Accueil Astuces et Informations Le Social Engineering ou l’art du piratage humain

Le Social Engineering ou l’art du piratage humain

Publié par :
SoftNet
-
10
2
Table des matières

L’ingénierie sociale est une technique de piratage qui relève plus de la supercherie que de la connaissance en informatique. En effet, nul besoin d’être un hacker pour pirater boite e-mail, compte facebook ou twitter. L’ingénierie sociale est aussi connue et pratiquée depuis près de 20 ans, elle a été mise en lumière par le « hacker » Kevin Mitnick dans son livre « L’art de la supercherie« .

A quoi consiste le Social Engineering ?

Il s’agit d’obtenir un maximum d’informations sur la victime, sans exercer un quelconque acte de piratage. Vous vous mettez en relation avec la victime, directement ou indirectement et tentez d’obtenir des informations sur elle, sans éveiller les soupçons. Des informations comme :

  • Quel est son club de foot préféré ?
  • Quel est son film préféré ?
  • Quel est son chanteur ou chanteuse préféré ?
  • La marque de sa voiture ?
  • Son lieu de naissance ?
  • Sa date de naissance ?

Autant d’informations que possible, aussi les anodines sont-elles. Il y a moins d’une dizaine d’années, obtenir ce type d’information prend du temps et nécessite une véritable enquête.

De nos jours les réseaux sociaux, Facebook en tête, sont une véritable mine d’informations pour les pros de l’ingénierie sociale. Les membres de Facebook, notamment les plus jeunes d’entre eux, n’hésitent pas à publier un grand nombre d’informations :

  • passions
  • films préférés
  • sportifs pratiquants
  • écoles réussies
  • lieu d’habitation
  • numéro de téléphone
  • e-mail
  • blog / site internet
  • relation amoureuse
  • photos personnelles
  • géolocalisation (à tous moments)

Autant d’informations qui permette à une personne malveillante de pirater la plupart de vos comptes mail, facebook, twitter, compte client, voire compte bancaire.

Géo-localisation, l’option qui met votre demeure en péril

une aubaine pour les cambrioleurs

La géo-localisation est également très dangereuse, je la conseille fortement de ne pas l’utiliser sur les réseaux sociaux. Car elle indique au moment précis où vous vous trouvez, ce qui veut dire que si vous êtes dans un parc d’attraction, ce que vous n’êtes pas à votre domicile, ce qui est une aubaine pour les cambrioleurs qui auront été avertis par l’un de vos contacts sur les réseaux sociaux.

Pirater un compte Gmail ou Hotmail

Le procédé est simple, à tel point qu’il est accessible à tous. En effet, au moment de votre inscription chez Hotmail ou Gmail, vous avez dû créer une question secrète* à laquelle vous êtes normalement le seul à avoir la réponse. Mais bien souvent les questions ne sont pas assez personnelles, et se révèlent extrêmement faciles à obtenir. Exemple de questions :

  • Quel était le nom de mon école primaire ?
  • Quel est le nom du premier animal de compagnie ?
  • Quel est le nom de jeune fille de ma mère ?
  • Dans quelle rue ai-je passé mon enfance ?
  • Quelle était la marque de première voiture ?
  • Quelle était la couleur de ma première voiture ?
  • Quelle mon équipe de sport préférée ?
  • Quel est mon chanteur préféré ?

Il suffit de se rendre sur votre profil Facebook pour obtenir la moitié de ses informations. Le chanteur préféré figurera très certainement dans vos « like » de Facebook, ainsi que votre équipe de sport préférée. Si vous avez rempli votre profil, vous avez certainement renseigné la rue ou le quartier dans lequel vous avez grandi, ainsi que l’école que vous avez rencontré. Si vous aimez votre voiture, on verra au volant de cette dernière sur l’une des photos de vos albums, ainsi que des photos de votre chien ou chat que vous trouverez tellement mignon que vous voulez le montrer à tous. Votre mère aura certainement rejoint votre réseau d’amis et vous aurez à coup sur spécifié la relation avec cette personne en indiquant aux autres qu’il s’agit de votre mère. Votre mère quant à elle, bien qu’elle est changée de nom, voudra certainement retrouver des amis d’enfance, et indiquera donc son de jeune fille pour faciliter les recherches.

