View
137
Download
4
Category
Preview:
Citation preview
Sécurité Informatique - PAG 1
SécuritéInformatique
Module 02
Sécurité Informatique - PAG 2
Ingénierie Sociale
• Rappels :
– Toute erreur ou toute attaque a une origine humaine !
« Le plus gros bug en informatique est celui qui se trouve entre la chaise et
l’ordinateur »
Attention à l’ingénierie sociale (social engineering) ou « Art de manipuler les gens » ! .
Sécurité Informatique - PAG 3
Ingénierie Sociale
Difficile à détecter et celui qui est attaqué ne va pas s’en vanter…
Ne nécessite aucun logiciel spécifique au départ…
L’attaquant va utiliser :
Le téléphone, Un courrier, Un mail Internet, Une rencontre physique… .
Sécurité Informatique - PAG 4
Démarche de l’assaillant
L’assaillant se renseigne sur la société (web, annuaire, forums, bases de données « Whois » (www.whois.net...)
Il va essayer de repérer un « maillon faible » (stagiaire, secrétaire, nouvel embauché…)
Exemple : disons que nous nous « intéressons » à la société de transport ACSEL
ATTENTION : Cet exemple est uniquement PEDAGOGIQUE !!!
Toute intrusion ou même une tentative d’intrusion est SEVEREMENT PUNIE par la LOI !!! .
Sécurité Informatique - PAG 5
Démarche de l’assaillant
Sécurité Informatique - PAG 6
Démarche de l’assaillant
• On se connecte sur www.netcraft.com et on lui fournit le nom du site web
Sécurité Informatique - PAG 7
Démarche de l’assaillant
• L'attaquant téléphone à l’entreprise, et essaye de joindre sa cible
• Il a préparé :– un personnage (journaliste, hébergeur…)– un rôle et un discours (enquête de sécurité, problème technique
sur le serveur hébergé…)
• Il peut utiliser des astuces (bruits de bureau en fond sonore, modifier sa voix…)
• Il peut « apitoyer » ou « s’imposer » à l’interlocuteur (en téléphonant 5 minutes avant la fermeture des bureaux - il a oublié son mot de passe, il a un travail urgent à terminer…) .
Sécurité Informatique - PAG 8
Comment éviter de se faire piéger ?
Règle d’or numéro un :
« ne JAMAIS donner un login ou un mot de passe au téléphone, par mail ou par courrier » !
En cas d’appel, mail… de quelqu’un qu’on ne connait pas personnellement (et encore…) on ne donne AUCUN renseignement !
Sensibiliser TOUT le personnel (même aux plus hauts échelons) à ce type de problème .
Sécurité Informatique - PAG 9
Le phishing
Technique qui consiste à :
Vous rediriger vers une page « piégée »,
Vous demander des informations sensibles, Code d’accès banque, Code de carte bleue, Numéro de carte bleue, Chiffres du cryptogramme…
Ou capturer à votre insu des informations sensibles.
Sécurité Informatique - PAG 10
Le phishing
.
Sécurité Informatique - PAG 11
Comment éviter le phishing ?
En ayant une bonne « hygiène » de sécurité
.
Sécurité Informatique - PAG 12
• En utilisant des outils Si vous avez un doute sur la validité du site, saisir dans la
barre d’adresse du navigateur :
javascript:alert("Adresse actuelle : " + location.protocol + "//" + location.hostname + "/");
En utilisant la barre d’outils Netcraft
(Internet Explorer ou FireFox) .
Comment éviter le phishing ?
Sécurité Informatique - PAG 13
Comment éviter le phishing ?
En tenant vos applicatifs à jour et en vous tenant informés ! Secuser.com, Google… .
Sécurité Informatique - PAG 14
Fin
Recommended