Pirater l`humain

Téléchargement



Piraterl’humain



L’analyseduphénomèned’ingénierie

sociale



DavidCastonguay



Notederechercheno.4



2



CetravailaétéréalisédanslacadreducoursCRI‐6234,«Nouvellestechnologieset

crimes»(sessiond’automne2009),offertauxétudiantsdelaMaîtriseenCriminologie

sousladirectionduProfesseurBenoîtDupont.



LaChairederechercheduCanadaensécurité,identitéettechnologiedel’Universitéde

Montréalmènedesétudessurlespratiquesdélinquantesassociéesaudéveloppement

destechnologiesdel’information,ainsiquesurlesmécanismesdecontrôleetde

régulationpermettantd’assurerlasécuritédesusagers.



DavidCastonguay

[email protected]



Prof.BenoîtDupont

CentreInternationaldeCriminologieComparée(CICC)

UniversitédeMontréal

CP6128SuccursaleCentre‐Ville

MontréalQCH3C3J7‐Canada

[email protected]

www.benoitdupont.net

Fax:+1‐514‐343‐2269



©DavidCastonguay2009

3

Tabledesmatières



INTRODUCTION.......................................................................................................................4

RECENSIONDESÉCRITS............................................................................................................5

MÉTHODOLOGIE......................................................................................................................7

PRISEDEDÉCISIONENSÉCURITÉ.............................................................................................................8

FACTEURSCOGNITIFS...............................................................................................................8

BIAISDERAISONNEMENT.......................................................................................................................8

PERCEPTIONDURISQUEETBIAISD’ESTIMATION........................................................................................9

INFORMATIONCONFIRMATOIRE............................................................................................................10

BASESDEL’INFLUENCE...........................................................................................................11

RÉCIPROCITÉ.....................................................................................................................................11

ENGAGEMENTETCOHÉRENCE..............................................................................................................12

PREUVESOCIALE................................................................................................................................12

AUTORITÉ.........................................................................................................................................12

RARETÉ............................................................................................................................................13

LIENETSIMILARITÉ.............................................................................................................................13

CONCLUSION.........................................................................................................................14

ANNEXE1–ÉTUDEDECAS.........................................................................................................15

RÉFÉRENCES..............................................................................................................................16



4

INTRODUCTION



Ledéveloppementdesnouvellestechnologiesdel’informationetdelacommunicationont

grandementmodifiélespratiquesenmatièredesécurité.Lorsquel’onparledeprotectionde

l’information,lessolutionstechnologiquessesontavéréesunchoixlogiqueetefficace.Par

contre,cettetendanceàappliquerunesolutiontechnologiqueaeupoureffetperversde

négligerlefacteurhumain.Peuimporteàquelpointunsystèmedesécuritéestsophistiquéet

complexe,ilyauratoujoursunêtrehumainpourcontrôlercesystème.Dansson

environnementdetravail,detouslesjours,l’humaindoitfairedeschoixetprendredes

décisionsquipeuventavoirdesconséquencesimportantespourlasécuritédel’entreprise.Si

l’humainestl’élémentcentraldetouteorganisation,ilreprésenteégalementl’élémentleplus

vulnérable,carilestàlafoislacausedenombreuxincidentsetlapartiemaîtressedansla

protectiondel’information.Faisantpartieàlafoisdelasolutionetduproblème,ilestessentiel

des’attarderàsoncomportementetdecomprendrepourquoiilestvulnérable.Enfait,ilest

surprenantdeconstateràquelpointl’élémenthumainestvulnérableetfacilementexploitable.

L’ingénieriesociale,quiestl’artd’utiliserlatromperieetlemensongepourarriveràsesfins

(Mitnick,2006),exploiteprécisémentcemaillonfaibledelachaînedesécurité.



L’ingénieriesocialeestunetechniquedemanipulationutilisantlatromperie,quiviseàobtenir

l’accèsàdesinformationsconfidentiellesouàdesressourcesàaccèsrestreintparla

manipulationdepersonnesenayantdirectementouindirectementl’accès.Cetteanalysede

l’ingénieriesocialeestbaséesurdeuxchampsd’étudesdistinctssanstoutefoisêtre

nécessairementindépendants,soitlapsychologiecognitiveetlasociologie.Alorsquela

psychologiecognitivenouspermettrademieuxcomprendreleserreursdansleprocessus

décisionneld’unindividu,lasociologienouspermettrademieuxsaisircommentnos

interactionssontorganiséesetpourquoiellesreprésententunevulnérabilité.Cesdeux

perspectivespermettrontdecomprendrepourquoil’ingénieriesocialeestunemenace

constantepourlasécuritéd’uneorganisationetcommentelleexploitelefacteurhumain.



L’ingénieriesocialeestuneattaquepeucoûteuse,quinenécessitepasderecoursàlaforceou

deviolence,relativementaccessibleàtous,bienqu’elledemandecertainesaptitudessocialeset

furtives.Afindefairefaceàcettemenace,ilestnécessairedemieuxcomprendreleprocessus

décisionnelenmatièredesécuritéainsiquedesélémentsquiinfluencentceprocessus.Selon

moi,lapremièreétapepourfairefaceàl’ingénieriesocialeestuneprisedeconsciencedes

mécanismessous‐jacentsàcettemenace.Unemeilleurecompréhensionetunemodélisation

desdifférentescomposantesdel’ingénieriesocialepermettrontlamiseenplacedesolutions

adaptées.Cetravailseconcentresurl’ingénieriesocialeutiliséedanslecasdecommunication

téléphoniqueouenpersonne.



