Home >> Sécurité >> Social Engineering, Internet et Entreprises
social-engineering

Social Engineering, Internet et Entreprises

Depuis que je suis gamin, le social engineering me passionne, et encore plus après avoir avec lu l’étonnant livre de Kevin Mitnick : « L’art de la supercherie« . Malheureusement, il ne semble plus disponible en Français.

Donc, je parle de SE (Social Engineering), car ce matin, sur Europe 1, je suis tombé sur un reportage intéressant sur les multiples arnaques dont sont victimes les entreprises françaises. Ici on parle de plus de 250 Millions d’euros de volé en moins de 3 ans.

L’arnaque parait simple, même trop simple. Le principe est le suivant : Au téléphone, l’escroc se fait passer pour le grand patron de l’entreprise. Il appelle en général le comptable de l’entreprise et prétend livrer une confidence à l’employé : l’entreprise est en danger. Pour la sauver, avance le faux patron, il faut virer plusieurs centaines de milliers d’euros sur un compte, en Chine par exemple. Et bien entendu, il faut que personne ne soit au courant.

Pour mieux comprendre comment fonctionnent ces escrocs, voici un enregistrement de l’une de ces arnaques :

Internet facilite l’accès aux données des entreprises

Il y a quelques années, c’était beaucoup plus complexe de mettre en place ce genre d’arnaque, mais aujourd’hui, avec Internet et les réseaux sociaux, les organigrammes, statuts de la société, ou encore événements internes à la société sont facilement récupérables.

Le problème, ce n’est pas internet, c’est l’usage qu’en font les entreprises.

Internet

Un problème que l’Office central pour la répression de la grande délinquance financière (OCRGDF) de la police nationale a d’ores et déjà bien cerné et les policiers font désormais de la prévention au Medef. Pour Jean-Marc Souvira, le chef de l’OCRGDF, le Web représente la véritable faiblesse des entreprises.

« L’escroc peut très bien aller fouiller le compte Facebook d’une entreprise et découvrir que les salariés se sont réunis lors de séminaires », explique-t-il au micro d’Europe 1. « Quand il va téléphoner au salarié ciblé, il va lui demandé ‘hier il y avait une séance de tir à l’arc entre l’équipe des tee-shirts verts et des tee-shirts rouges, vous étiez dans quelle équipe ? », décrit le policier, précisant que « le fait de dire simplement cette phrase casse automatiquement, de manière presque subliminale, une barrière puisque cela fait partie de l’intimité de l’entreprise ».

Il y a beaucoup d’autres arnaques de ce type, il est donc très important de faire très attention à vérifier l’identité de quelqu’un que vous avez au téléphone si vous devez lui fournir des informations confidentielles.

Il y a quelques années, j’ai moi-même « subi » ce type d’arnaques, une personne s’est fait passer pour un agent France Télécom pour récupérer des informations confidentielles concernant les lignes data de notre entreprise ou encore des informations sur notre architecture réseaux. Bien entendu, j’en ai rapidement avisé mes supérieurs et collègues qui m’ont confirmé que nous n’avions demandé aucune intervention de FT. Quelques minutes plus tard, après avoir posé un peu trop de questions à la personne que j’avais au bout du fil, j’ai eu le droit à un raccrochage au nez. CQFD.

Bref, attention à vous 😉

Pour écouter ou réécouter le dossier Europe 1 c’est juste en dessous :

About Mikaël GUILLERM

Administrateur Système et Autoentrepreneur depuis 2009 chez homeinformatique. Je partage mes connaissances, problèmes et solutions a travers articles ou tweets !

A lire également

lets-encrypt-synology

Let’s Encrypt : SSL sur NAS Synology

Désormais, il est possible d’acquérir des certificats gratuitement, sur Let’sEncrypt. Un bon moyen de sécuriser …