Le social engineering : manipulation ou piratage informatique ? Notre dossier

Alexandre Boero
Chargé de l'actualité de Clubic
11 février 2021 à 12h22
16
© Alexandre Boero pour Clubic
© Alexandre Boero pour Clubic

L’ingénierie sociale, mise en lumière avec un piratage massif de Twitter, est définie comme « l’art d’utiliser la tromperie et le mensonge pour arriver à ses fins » par Kevin Mitnick en 2006, utilise les failles humaines pour aboutir à des vols de données ou des arnaques. L’informatique sert de parfait théâtre pour cette pratique.

Durant quelques heures le mercredi 15 juillet, Twitter a dû affronter une crise comme il n'en avait jamais vécu. Le réseau social au petit oiseau bleu a vu 45 de ses comptes les plus populaires être piratées, pour finalement aboutir à une arnaque au Bitcoin. Les individus qui ont mené cette attaque ont plus eu à être imaginatifs et patients qu’à être des cadors de la cybercriminalité.

Grâce au social engineering, ou ingénierie sociale, et à une bonne dose de harponnage (une variante du phishing qui fait appel à l’ingénierie sociale), ils ont pu obtenir les identifiants de plusieurs employés ou sous-traitant de la plateforme, ce qui leur a permis, ensuite, de prendre le contrôle d’autorisations auxquelles d’autres salariés avaient accès, puis de prendre possession des comptes Twitter de célèbres personnalités et donc de récolter environ 120 000 dollars (mais pas que, nous y reviendrons) grâce à l’arnaque au Bitcoin.

Le social engineering, à l’origine de l’incident qui a heurté Twitter

C’est donc le social engineering, une sorte de manipulation psychologique destinée à obtenir des informations, qui a offert la possibilité aux individus malveillants de sévir et de réaliser le casse du siècle sur les réseaux sociaux, au sens symbolique du terme, même si on ignore encore la portée future des actions menées.

Mais qu’est-ce que l’ingénierie sociale ? Peut-on l’assimiler à du hacking, et si oui, à quelles formes de hacking ? Où ce phénomène trouve-t-il son origine ? Que sait-on exactement, aujourd’hui, sur l’incident qui a frappé Twitter et ses utilisateurs ? Et surtout, comment s’en prémunir ? Voilà des questions auxquelles nous tentons d’apporter des réponses avec, notamment, l’expertise de Fred Raynal, patron et fondateur de Quarkslab, entreprise française spécialisée dans le développement de logiciels en sécurité de l’information.

© Pixabay
© Pixabay

Qu’est-ce que l’ingénierie sociale ? Ses origines et évolutions dans le temps

Si le social engineering au sens moderne du terme a été popularisé par le célèbre Kevin Mitnick il y a une quarantaine d’années, le phénomène qui consiste en de la manipulation psychologique dans un but d’aboutir à une escroquerie est loin d’être nouveau, comme nous l’explique Fred Raynal.

« Le social engineering est quelque chose qui existe depuis longtemps, bien avant l’informatique, depuis que le commerce existe même, depuis que l’espionnage a été créé, sauf que selon les époques et les mondes, cela porte des noms différents », nous explique le fondateur de Quarkslab, avant de nous rafraîchir la mémoire sur la naissance du phénomène au sens informatique du terme.

"L'individu va établir une relation de confiance et de stress pour essayer d'abuser de la personne qu'il a à l'autre bout du téléphone, de façon à pouvoir accéder aux réseaux internes et aux données privées"

« En informatique, il a été popularisé à la fin des années 70 et au début des années 80 notamment par Kevin Mitnick, un hacker qui fut suivi par le FBI pendant plusieurs années et qui allait fouiller dans les poubelles d’organismes publics pour récolter des informations qui lui permettaient d’entrer dans le réseau interne », explique-t-il.

Une fois les informations nécessaires récoltées, l’individu ou le groupe se charge de créer une relation de confiance et de stress, pour essayer d’abuser de la personne qu’il a à l’autre bout du téléphone, de façon à pouvoir accéder à des réseaux internes puis à des données privées.

