Ingénierie sociale (sécurité de l'information)

Un article de Wikipédia, l'encyclopédie libre.

Pour les articles homonymes, voir Ingénierie sociale.

L'ingénierie sociale (social engineering en anglais) est la discipline consistant à obtenir quelque chose (un bien ou une information) en exploitant la confiance mais parfois également l'ignorance ou la crédulité de tierces personnes. Il s'agira pour les personnes usant de ces méthodes d'exploiter le facteur humain, qui peut être considéré comme le maillon faible de tout système de sécurité. Kevin Mitnick, avec son ouvrage L'art de la supercherie a théorisé et popularisé cette pratique.

Ce terme est surtout utilisé en jargon informatique pour définir les méthodes des crackers (improprement appelés hackers), qui usent d'ingénierie sociale pour obtenir respectivement un accès à un système informatique ou pour satisfaire leur curiosité.

De nos jours, l'ingénierie sociale en informatique se heurte de plus en plus à l'éducation des utilisateurs. De plus en plus, les départements de gestion informatique font circuler un document décrivant les règles de sécurité de base : choisir un mot de passe long et ne se trouvant pas dans le dictionnaire, ne jamais donner son mot de passe à personne, pas même à un employé du département informatique... Ces micro-informations permettent aux employés de ne pas divulguer accidentellement des informations sensibles et de donner l'alerte.

Les crackers parviennent souvent à acquérir quelque chose d'un peu moins évident par ce biais. Par exemple, les plus audacieux essayeront même de se présenter dans les locaux de l'entreprise en tant qu'employés de la société de maintenance informatique pour avoir un accès physique à la machine.

Pour l'anecdote, l'ingénierie sociale a permis, durant la « Nuit Blanche » à Paris, à deux hackers de rejoindre les hackers allemands du Chaos Computer Club au 18^e étage de la BNF, en trompant les vigiles. Comme quoi l'ingénierie sociale ne sert pas qu'à obtenir des informations.