Social Engineering
L'art de l'influence et de la manipulation
Christophe Casalegno
Groupe Digital Network
Social Engineering
Le social engineering ou ingénierie sociale est un
ensemble de méthodes et de techniques permettant
au ...
Social Engineering
Dans la pratique, le pirate exploitera les vulnérabili-
tés humaines et sa connaissance de la cible, de...
Social Engineering
CONNAÎTRE LA CIBLE
Analyser la cible dans ses moindres détails
Social Engineering
INTERNET
Une source d'informations inépuisable
Social Engineering
- Sites de la cible, des clients, partenaires, fournisseurs
- Réseaux sociaux (Facebook, Twitter, Fours...
Social Engineering
IRL / IN REAL LIFE
Dans la vie réelle
Social Engineering
- Le Trashing (la fouille des poubelles)
- Le « sondage » téléphonique
- Le rendez vous commercial
- L'...
Social Engineering
Il est dans la nature humaine de croire nos
semblables, en particulier lorsqu'ils formulent des
demande...
Social Engineering
S'ATTAQUER AU MAILLON FAIBLE
Une chaîne n'est jamais plus solide que son maillon
le plus faible
Social Engineering
INSTAURER LA CONFIANCE
La démarche doit paraître ordinaire
Parfaite maîtrise du jargon
Social Engineering
LAISSEZ MOI VOUS AIDER
Nous avons toujours tendance à vouloir rendre la
pareille à celui qui nous rend ...
Social Engineering
POUVEZ VOUS M'AIDER ?
Il est gratifiant d'aider quelqu'un et de se sentir
remercié et valorisé (aide, c...
Social Engineering
UTILISER L'AUTORITE
La hiérarchie dans les grands groupes, l'armée ou
les administrations est rarement ...
Social Engineering
J'ORDONNE, TU OBEIS
Je suis l'autorité.
Social Engineering
J'ORDONNE, TU OBEIS
J'agis sur demande de l'autorité
Social Engineering
J'ORDONNE, TU OBEIS
Je suis l'autorité et je crédibilise celui qui va agir sur
demande de l'autorité
Social Engineering
DONNER L'ILLUSION DU CHOIX
Les gens seront plus prompt à accepter votre
demande si vous leur donnez l'i...
Social Engineering
LUI FAIRE DIRE « OUI »
Les gens seront plus prompt à accepter votre
demande si vous leur faite accepter...
Social Engineering
LUI FAIRE DIRE « NON »
Les gens seront plus prompt à accepter une
seconde demande raisonnable si la pre...
Social Engineering
ADAPTER SA TECHNIQUE
La sympathie, l'autorité, le charme la réciprocité...
Social Engineering
COMBINER LES TECHNIQUES
La technique et le social engineering font toujours
bon ménage... avec la cible.
Social Engineering
LA SUPERCHERIE
Usurper une identité, tromper la vigilance...
Social Engineering
- Se faire passer pour un fournisseur, un partenaire
- Se faire passer pour un collègue
- Se faire pass...
Social Engineering
LA SUPERCHERIE
Choisir le média le plus adapté à la cible...
Social Engineering
- Le téléphone
- L'email
- La messagerie instantanée
- Le Fax
- Les réseaux sociaux
- La rencontre
- Un...
Social Engineering
EXEMPLES D'ATTAQUES
Quelques exemples d'attaque...
Social Engineering
Déguisé en livreur, l'attaquant apporte une clef USB
piégée provenant d'un fournisseur (cadeau) : perme...
Social Engineering
Usurpant l'identité d'un fournisseur software de la
cible, l'attaquant propose un patch pour corriger u...
Social Engineering
● COMMENT SE PROTEGER ?
Social Engineering
● FORMATION ET INFORMATION
● La pédagogie est un élément essentiel
Social Engineering
● FORMATION ET INFORMATION
● Tout le monde est concerné
Social Engineering
LES PROCEDURES
Prolongement de la politique de sécurité
Social Engineering
LES PROCEDURES
S'assurer du respect des procédures sécurité
Social Engineering
LES PROCEDURES
S'assurer que les autres respectent
les procédures
Social Engineering
CLASSIFIER L'INFORMATION
La classification de l'information doit faire partie
intégrante de la politiqu...
Social Engineering
CLASSIFIER L'INFORMATION
Confidentielle, privée, interne ou publique ?
Social Engineering
L'IDENTIFICATION
Suis-je sur de parler à la bonne personne ?
Social Engineering
L'AUTHENTIFICATION
Dispose t'elle bien des autorisations nécessaires ?
Social Engineering
LA LEGITIMITE
La demande de mon interlocuteur est elle légitime ?
Social Engineering
GESTION DES COMMUNICATIONS
Des procédures pour chaque média : email, fax, té-
léphone, messagerie insta...
Social Engineering
SUPPRIMER LE MAILLON FAIBLE
Lorsque le personnel n'est pas à même de réaliser
l'évaluation nécessaire, ...
Social Engineering
LES MOTS DE PASSE
Un mot de passe est un secret entre l'utilisateur et
le système qui ne doit jamais êt...
Social Engineering
REPENSER LA SECURITE
Il est nécessaire de sensibiliser tout le monde
Social Engineering
REPENSER LA SECURITE
Les règles ne suffisent pas
Social Engineering
REPENSER LA SECURITE
Penser aux affichages dans les zones de repos
Social Engineering
REPENSER LA SECURITE
Faire des encarts sur les factures, devis, etc.
Social Engineering
REPENSER LA SECURITE
Faire des rappels sur l'intranet, le crm, par email
Social Engineering
REPENSER LA SECURITE
Accompagner le bulletin de salaire avec les
dernières alertes sécurité et les règl...
Social Engineering
REPENSER LA SECURITE
Utiliser des autocollants comme rappels visuels
Social Engineering
REPENSER LA SECURITE
Mettre un économiseur d'écran pour rappeler
l'importance de la sécurité
Social Engineering
REPENSER LA SECURITE
Afficher l'employé du mois, prévoir une
récompense...
Social Engineering
REPONDRE AUX OBJECTIONS
La confiance n'exclue pas le contrôle
Prochain SlideShare
Chargement dans…5
×