Kevin Mitnick, de la pratique à la théorie

Kevin Mitnick (© Facebook)
Kevin Mitnick (© Facebook)

Kevin Mitnick, aka Le Condor, est tout simplement l’un des plus célèbres pirates informatiques de l’histoire. Il fut le premier à voir son nom inscrit sur la liste des dix personnes les plus recherchées par le FBI à la fin des années 80. Son pedigree ? Avoir été capable de pirater les bases de données de géants comme Nokia, Motorola, Fujitsu, Pacific Bell ou Sun Microsystems. Il était également parvenu à pénétrer dans un ordinateur du Pentagone, sans toutefois atteindre une base de données.

L’ingénieur en sécurité informatique américain, aujourd’hui âgé de 56 ans, a su démontrer que pour obtenir une information, il était plus simple de manipuler les gens que de pirater des systèmes informatiques.

Le social engineering n’est pas véritablement une attaque informatique au sens propre, même aujourd’hui. Elle est plutôt un moyen d’obtenir des informations, des données sur un système à l’accès restreint, ou des identifiants qui permettent d’y accéder.

"Le social engineering est favorisé par la présence des personnes ciblées sur les réseaux sociaux ou sur des sites communautaires, ce qui facilite l’hameçonnage"

« Elle consiste surtout à se faire passer pour quelqu’un que l’on n’est pas (en général un des administrateurs du serveur que l’on veut pirater) et de demander des informations personnelles (login, mots de passe, accès, numéros, données…) en inventant un quelconque motif (plantage du réseau, modification de celui-ci…). Elle se fait soit au moyen d’une simple communication téléphonique ou par courriel », expliquait dans le détail et dès 2003 Stéphane Gill, enseignant chevronné rattaché depuis plus de 20 ans au département informatique du Collège Ahuntsic de Montréal.

Aujourd’hui, le social engineering est favorisé, facilité même par la présence des personnes ciblées sur les réseaux sociaux ou sur des sites communautaires, ce qui facilite l’hameçonnage. Car l’ingénierie sociale va être un outil supplémentaire au phishing dans un processus de piratage. Les deux sont à dissocier. « Le social engineering ne s'appuie pas sur des techniques informatiques. Le phishing, c'est autre chose : on crée quelque chose qui est un leurre, qui est bien fait, et qui piège quelqu’un qui ne fera pas attention. Le social engineering, c’est un peu plus évolué », précise Fred Raynal.

Le social engineering, les dangers du télétravail

Teletravail

Le télétravail, c'est bien, et sa popularité n'arrête pas de grandir plusieurs mois après le début du confinement dans de nombreuses parties du globe. Mais malgré la prévention, qui a été faite dans de nombreuse sociétés, petites ou grandes, le travail à domicile constitue un véritable risque, une faille ouverte presque chez certains utilisateurs.

On ignore pour l'heure si le premier employé piégé par les attaquants du scandale Twitter était en train d'opérer depuis chez lui ou depuis son bureau. Mais l'action a entraîné une perturbation des rangs, sensibles à ces assauts. "Tout le monde est devenu vulnérable à ce moment-là", témoigne dans les colonnes de CNN Business Anu Bourgeois, professeur d'information à la Georgia State University.

Le domicile, en période de confinement ou au plus fort de la crise sanitaire (et celle vécue aux États-Unis est particulièrement violente, comme chacun le sait) fut souvent occupé en famille, avec des enfants qui peuvent par exemple utiliser le même matériel que l'employé(e) du réseau social. Et sans une sensibilisation et des protocoles adaptés, les risques deviennent vite importants en télétravail pour les entreprises, surtout pour celles qui n'ont pas les moyens humains de gérer tout un parc d'ordinateurs à distance, aussi petit soit-il.

