Transcript Sécurité Informatique

Sécurité
Informatique
Module 02
Sécurité Informatique - PAG
1
Ingénierie Sociale
• Rappels :
– Toute erreur ou toute attaque a une origine
humaine !
« Le plus gros bug en informatique est celui
qui se trouve entre la chaise et
l’ordinateur »
 Attention à l’ingénierie sociale (social
engineering) ou « Art de manipuler les gens » !
.
Sécurité Informatique - PAG
2
Ingénierie Sociale
 Difficile à détecter et celui qui est attaqué ne va pas s’en vanter…
 Ne nécessite aucun logiciel spécifique au départ…
 L’attaquant va utiliser :




Le téléphone,
Un courrier,
Un mail Internet,
Une rencontre physique… .
Sécurité Informatique - PAG
3
Démarche de l’assaillant
 L’assaillant se renseigne sur la société (web, annuaire, forums,
bases de données « Whois » (www.whois.net...)
 Il va essayer de repérer un « maillon faible » (stagiaire,
secrétaire, nouvel embauché…)
 Exemple : disons que nous nous « intéressons » à la société de
transport ACSEL
 ATTENTION : Cet exemple est uniquement PEDAGOGIQUE !!!
 Toute intrusion ou même une tentative d’intrusion est
SEVEREMENT PUNIE par la LOI !!! .
Sécurité Informatique - PAG
4
Démarche de l’assaillant
Sécurité Informatique - PAG
5
Démarche de l’assaillant
• On se connecte sur www.netcraft.com et on lui fournit le nom
du site web
Sécurité Informatique - PAG
6
Démarche de l’assaillant
•
L'attaquant téléphone à l’entreprise, et essaye de joindre sa cible
•
Il a préparé :
– un personnage (journaliste, hébergeur…)
– un rôle et un discours (enquête de sécurité, problème technique
sur le serveur hébergé…)
•
Il peut utiliser des astuces (bruits de bureau en fond sonore, modifier
sa voix…)
•
Il peut « apitoyer » ou « s’imposer » à l’interlocuteur (en téléphonant 5
minutes avant la fermeture des bureaux - il a oublié son mot de passe,
il a un travail urgent à terminer…) .
Sécurité Informatique - PAG
7
Comment éviter de se faire piéger ?
 Règle d’or numéro un :
 « ne JAMAIS donner un login ou un mot de passe au
téléphone, par mail ou par courrier » !
 En cas d’appel, mail… de quelqu’un qu’on ne connait pas
personnellement (et encore…) on ne donne AUCUN
renseignement !
 Sensibiliser TOUT le personnel (même aux plus hauts échelons)
à ce type de problème .
Sécurité Informatique - PAG
8
Le phishing
 Technique qui consiste à :
 Vous rediriger vers une page
« piégée »,
 Vous demander des informations
sensibles,
 Code d’accès banque,
 Code de carte bleue,
 Numéro de carte bleue,
 Chiffres du cryptogramme…
 Ou capturer à votre insu des
informations sensibles.
Sécurité Informatique - PAG
9
Le phishing
.
Sécurité Informatique - PAG
10
Comment éviter le phishing ?
En ayant une bonne « hygiène » de sécurité
.
Sécurité Informatique - PAG
11
Comment éviter le phishing ?
• En utilisant des outils
 Si vous avez un doute sur la validité du site, saisir dans la
barre d’adresse du navigateur :
javascript:alert("Adresse actuelle : " + location.protocol + "//" +
location.hostname + "/");
 En utilisant la barre d’outils Netcraft
(Internet Explorer ou FireFox) .
Sécurité Informatique - PAG
12
Comment éviter le phishing ?
 En tenant vos applicatifs à jour et en vous tenant informés !
 Secuser.com,
 Google… .
Sécurité Informatique - PAG
13
Fin
Sécurité Informatique - PAG
14