Social engineering : l'art de l'influence et de la manipulation

951 vues

Publié le

Une chaîne n’est jamais plus solide que son maillon le plus faible, et ce maillon faible, c’est vous, c’est nous tous. Le social engineering ou ingénierie sociale est un ensemble de méthodes et de techniques permettant au travers d’une approche relationnelle basée sur l‘influence et la manipulation, d’obtenir l’accès à un système d’information ou à des informations confidentielles. Dans la pratique, le pirate exploitera les vulnérabilités humaines et sa connaissance de la cible, de ses clients ainsi que de ses fournisseurs et sous-traitants en utilisant la manipulation, la supercherie et l’influence au travers de différents médias de communication, des réseaux sociaux à la rencontre, en passant par l’email et le téléphone.

Je vous propose de découvrir au travers de cette présentation, les grandes lignes directrices des conférences et sessions de sensibilisation que je donne régulièrement dans ce domaine. J’espère que cela vous permettra de mieux comprendre ce qu’est le social engineering, et le danger que peuvent représenter ceux qui le maîtrise pour votre entreprise ou votre organisation et comment vous en protéger.

Publié dans : Technologie
0 commentaire
5 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
951
Sur SlideShare
0
Issues des intégrations
0
Intégrations
5
Actions
Partages
0
Téléchargements
62
Commentaires
0
J’aime
5
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Social engineering : l'art de l'influence et de la manipulation