L’ingénierie sociale peut prendre de nombreuses formes. L’une des plus connues reste la fraude au président, qui a touché une majorité d’entreprises ces dix dernières années, et qui reste bien d’actualité. Pour l’attaquant, l’arnaque au président débute en se renseignant sur des organisations, des sociétés, sur leur organigramme de façon à savoir qui est en vacances où, qui est marié avec qui etc.

« Les individus récupèrent des données en vente sur le dark web ou sur les réseaux sociaux. Une fois qu’ils détiennent les informations, le jour où le président est en vacances, ou absent, ou injoignable, ils appellent un membre de l’entreprise, un ou une assistant(e), comptable ou autre en se faisant passer pour le président, en faisant croire que c’est lui au bout du fil et en ordonnant de faire un virement vers des pays ou des comptes d’où l’argent ne revient évidemment jamais », nous décrit Fred Raynal, qui insiste sur un grand nombre d’attaques de ce type ces cinq-six dernières années.

"Le social engineering : peu coûteux, ne nécessite pas de gros moyens matériels, s'appuie sur la psychologie et les ressorts cognitifs"

Ici, l’aspect psychologique est éminemment important, puisque les individus malveillants vont d’abord se faire passer pour le président à deux, trois ou quatre reprises, afin de créer une relation de confiance et en ayant connaissance de tous les biais cognitifs. « La perception du risque agit sur le comportement et joue un rôle prépondérant sur le processus de décision de l’individu. Considérant que le risque est faible, un individu ne procédera pas au traitement de l’information de manière aussi rigoureuse que s’il considérait le risque élevé », explique David Castonguay, de l’Université de Montréal. « Nous ne sommes pas du tout sur de la technique au sens informatique, mais bien sur un domaine des neurosciences. Le marketing, les grandes surfaces utilisent les neurosciences également. Les applications ne manquent pas », détaille le président de Quarkslab.

Et ce dernier est dans le vrai. Si le social engineering peut évidemment être l’outil d’une cyberattaque, le célèbre sociologue Pierre Bourdieu estimait dans ses Questions de Sociologie en 1981 (Editions de Minuit, 1984, page 27) que « les gouvernants ont aujourd'hui besoin d'une science capable de rationaliser, au double sens, la domination, capable à la fois de renforcer les mécanismes qui l'assurent et de la légitimer. Il va de soi que cette science trouve ses limites dans ses fonctions pratiques, aussi bien chez les ingénieurs sociaux que chez les dirigeants de l'économie. Elle ne peut jamais proférer de mise en question radicale. »

L’ingénierie sociale est aujourd’hui devenue, pour les hackers, un moyen d’obtenir de la part d’employés ou anciens employés d’une entreprise des informations qui permettent de contourner les systèmes de sécurité et les robots. Peu coûteuse, ne nécessitant pas de gros moyens matériels et s’appuyant sur la psychologie et des ressorts cognitifs, en profitant des erreurs du cerveau humain dans son traitement de l’information (parce que l’humain est manipulable et influençable), cette technique, basée donc sur cette influence d’humain à humain, peut créer de lourds dégâts. Ce fut le cas très récemment, sur le réseau Twitter.

Le social engineering, remis au goût du jour avec « l’affaire Twitter »

Depuis le piratage des comptes survenu à la mi-juillet, Twitter a officiellement communiqué à plusieurs reprises de façon plus ou moins détaillée pour informer ses clients et utilisateurs sur l’incident de sécurité du 15 juillet 2020. Le 18 juillet par exemple, le réseau social affirmait que plusieurs employés avaient été victimes d’un programme d’ingénierie sociale, et manipulés pour accéder aux systèmes internes de Twitter, ce qui comprend l’identification à deux facteurs. Nous ne rentrerons pas plus dans les détails, car Twitter a apporté de nouvelles informations, plus précises cette fois, le jeudi 30 juillet. Et ce sont celles-ci qui nous aident à comprendre comment les hackers ont réussi leur coup.

