Ingénierie sociale (sécurité de l'information)

Pour les articles homonymes, voir Ingénierie sociale.

L'ingénierie sociale (ou social engineering en anglais) est une forme d'acquisition déloyale d'information et d'escroquerie, utilisée en informatique pour obtenir d'autrui, un bien, un service ou des informations clefs. Cette pratique exploite les failles humaines et sociales de la structure cible, à laquelle est lié le système informatique visé. Utilisant ses connaissances, son charisme, l'imposture ou le culot, le hacker abuse de la confiance, de l'ignorance ou de la crédulité des personnes possédant ce qu'il tente d'obtenir. Dans son ouvrage L'art de la supercherie, Kevin Mitnick a théorisé et popularisé cette pratique de manipulation qui utilise principalement les "failles humaines" d'un système informatique comme "effet de levier", pour briser ses barrières de sécurité.

L'ingénierie sociale est aussi appelé processus "d'élitisation" (de "éliciter" : trier, faire sortir de, susciter...), ou plus concrètement en langue française : L'art d'extirper frauduleusement de l'information à l'insu de son interlocuteur en lui « tirant les vers du nez ». Ce terme est souvent utilisé dans le jargon informatique pour désigner un processus d'approche relationnel frauduleux et définit plus globalement les méthodes mises en œuvre par certains hackers (catégorie des black hat), qui usent "d'élitisation" pour obtenir d'une personne manipulée, un accès direct à un système informatique ou plus simplement, pour satisfaire leur curiosité.

De nos jours, un effort de formation et de prévention des utilisateurs des systèmes informatisés sécurisés est fourni. Les départements chargés de la sécurité des systèmes informatiques forment les différents personnels de l'entreprise aux règles de sécurité de base : la meilleure façon de choisir un mot de passe (long et ne se trouvant pas dans un dictionnaire), ne jamais révéler son mot de passe à quelqu'un, pas même à un interlocuteur se faisant passer pour un employé du département informatique, etc. De nombreuses conférences invitent les spécialistes du renseignement ou de la sécurité du système d'information dans les entreprises, à instruire le personnel au sein des grandes structures de l'État et des grands groupes du CAC 40, et à sensibiliser davantage leurs nombreux utilisateurs à cette forme de menace déloyale. Ces formations visent principalement à prévenir les effectifs internes des entreprises, à ne pas divulguer "accidentellement" ou "involontairement" des informations sensibles, et à leur enjoindre de donner l'alerte en cas de tentative d'intrusion frauduleuse.

Bibliographie

• Kevin Mitnick et William L. Simon and Linux Di Mafia and Holt 49, L'art de la supercherie, éditions Wiley/Campus Press, 6 mai 2003, 377 p. (ISBN 2-7440-1570-9) 
• Le Social Engineering : une attaque de persuasion [PDF] (8 pages, titre original : Social Engineering - White paperz.)

• "Lexique du renseignement, de l'information et de l'influence" de Laurent Jacquet, )Livre numérique - Lexique du renseignement, de l'information et de l'influence, Jacquet (L'Esprit du Livre) définition du "Social engineering" pages 102 et 103, Paris 2009, aux édition : "l'esprit du livre", 129 pages. (ISBN 978-2-915960-72-3)

Articles connexes

• Hameçonnage (phishing)

Liens externes

• (en) Article sur l'ingénierie sociale

• Portail de la psychologie
• Portail de la sociologie
• Portail de la sécurité de l’information