Sécurité Informatique
Download
Report
Transcript Sécurité Informatique
Sécurité
Informatique
Module 02
Sécurité Informatique - PAG
1
Ingénierie Sociale
• Rappels :
– Toute erreur ou toute attaque a une origine
humaine !
« Le plus gros bug en informatique est celui
qui se trouve entre la chaise et
l’ordinateur »
Attention à l’ingénierie sociale (social
engineering) ou « Art de manipuler les gens » !
.
Sécurité Informatique - PAG
2
Ingénierie Sociale
Difficile à détecter et celui qui est attaqué ne va pas s’en vanter…
Ne nécessite aucun logiciel spécifique au départ…
L’attaquant va utiliser :
Le téléphone,
Un courrier,
Un mail Internet,
Une rencontre physique… .
Sécurité Informatique - PAG
3
Démarche de l’assaillant
L’assaillant se renseigne sur la société (web, annuaire, forums,
bases de données « Whois » (www.whois.net...)
Il va essayer de repérer un « maillon faible » (stagiaire,
secrétaire, nouvel embauché…)
Exemple : disons que nous nous « intéressons » à la société de
transport ACSEL
ATTENTION : Cet exemple est uniquement PEDAGOGIQUE !!!
Toute intrusion ou même une tentative d’intrusion est
SEVEREMENT PUNIE par la LOI !!! .
Sécurité Informatique - PAG
4
Démarche de l’assaillant
Sécurité Informatique - PAG
5
Démarche de l’assaillant
• On se connecte sur www.netcraft.com et on lui fournit le nom
du site web
Sécurité Informatique - PAG
6
Démarche de l’assaillant
•
L'attaquant téléphone à l’entreprise, et essaye de joindre sa cible
•
Il a préparé :
– un personnage (journaliste, hébergeur…)
– un rôle et un discours (enquête de sécurité, problème technique
sur le serveur hébergé…)
•
Il peut utiliser des astuces (bruits de bureau en fond sonore, modifier
sa voix…)
•
Il peut « apitoyer » ou « s’imposer » à l’interlocuteur (en téléphonant 5
minutes avant la fermeture des bureaux - il a oublié son mot de passe,
il a un travail urgent à terminer…) .
Sécurité Informatique - PAG
7
Comment éviter de se faire piéger ?
Règle d’or numéro un :
« ne JAMAIS donner un login ou un mot de passe au
téléphone, par mail ou par courrier » !
En cas d’appel, mail… de quelqu’un qu’on ne connait pas
personnellement (et encore…) on ne donne AUCUN
renseignement !
Sensibiliser TOUT le personnel (même aux plus hauts échelons)
à ce type de problème .
Sécurité Informatique - PAG
8
Le phishing
Technique qui consiste à :
Vous rediriger vers une page
« piégée »,
Vous demander des informations
sensibles,
Code d’accès banque,
Code de carte bleue,
Numéro de carte bleue,
Chiffres du cryptogramme…
Ou capturer à votre insu des
informations sensibles.
Sécurité Informatique - PAG
9
Le phishing
.
Sécurité Informatique - PAG
10
Comment éviter le phishing ?
En ayant une bonne « hygiène » de sécurité
.
Sécurité Informatique - PAG
11
Comment éviter le phishing ?
• En utilisant des outils
Si vous avez un doute sur la validité du site, saisir dans la
barre d’adresse du navigateur :
javascript:alert("Adresse actuelle : " + location.protocol + "//" +
location.hostname + "/");
En utilisant la barre d’outils Netcraft
(Internet Explorer ou FireFox) .
Sécurité Informatique - PAG
12
Comment éviter le phishing ?
En tenant vos applicatifs à jour et en vous tenant informés !
Secuser.com,
Google… .
Sécurité Informatique - PAG
13
Fin
Sécurité Informatique - PAG
14