"L'affaire Twitter ? Un harponnage, une technique de phishing qui fait appel à l'ingénierie sociale"

À la toute fin du mois de juillet, Twitter a bien confirmé qu’un « petit nombre » d’employés a été la cible d’une attaque de phishing par téléphone, ce que l’on appelle du phone spear phishing. Plus exactement, il s’agit d’un harponnage, une technique de phishing qui fait appel à l’ingénierie sociale. Les hackers avaient ciblé plusieurs employés du réseau social, et ont réussi à leur soutirer, en les joignant à plusieurs reprises par téléphone et en se faisant passer pour le service informatique de l'entreprise, les informations nécessaires (comprenez donc leurs identifiants) pour pouvoir pénétrer dans le réseau, et ainsi accéder aux outils de support internes.

Sauf qu’il y a eu un hic, car les employés ciblés par ce harponnage ne jouissaient pas des autorisations qui auraient permis aux individus malveillants d’atteindre leur but. Il leur a fallu être plus malin que la sécurité de Twitter. C’est ainsi que les individus ont utilisé les identifiants dérobés grâce à l’ingénierie sociale pour viser d’autres responsables qui, eux, avaient bien accès aux outils de contrôle.

Avec un accès aux outils de modération, les attaquants ont pu cibler 130 comptes Twitter dont plusieurs rassemblent des millions de followers, ce qui pouvait assurer une certaine portée à l’arnaque. Les pirates ont pu tweeter à partir de 45 comptes, et ils ont pu accéder à la messagerie privée de 36 d’entre eux. Plus problématique encore, 7 comptes ont vu leur historique de données être téléchargé, une option qui permet d’obtenir un résumé des détails de l’activité de son compte Twitter. Parmi les principales personnalités ou entreprises ciblées, on retrouve Apple, Uber, Barak Obama, Bill Gates, Jeff Bezos, Elon Musk, Joe Biden, Mike Bloomberg, Warren Buffett, Kim Kardashian, Kaney West etc.

Twitter Obama piratage

Les individus malveillants se sont temporairement emparés des comptes grâce à l’outil de modération. Dans le détail, celui-ci offrait la possibilité de modifier l’adresse mail associée au compte. Grâce à cela, les pirates ont pu modifier le mail lié, puis procéder ensuite à la réinitialisation du mot de passe, pour définitivement prendre possession du compte Twitter ciblé.

Une fois qu’il fut possible de sévir sur le réseau social, les hackers ont écrit un message pour chaque compte promettant, en l’échange de 1 000 dollars en Bitcoin envoyés, de renvoyer le double, soit l’équivalent de 2 000 dollars de la cryptomonnaie. Le tout accompagné d’une suite de caractères qui correspondait à l’adresse d’un porte-monnaie de Bitcoin. Les tweets de personnalités ont rapidement été likés et retweetés par des centaines, voire des milliers de personnes. Plus d’une centaine a pu tomber dans le piège, les pirates ayant récupéré autour de 120 000 dollars en environ deux heures.

"Le piratage de Twitter révèle un autre problème, et d’une manière générale, c’est celui de qui a accès à nos données ? Nous n’avons aucun moyen de le savoir"

On sait désormais qu’entre 1 000 et 1 500 salariés et sous-traitants (rattachés à l’entreprise Cognizant) ont pu potentiellement avoir les accès nécessaires permettant aux cybercriminels de s’emparer des comptes Twitter. « C’est quand même beaucoup », nous fait remarquer Fred Raynal. Le dirigeant de voir plus loin que cette seule carence. « Cela révèle d’ailleurs un autre problème, et d’une manière générale, c’est celui de qui a accès à nos données ? Nous n’avons aucun moyen de le savoir. Il y a un autre problème : technologiquement aujourd’hui, on sait stocker des données chiffrées. On peut le faire sans souci dans le Cloud. Mais tant qu’elles sont chiffrées, on ne peut pas les déchiffrer. Donc à un moment, il faut que ces données soient déchiffrées, et la question, c’est qui les déchiffre, et où les déchiffre-t-on ? Est-ce sur les serveurs de Twitter, Salesforce ou Doctolib par exemple ? »