  1. 1. Social Engineering L'art de l'influence et de la manipulation Christophe Casalegno Groupe Digital Network
  2. 2. Social Engineering Le social engineering ou ingénierie sociale est un ensemble de méthodes et de techniques permettant au travers d'une approche relationnelle basée sur l'influence et la manipulation, d'obtenir l'accès à un système d'information ou à des informations confi- dentielles.
  3. 3. Social Engineering Dans la pratique, le pirate exploitera les vulnérabili- tés humaines et sa connaissance de la cible, de ses clients ainsi que de ses fournisseurs et sous-trai- tants en utilisant : la manipulation, la supercherie et l'influence Pour son exploitation, le pirate pourra utiliser tout média à sa disposition : rencontre IRL, téléphone, email, messagerie instantanée, réseaux sociaux...
  4. 4. Social Engineering CONNAÎTRE LA CIBLE Analyser la cible dans ses moindres détails
  5. 5. Social Engineering INTERNET Une source d'informations inépuisable
  6. 6. Social Engineering - Sites de la cible, des clients, partenaires, fournisseurs - Réseaux sociaux (Facebook, Twitter, Foursquare...) - Réseaux sociaux professionnels (Linkedin, Viadeo, Xing...) - Forums, listes de discussion messageries instantanées - Blogs, sites de rencontre, plateformes de recrutements... - Sites spécialisés ( infogreffes, societe.com, inpi...) ●
  7. 7. Social Engineering IRL / IN REAL LIFE Dans la vie réelle
  8. 8. Social Engineering - Le Trashing (la fouille des poubelles) - Le « sondage » téléphonique - Le rendez vous commercial - L'entretien d'embauche (Je postule) - L'entretien d'embauche (je recherche) - L'écoute passive (TGV, Restaurant, Bar, etc...)
  9. 9. Social Engineering Il est dans la nature humaine de croire nos semblables, en particulier lorsqu'ils formulent des demandes qui paraissent raisonnables
  10. 10. Social Engineering S'ATTAQUER AU MAILLON FAIBLE Une chaîne n'est jamais plus solide que son maillon le plus faible
  11. 11. Social Engineering INSTAURER LA CONFIANCE La démarche doit paraître ordinaire Parfaite maîtrise du jargon
  12. 12. Social Engineering LAISSEZ MOI VOUS AIDER Nous avons toujours tendance à vouloir rendre la pareille à celui qui nous rend service
  13. 13. Social Engineering POUVEZ VOUS M'AIDER ? Il est gratifiant d'aider quelqu'un et de se sentir remercié et valorisé (aide, compétences...)
  14. 14. Social Engineering UTILISER L'AUTORITE La hiérarchie dans les grands groupes, l'armée ou les administrations est rarement remise en cause
  15. 15. Social Engineering J'ORDONNE, TU OBEIS Je suis l'autorité.
  16. 16. Social Engineering J'ORDONNE, TU OBEIS J'agis sur demande de l'autorité
  17. 17. Social Engineering J'ORDONNE, TU OBEIS Je suis l'autorité et je crédibilise celui qui va agir sur demande de l'autorité
  18. 18. Social Engineering DONNER L'ILLUSION DU CHOIX Les gens seront plus prompt à accepter votre demande si vous leur donnez l'illusion du choix
  19. 19. Social Engineering LUI FAIRE DIRE « OUI » Les gens seront plus prompt à accepter votre demande si vous leur faite accepter une première demande anodine
  20. 20. Social Engineering LUI FAIRE DIRE « NON » Les gens seront plus prompt à accepter une seconde demande raisonnable si la première est démesurément inacceptable
  21. 21. Social Engineering ADAPTER SA TECHNIQUE La sympathie, l'autorité, le charme la réciprocité...
  22. 22. Social Engineering COMBINER LES TECHNIQUES La technique et le social engineering font toujours bon ménage... avec la cible.
  23. 23. Social Engineering LA SUPERCHERIE Usurper une identité, tromper la vigilance...
  24. 24. Social Engineering - Se faire passer pour un fournisseur, un partenaire - Se faire passer pour un collègue - Se faire passer pour un supérieur hiérarchique - Se faire passer pour une administration - Se faire passer pour police/pompiers/gendarmerie - Se faire passer pour un livreur (UPS/TNT/FEDEX...) - Se faire passer pour le service technique / support