Nous voilà donc avec un nombre d’informations importantes, sans même avoir fait une véritable enquête. Il ne reste plus qu’à faire une demande de nouveau mot de passe auprès de hotmail en cliquant sur le mot de passe oublié, puis de renseigner la question secrète.

Vous pourrez alors redéfinir le mot de passe, qui rendra l’accès au titulaire impossible. Une fois dans sa boite mail, vous lancez une recherche sur des requêtes précises :

  • mot de passe
  • le mot de passe
  • mon compte
  • votre compte

Vous constatez avec étonnement que la victime, comme la plupart des internautes utilisent le même mot de passe pour tous ses comptes. Il vous sera alors très facile de pénétrer un peu plus son intimité, en se connectant sur son compte Facebook par exemple, ses comptes clients chez des marchands en ligne (Amazon, Pixmania, Cdiscount,…), son compte bancaire.

Cela paraît trop simple ? Pourtant c’est bien la vérité, j’en ai fait l’expérience avec des proches, en leur montrant sous leurs yeux qu’il me fallait moins de 10 minutes pour accéder à leur boite mail et à différents comptes clients.

La méthode la plus radicale est de ne rien publier sur sa personne, mais cela paraît aujourd’hui difficile, à l’heure où l’on veut tout partager en temps réel avec ses amis, rester connecté en permanence. Puisque vous voulez continuer à partager, imposez-vous quand même quelques restrictions. Ne faites pas figurer la réponse à votre question secrète sur les réseaux sociaux.

Autre point important, je vous invite à utiliser un mot de passe différent pour chacun de vos comptesen utilisant idéalement un mot de passe alphanumérique avec changement de casse et si vraiment vous voulez verrouiller le tout, utilisez également un caractère spécial @ ! ; ) =[|[|

Exemple de mot de passe : FrikoGa@96 ou bien encore Jerepd789 ! sont des mots de passe efficaces.

Si le fait de retenir autant de mots de passe vous paraît impossible, je vous propose deux solutions.

La première consiste à faire des variantes du mot de passe principal. Si votre mot de passe usuel est : sidney. Utilisez par exemple pour votre boite mail principal Sidney@1975 (1975 pourrait être votre année de naissance), pour votre deuxième boite mail : Sidney@1978 (1978 année de naissance de votre ami(e)),…

Enfin si la mémoire n’est pas décidée par votre truc, vous pouvez toujours utiliser une application comme Keepass, qui s’occupe pour vous de retenir tous vos mots passés. La seule a choisi que vous ayez à faire c’est de retenir le mot de passe principal qui permet d’accéder à l’application, après c’est l’application qui se charge de tout.

Autre recommandation, l’utilisation d’un mot de passe différent est un bon point, mais l’utilisation d’une boite mail différente par activité est encore mieux. Ainsi vous vous créez une boite mail pour votre compte marchand Amazon, Pixmania, Cdiscount, Fnac… Une autre pour les réseaux sociaux, une autre pour les amis et la famille (éventuellement votre banque) seulement et enfin une boite poubelle pour toutes les inscriptions obligatoires dans les forums, pour les concours, petites annonces sur leboncoin ou vivastreet.

En dissociant vos activités par boite, votre lutter plus efficacement contre les tentatives de piratage de votre compte mais également contre le SPAMqui sera très important sur votre boite poubelle, alors qu’il sera quasi nul sur votre boite réservée aux amis et à la famille.

N’hésitez pas à partager cet article autour de vous, mieux les internautes seront informés, mieux ils seront protégés.

*La question secrète à tendance disparaît est à laisser place à l’e-mail de secours ou de façon plus générale au numéro de mobile. Ceci afin de lutter plus efficacement contre ce phénomène de fausse récupération de mot de passe. Le revers de la médaille ce que vous donnez encore plus d’informations à votre fournisseur de boite mail.

ARTICLES CONNEXESPLUS DE L'AUTEUR