S’agissant des femmes et/ou des hommes derrière cette attaque, certaines informations commencent à remonter. Les autorités américaines soupçonnent notamment Graham Clark, originaire de Tampa en Floride et âgé de seulement 17 ans, d'être le cerveau de la violation. Plusieurs autres personnes, âgées autour de 20 ans, auraient aidé le jeune homme en convaincant un employé de Twitter qu'il travaillait dans le service informatique de l'entreprise. Quoi qu’il en soit, l’attaque « est l’œuvre d’individus malins, qui ne répondaient pas qu’à des considérations techniques. Ils ont dû se demander quel était le meilleur moyen de faire une arnaque au Bitcoin, et se dire ensuite que c’était en s’emparant de gros comptes. Ils ont tout simplement été pragmatiques », pour Fred Raynal.

Le profil des attaquants, lui, reste clairement à déterminer. Rien ne prouve qu’il s’agissait d’un individu esseulé, comme d’un gouvernement, d’un État ou d’une société. « Ça peut être simplement un groupe d'arnaque au Bitcoin désireux de revendre les données d’un Elon Musk à des tiers, ou des gouvernements qui veulent accéder à des données de personnalités parce qu’ils les jugent d’intérêt et veulent les suivre d’un peu plus près car, plus on a d’informations sur une personne, plus c’est facile de l’attaquer », s’interroge le fondateur de Quarkslab.

« Si c'est un gouvernement qui a fait ça, le fait de mettre des Bitcoin peut avoir servi de leurre pour masquer d'où cela vient. On peut imaginer aussi une société ou un ensemble de sociétés privées qui veulent accéder à des choses et veulent cacher le but de leur opération », surenchérit-il. Et avec raison. Après tout, se livrer à une pratique que l’on ne soupçonnerait jamais pour tel ou tel acteur reviendrait à éloigner les soupçons envers l’auteur potentiel. Et cela correspond bien avec l’esprit de celui qui se livre à de l’ingénierie sociale : la tromperie. On peut donc tout imaginer, même à ce que ce piratage soit lié à la future élection présidentielle américaine.

Comment se protéger du social engineering ? Les conseils utiles

Plusieurs bons réflexes permettent de limiter le risque de fraude par ingénierie sociale. En amont même de toute tentative de tromperie, mieux vaut s’assurer de limiter les informations pouvant être diffusées via les réseaux sociaux ou autres sites communautaires qui peuvent gratuitement fournir de précieuses informations à des individus malveillants. Au sein d’une entreprise, il est bon de mettre en place certaines procédures, comme le double contrôle, la limitation d’accès à des données sensibles et la sensibilisation des collaborateurs, surtout ceux issus des services les plus sensibles, comme la comptabilité.

"Pour se protéger, il y a un mélange entre DE l'intuition et de la paranoïa à avoir. Il faut s'écouter quand on sent qu'un petit truc est bizarre…"

Toute demande urgente ou inhabituelle par exemple de virement doit être prise avec des pincettes et doit nécessiter une nouvelle confirmation. Un interlocuteur trop pressant est censé mettre la puce à l’oreille du salarié. « D'une manière générale, ça va être la même chose de ce qui peut nous protéger des arnaqueurs ou des voleurs. La première impression qu'on laisse est très importante », explique Fred Raynal. « Quand on veut négocier quelque chose, mieux vaut être le premier à donner un prix, parce que c'est ce qui va cadrer la négociation. Il y a un mélange entre de l’intuition et de la paranoïa à avoir. Il faut s’écouter quand on sent qu’un petit truc est bizarre, en essayant de regarder le plus objectivement possible la situation. C’est prendre le temps de lutter contre ses propres biais quelque part. »

Twitter, de son côté, nous indique qu’avant même l’attaque, l’entreprise prônait la tolérance zéro en cas d’utilisation abusive d’informations : surveillance des abus, vérifications régulières des autorisations, sanction immédiate au moindre dérapage etc. Et pourtant, cela n’a pas empêché le petit oiseau bleu d’être prisonnier de son propre nid. Sur le social engineering, la firme californienne évoque « un rappel frappant de l’importance de chaque membre de notre équipe dans la protection de notre service. »

Depuis l’attaque, Twitter a limité l’accès à ses outils et systèmes internes, le temps d’améliorer ses méthodes de détection de prévention des accès inappropriés aux systèmes.