Ilestdiviséendeuxsections.Toutd’abord,jevaisidentifierlesélémentsquiprovoquentdes

erreursdejugementlorsdelaprisededécisionenmatièredesécurité.Ensuite,j’aborderailes

facteurssociologiquesàlabasedel’ingénieriesociale.



5

RECENSIONDESÉCRITS



L’ingénieriesocialeexistaitbienavantl’avènementdel’informatiqueetilestdifficiled’avancer

qu’elleestplusutiliséeaujourd’huiqu’ilyavingtans.Cependant,àl’èredel’information,les

systèmesdelasécurités’organisentetdépendenténormémentdestechnologiesaupointde

mettrel’êtrehumainàunsecondniveau.Maistoutsystèmedesécuritéaunpointencommun,

ildépendàunmomentouunautredel’êtrehumain.L’ingénieriesocialeattaqueprécisément

cepointvulnérablequ’estl’êtrehumain.



Iln’existepasdeconsensussurladéfinitiondel’ingénieriesociale.Pourceprésenttravail,

j’utiliserailadéfinitionduCyberworldAwarenessandSecurityEnhancementStructure,une

initiativeeuropéennesoutenueparl'ÉtatduLuxembourgquidéfinitl’ingénieriesocialecomme:



«Unetechniquedemanipulationpartromperiequiviseàobtenir

l’accèsàdesinformationsconfidentiellesouàdesressourcesàaccès

restreintparlamanipulationdepersonnesenayantdirectementou

indirectementl’accès.»



Commeladéfinitionl’illustre,lefacteurhumainestlepointcentraldesattaquesviséesen

ingénieriesociale.Plussouventqu’autrement,desrelationsdeconfiancenereposantsurrien

deconcretsontmisesenplacedemanièrecalculée,leplussouventparsimplediscussion,et

ellessontexploitéesafinderetirerunmaximumdeprofitdelasituation.



Lestechniquesd’ingénieriesocialesontfréquemmentutiliséesdansplusieursdomaines,

notammentdansceluidelavente(voirCialdini,1993),carellesressemblentenplusieurspoints

àdelamanipulation.Ellesvisentàinfluencerouàmanipulerunepersonne,danslecasdela

vente,ils’agiraitd’unacheteurpotentiel,afindeluifairedireoudeluifaireposeruneactionqui

n’estpastotalementvolontaire.Sicestechniquesdemanipulationreprésententunoutil

avantageuxpourunvendeur,ilestpossibledecroirequecestechniquespeuventégalement

êtreutiliséescommearmed’intrusionetmenacerlasécuritéd’uneorganisation.



Bienqu’ilsoitdifficiled’évaluerlaprévalencedel’ingénieriesocialecommemenaceàla

sécurité,plusieursexemplespopulairesillustrentbienlacrédibilitédelamenace.Àcetitre,

KevinMitnickestl’undespiratesinformatiqueslespluscélèbres,carcelui‐ciaétélepremierà

figurersurlalistedesdixpersonneslesplusrecherchéesparleFBIàlafindesannées1980.Ila

piratélesbasesdedonnéesdeclientsdePacificBell,deFujitsu,Motorola,Nokia,Sun

Microsystems,enplusd’accéderillégalementàunordinateurduPentagone.Mitnick,

maintenantconseillerensécuritédel’information,utilisaitprincipalementl’ingénieriesociale,

notammentpartéléphoneouenpersonne,afind’obtenirl’accèsnécessaireausystème.Ainsi,il

adémontréqu’ilestbeaucoupplussimpledemanipulerlesgensafind’obtenirl’information

désiréeplutôtquepiraterlesbarrièresdesécuritéinformatique.Seslivres,TheArtofDeception:

ControllingtheHumanElementofSecurity(2003)etTheArtofIntrusion:TheRealStoriesBehind

theExploitsofHackers,IntrudersandDeceivers(2005),illustrentbienl’efficacitédel’ingénierie

socialeainsiquelepotentielqu’ellereprésente.Cependant,ilimporteicidefaireladifférence

entrelesattaquesquisontpossibles(réalisées)etcellesquisontprobables(imaginées).Cette

distinctionpermettrades’éloignerdesrécitsquitiennentdavantagedel’anecdotiquequedela

réalité.



1 / 17 100%

Documents connexes

Technologies clés 2020 : le poster

Liste des codes des domaines d`études

ERASMUS Codification des domaines d`étude

Ing nieur civil des Constructions

508017

Groupe de Conseil et d’Ingénierie du Bâtiment

LETTRE DE MOTIVATION JE Ingénieur Généraliste

telecharger

508018

Téléchargez le CP - Syntec

Master pro SIE

congrès international en management et gestion des projets

Merci pour votre participation!

Faire une suggestion

Avez-vous trouvé des erreurs dans linterface ou les textes ? Ou savez-vous comment améliorer linterface utilisateur de StudyLib ? Nhésitez pas à envoyer vos suggestions. Cest très important pour nous !

GDPR Confidentialité Conditions d'utilisation

Pirater l`humain

Documents connexes

Faire une suggestion

Produits

Assistance

Produits

Assistance

Pirater l`humain

Documents connexes

Faire une suggestion

Produits

Assistance

Ajouter ce document à la (aux) collections

Ajouter ce document à enregistré

Suggérez-nous comment améliorer StudyLib