  25. 25. Social Engineering LA SUPERCHERIE Choisir le média le plus adapté à la cible...
  26. 26. Social Engineering - Le téléphone - L'email - La messagerie instantanée - Le Fax - Les réseaux sociaux - La rencontre - Un site web
  27. 27. Social Engineering EXEMPLES D'ATTAQUES Quelques exemples d'attaque...
  28. 28. Social Engineering Déguisé en livreur, l'attaquant apporte une clef USB piégée provenant d'un fournisseur (cadeau) : permet à la fois une attaque ciblée et donne la possibilité de mettre la pièce concernée sur écoute. L'attaquant camouflé en candidat potentiel distribue son CV sur clef USB La clef USB piégée est laissée sur le sol et en vue à proximité de la porte d'entrée de la cible.
  29. 29. Social Engineering Usurpant l'identité d'un fournisseur software de la cible, l'attaquant propose un patch pour corriger un bug ou une faille de sécurité Usurpant l'identité de la société de service de main- tenance qui s'occupe des imprimantes de la cible, l'attaquant introduit un micro-programme malveillant dans le système d'information de la cible. Usurpant l'identité de l'administrateur, l'attaquant demande à un user de changer son mot de passe.
  30. 30. Social Engineering ● COMMENT SE PROTEGER ?
  31. 31. Social Engineering ● FORMATION ET INFORMATION ● La pédagogie est un élément essentiel
  32. 32. Social Engineering ● FORMATION ET INFORMATION ● Tout le monde est concerné
  33. 33. Social Engineering LES PROCEDURES Prolongement de la politique de sécurité
  34. 34. Social Engineering LES PROCEDURES S'assurer du respect des procédures sécurité
  35. 35. Social Engineering LES PROCEDURES S'assurer que les autres respectent les procédures
  36. 36. Social Engineering CLASSIFIER L'INFORMATION La classification de l'information doit faire partie intégrante de la politique de sécurité
  37. 37. Social Engineering CLASSIFIER L'INFORMATION Confidentielle, privée, interne ou publique ?
  38. 38. Social Engineering L'IDENTIFICATION Suis-je sur de parler à la bonne personne ?
  39. 39. Social Engineering L'AUTHENTIFICATION Dispose t'elle bien des autorisations nécessaires ?
  40. 40. Social Engineering LA LEGITIMITE La demande de mon interlocuteur est elle légitime ?
  41. 41. Social Engineering GESTION DES COMMUNICATIONS Des procédures pour chaque média : email, fax, té- léphone, messagerie instantanée, IRL...
  42. 42. Social Engineering SUPPRIMER LE MAILLON FAIBLE Lorsque le personnel n'est pas à même de réaliser l'évaluation nécessaire, cette dernière peut parfois être automatisée
  43. 43. Social Engineering LES MOTS DE PASSE Un mot de passe est un secret entre l'utilisateur et le système qui ne doit jamais être partagé.
  44. 44. Social Engineering REPENSER LA SECURITE Il est nécessaire de sensibiliser tout le monde
  45. 45. Social Engineering REPENSER LA SECURITE Les règles ne suffisent pas
  46. 46. Social Engineering REPENSER LA SECURITE Penser aux affichages dans les zones de repos
  47. 47. Social Engineering REPENSER LA SECURITE Faire des encarts sur les factures, devis, etc.
  48. 48. Social Engineering REPENSER LA SECURITE Faire des rappels sur l'intranet, le crm, par email
  49. 49. Social Engineering REPENSER LA SECURITE Accompagner le bulletin de salaire avec les dernières alertes sécurité et les règles à appliquer
  50. 50. Social Engineering REPENSER LA SECURITE Utiliser des autocollants comme rappels visuels
  51. 51. Social Engineering REPENSER LA SECURITE Mettre un économiseur d'écran pour rappeler l'importance de la sécurité
  52. 52. Social Engineering REPENSER LA SECURITE Afficher l'employé du mois, prévoir une récompense...
  53. 53. Social Engineering REPONDRE AUX OBJECTIONS La confiance n'exclue pas le contrôle

×