Haut de page
Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (16)

Allder
Je trouve que cerveau-piratage fait terme « télévisuel » j’imagine un pseudo intellectuelle sur TF1 qui essaye de faire peur avec.
Zakalwe
L’ingénierie sociale, c’est le mot savant pour « manipulation » de masse. Publicité, « communication », etc. Et ça marche… tout le monde est persuadé d’acheter, de croire, etc.
_Reg24
Il y a quand même des énormes lacunes en terme de sécurité chez Twitter, beaucoup de personnes ont accès des droit impressionnant sur des comptes très sensible.<br /> C’était que pour de l’argent, mais ça aurait pu être une déclaration de guerre de la part du compte de Trump, là ça aurait pu avoir des conséquences catastrophiques!<br /> Et bordel, dans quel monde on donne des login / mot de passe par téléphone…<br /> Une pensée aux naïfs qui ont cru à cette arnaque, ils ne reverront jamais leur argent.
carinae
«&nbsp;dans quel monde on donne des login / mot de passe par téléphone&nbsp;» oh mais c’est bien plus courant qu’on ne le pense … Et franchement comment savoir a distance si quelqu’un fait réellement parti du Service Informatique ou non ? Pour bien des personnes l’informatique est simplement un outil comme un autre et ne savent pas vraiment comment ça fonctionne (et s’en foutent royalement) Du coup dés qu’il y a quelqu’un d’un peu technique et qui sait de quoi il parle on lui accorde naturellement une certaine confiance … il n’en faut pas plus …<br /> Mais cela n’est pas vraiment nouveau, c’est un peu le même principe que pour le scam419 … ou tout simplement aux actualités quand des journalistes affirment des choses qu’il est impossible d’aller vérifier (si tant est qu’on s’en donne la peine)…
hyst33
Moi qui travaille dans l’informatique tu n’imagines même pas à quel point je me bat avec mes utilisateurs pour leur inculqué la sensibilité d’un mot de passe eux qui l’écrive sur des post-it… c’est une guerre du quotidien idem avec le verrouillage de session. plein de petit facteurs de sécurité qui ne sont pas respecté c’est assez affligeant.<br /> Même en sécurisant fortement le système la faille humaine est toujours réelle.
Comcom1
Ça fait des années qu’on que la plus grosse faille dans l’informatique aujourd’hui se trouve entre la chaise et le clavier
GRITI
@AlexLex14 Merci pour cet article qui peut servir de sensibilisation à beaucoup de monde.<br /> Les exemples sont nombreux en France sur le manque de culture au sujet de la sécurité informatique. Même si le social engineering dépasse le cadre de l’informatique. Les employés ne sont pas les seuls fautifs. Je pense que beaucoup d’employeurs ne sont eux-mêmes pas sensibilisés ou s’en fichent et ne veulent pas investir: formations, service IT qui va bien etc…
AlexLex14
GRITI:<br /> Je pense que beaucoup d’employeurs ne so.t eux-mêmes pas sensibilisés ou s’en fichent et ne veulent pas investir: formations, service IT qui va bien etc…<br /> Tu as parfaitement raison… Il y a de sérieuses carences, et je pense qu’on est pas près de les combler <br /> Sinon, bon week-end
Nmut
D’un autre coté, quand les choses sont vraiment prises au sérieux, il est quasiment impossible de travailler.<br /> Un de mes client a subi un gros dommage suite à un piratage. Depuis le service informatique dépend d’un «&nbsp;security officier&nbsp;» qui vérifie tout. On n’a plus droit aux pièces jointes, le web est limité à une liste blanche de quelques sites, seul le protocole http est autorisé, les machines ne peuvent exécuter que les rares exécutables signés en interne (aucune autre signature n’est autorisée, et sinon, il faut une autorisation manuelle, je te laisse imaginer le problème quand tu bosses 50% de temps de plus que le service du SCO…), l’anti virus divise les perfs disque par 2, prend 50% de CPU et 30% de la mémoire des bécanes, … Et on est obliger de faire des truc pas du tout bon pour la sécurité pour pouvoir bosser, donc on est toujours le maillon faible.
