Shoulder surfingRegarder par-dessus l'épaule (anglais : Shoulder surfing) est une technique d'ingénierie sociale utilisée pour dérober de l'information à une personne en particulier, en sécurité informatique. Normalement, cette technique est utilisée pour obtenir le numéro de sécurité sociale de la victime ainsi que ses mots de passe ou d'autres données confidentielles. Pour mettre en œuvre cette technique, il n'y a pas besoin de compétences particulières, uniquement d'agilité et de préparation.[réf. nécessaire] Il existe deux façons de réaliser l'attaque, la première, assez rapprochée, consiste à regarder par-dessus l'épaule de la personne espionnée en tentant d'observer les données qu'elle introduit dans des champs. La seconde, plus éloignée, implique l'utilisation de jumelles ou d'appareils adaptés, tels que des micros ou des caméras-espion.[réf. nécessaire] HistoriqueAu début des années 1980, cette technique était appliquée à proximité des cabines téléphoniques dans le but d'obtenir des informations sur la carte d'appel et pouvoir ensuite effectuer des appels à longue distance gratuitement. Parfois, ces informations pouvaient être vendues illégalement.[réf. nécessaire] Néanmoins, l'essor de nouvelles technologies telles que les caméra ou les microphones discrets ont facilité cette pratique, notamment en favorisant des attaques à plus longue distance.[réf. nécessaire] Une caméra-espion permet de capturer tout le processus d'identification ainsi que des données confidentielles de la victime, ce qui peut être exploité en vue d'usurpations d'identité ou dans le but d'effectuer des achats à partir des données de l'attaqué.[réf. nécessaire] Les lieux massivement fréquentés sont les plus propices pour les attaquants et souvent ils observent l’environnement des victimes potentielles avant de mener leur méfait.[réf. nécessaire] ContexteLes procédures les plus propices à l'usurpation d'identité sont les suivantes :
D'après des enquêtes réalisées auprès des utilisateurs de dispositifs portables, les résultats ont de quoi être alarmants, en effet:
PréventionIl convient, à l'heure de saisir des informations confidentielles, de s'assurer que personne autour ne porte un intérêt déplacé envers nos activités, en cherchant à obtenir une certaine discrétion.[réf. nécessaire] Certains modèles de lecteur de cartes ont un clavier incliné et une protection en plastique qui entoure une partie importante de celui-ci, ce qui rend l'application de cette technique bien plus compliquée du fait qu'il faut se situer face au clavier pour pouvoir l'observer distinctement, ce qui n'est pas toujours le cas pour certains anciens modèles.[réf. nécessaire] Certains distributeurs ont un écran sophistiqué qui dissuade les attaquants : grâce à des filtres, ils s'assombrissent au fur et à mesure que l'on augmente l'angle de vision et le seul moyen de distinguer les informations est de se tenir précisément en face de l'écran. Malgré une certaine protection, ces écrans n'assurent pas pour autant une sécurité absolue. Ce genre de filtres sont commercialisés pour être positionnés sur des écrans de téléphone ou d'ordinateur portable.[réf. nécessaire] En général, les techniques évoquées ne sont pas utilisées pour cacher le code secret étant donné qu'il n'est pas affiché pendant la saisie. Un moyen d’éviter son observation pendant celle-ci est de disposer un cache autour du clavier ou à défaut de celui-ci, d'abriter le clavier sous une main.[réf. nécessaire] Bibliographie
|