sociale en informatique se heurte de plus en plus à l'éducation des utilisateurs. De plus en plus, les départements de gestion informatique font circuler un document décrivant les règles de sécurité de base : choisir un mot de passe long et ne se trouvant pas dans le dictionnaire, ne jamais donner son mot de passe à personne, pas même à un employé du département informatique... Ces microinformations permettent aux employés de ne pas divulguer accidentellement des informations sensibles et de donner l'alerte.

L'exemple ci-dessus est, en comparaison avec ce que les crackers utilisent, un exemple très caricatural. En effet, le SE n'est pas particulièrement employé par une entreprise contre cette même entreprise mais plutôt contre une autre cible à laquelle la société est liée (FAI, etc.).

Les crackers parviennent souvent à acquérir quelque chose d'un peu moins évident par ce biais. Par exemple, les plus culottés essayeront même par la suite de se présenter dans les locaux de l'entreprise en tant qu'employés de la société de maintenance informatique pour avoir un accès physique à la machine.

Pour l'anecdote, le SE a permis, durant la « Nuit blanche » à Paris, à deux hackers de rejoindre les hackers allemands du Chaos Computer Club au 18e étage de la BNF, en trompant les vigiles. Comme quoi le SE ne sert pas qu'à obtenir des informations.

Livres

• L'art de la supercherie Kevin Mitnick et William L. Simon, éditions Wiley/Campus Press.

See also: Ingénierie sociale, Bibliothèque Nationale de France, Bien, Chaos Computer Club, Cracker, Fournisseur d'accès à Internet, Hacker, Informatique, Kevin Mitnick, Paris