Mike-de-Klubaik
L’ingénierie sociale date depuis au moins la date de publication de la «&nbsp;La fabrique du consentement&nbsp;» et a été largement employé bien avant l’informatique, on est d’accord
carinae
Ça s’est souvent tout le problème. A part déconnecter un pc du réseau il est impossible de faire de la sécurité a 100%. Il faut trouver le juste milieu entre utilisation et sécurité. Chose que bon nombre de responsables sécu ne savent pas faire ou ne veulent pas faire. Résultat le remède est pire que le mal car ça pousse les gens a trouver des solutions pour bosser correctement qui souvent contournent les règles de sécurité…et du coup on se retrouve à nouveau avec des failles non maîtrisées
ABC
On a beau se dire «&nbsp;Je suis trop malin pour que ça m’arrive&nbsp;», il y a toujours un moment de faiblesse où on répond machinalement et où, au moment de cliquer sur envoyer, on se dit que quelque chose cloche. Parfois trop tard.<br /> Se méfier aussi des commerçants classiques (boutiques en dur) qui sont très peu soupçonnés dans les arnaques internet. Pourtant ce type d’arnaque est courante. Il suffit à un vendeur de vous voir saisir votre code de carte (beaucoup cachent leur code aux clients derrière sans se protéger du marchand), de laisser trainer un smartphone sur le comptoir qui filme votre carte recto verso pendant l’échange. Et hop, vous venez de donner toutes les infos à votre voleur qui se fera une joie de fêter l’événement en dépensant des milliers d’euros sur internet.
juju251
ABC:<br /> Se méfier aussi des commerçants classiques (boutiques en dur) qui sont très peu soupçonnés dans les arnaques internet. Pourtant ce type d’arnaque est courante. Il suffit à un vendeur de vous voir saisir votre code de carte (beaucoup cachent leur code aux clients derrière sans se protéger du marchand), de laisser trainer un smartphone sur le comptoir qui filme votre carte recto verso pendant l’échange. Et hop, vous venez de donner toutes les infos à votre voleur qui se fera une joie de fêter l’événement en dépensant des milliers d’euros sur internet.<br /> Etant donné qu’il n’y a pas besoin du code secret pour commander sur Internet (le code secret n’est là que pour protéger l’accès physique à la puce de la carte), il «&nbsp;suffit&nbsp;» d’avoir le numéro de la carte et le cryptogramme visuel (les trois chiffres au dos).
BBlake
Article très intéressant et plutôt complet !<br /> Etant dans le domaine, je confirme que le facteurs humain est la plus grosse faille de sécurité ses dernières années car les systèmes d’information sont de plus en plus sécurisé et l’accès à cette sécurité est plus accessible niveau économique et compétence.<br /> C’est pour cela que l’aspect sociale est de plus en plus important en informatiques car l’humain fait partie intégrante de la sécurité de l’information.<br /> Donc en tant qu’utilisateurs au sein de votre entreprise, ne vous plaignez pas quand le service IT «&nbsp;vous met des batons dans les roues&nbsp;» pour des raisons de sécurité car au final on fait ça pour éviter que vous fassiez une conn.rie x)
ABC
Oui, c’est vrai. Mais dans ce type d’arnaques, les voleurs cumulent souvent retraits aux distributeurs (en cas de vol de la carte) et achats sur internet. C’est d’ailleurs les retraits massifs aux distributeurs qui peuvent permette de donner l’alarme plus vite.
Voir tous les messages sur le forum