Social Engineering: Influence, soumission, manipulation



Documents pareils
Sciences en société et esprit critique Cours 5 : Les comportements en société. Petites expériences de Psycho. Soc., Econ. Expé., Ethol.

BAP E Gestionnaire de parc informatique et télécommunications MI2 / MI3 Ouverts au titre de 2010 Arrêté du 7/04/10 - J.

spam & phishing : comment les éviter?

Comment Utiliser les Versions, les Modification, les Comparaisons, Dans les Documents

[Ministère des Affaires étrangères et du Développement international] DEFI MANUEL UTILISATEUR ESPACE DEMANDEUR

Menaces du Cyber Espace

LA PSYCHOLOGIE DE L'ENGAGEMENT 1 Ou comment amener autrui à modifier librement ses comportements?

Créé par Goldfing & Pblabla Créé le 02/05/ :49:00. Guide pour la déclaration d impôt

Dictionnaire de données de la Base de données du Système national d information sur l utilisation des médicaments prescrits, octobre 2013

Instructions Mozilla Thunderbird Page 1

calls.paris-neuroscience.fr Tutoriel pour Candidatures en ligne *** Online Applications Tutorial


Collecte de données auprès des refuges pour femmes battues et enfants

Intérêt pour les personnes Club social. 5.5 Compromis Laisser-faire. Intérêt pour la tâche. Travail équipe.

ALARME COMMUNAUTAIRE. - Mode d emploi -

Notice Technique / Technical Manual

LE DISPOSITIF VOISINS VIGILANTS

Trivialisation versus rationalisation cognitive : quand l'adhésion à la norme de consistance guide le choix du mode de rédaction de la dissonance

6 e GRAND PRIX INTERNATIONAL DE PHOTOGRAPHIE DE VEVEY

Demande d inscription

Able Informatique bvba Zakske 16 B-8000 Brugge Belgique Téléphone :

Voici des exemples de cyberintimidation :

The new consumables catalogue from Medisoft is now updated. Please discover this full overview of all our consumables available to you.

DOCUMENTATION MODULE BLOCKCATEGORIESCUSTOM Module crée par Prestacrea - Version : 2.0

GMC Inspire HybridMail

GAMME DE PRODUITS TECHNOLOGIE DE VISSAGE L AMÉNAGEMENT D ENTREPRISE D A À Z LEAN, L ERGONOMIE ET LA SÉCURITÉ INFORMATION SUPPLÉMENTAIRE

Comment Accéder à des Bases de Données MySQL avec Windows lorqu'elles sont sur un Serveur Linux

STUVA Système de rangement

L analyse économique est-elle transposable à l éducation?

Insérer des images dans Base

Défis engendrés par la criminalité informatique pour le secteur financier

Programme de bourses universitaires conjoint Japon-Banque mondiale (JJ/WBGSP) Programme régulier. Formulaire de demande de bourse 2012

RÉPUBLIQUE FRANÇAISE. Elle a pris connaissance de la procédure judiciaire. Elle a entendu M. D.M., ainsi que M. E.P., officier de police judiciaire.

Communication Master AgroFood Chain

B&C PRIVATE ROOM GUIDE D UTILISATION. B&C COLLECTION // BE INSPIRED //

SECTION 3. La prévention de la fraude. Il existe plus de 50 types de fraude sachez vous protéger. Un guide pour les aînés

TCAO. *CSCW = Computer Supported Cooperative Work

L achat en ligne des titres de transport. du Pays Voironnais COMMENT. ÇA marche. www paysvoironnais com rubrique Se déplacer

ContactForm et ContactFormLight - Gestionnaires de formulaire pour Prestashop Edité par ARETMIC S.A.

Automatisation d'une Facture 4. Liste Déroulante Remises Case à cocher Calculs

Créer un tableau avec LibreOffice / Calc

Majeurs et mineurs mis en cause par les services de Police en 2013

HARCÈLEMENT CRIMINEL. Poursuivre quelqu un, ce n est pas l aimer!

PLAN MULTIMEDIA DANS LES ECOLES UN ESPACE DE STOCKAGE NUMERIQUE (NAS) DANS VOTRE ECOLE. Sommaire

Comment consolider des données

Utiliser le site learningapps.org pour créer des activités interactives

La cybercriminalité et les infractions liées à l utilisation frauduleuse d Internet : éléments de mesure et d analyse pour l année 2012

Partie publique / Partie privée. Site statique site dynamique. Base de données.

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

COMMENT ADHÉRER GRATUITEMENT?

PARTENAIRE COMMERCIAL DE MSD CODE DE CONDUITE

TP 1 Outils collaboratifs de base

LOI N du 16 juin 1986 instituant une Caisse des Règlements Pécuniaires des Avocats (CARPA)

COR-E : un modèle pour la simulation d agents affectifs fondé sur la théorie COR

DEMANDE D ÉVALUATION DES DIPLÔMES INTERNATIONAUX

CHAPITRE 12 Nom: Date: 1

MANUEL MARKETING ET SURVIE PDF

Silhouette Studio Leçon N 2

Application Form/ Formulaire de demande

La Menace du Stéréotype

Janvier La notion de blanchiment

Internet et les nouvelles technologies : «Surfer avec plaisir et en sécurité»

Get Instant Access to ebook Cest Maintenant PDF at Our Huge Library CEST MAINTENANT PDF. ==> Download: CEST MAINTENANT PDF

Contrôle d'accès Access control. Notice technique / Technical Manual

LA BANQUE POSTALE MISE SUR LE MARKETING TEMPS- REEL ET L IMPRESSION 3D

Gestion des prestations Volontaire

PARTAGER UN ANNUAIRE COLLECTIF DE SIGNETS AVEC DEL.ICIO.US

Comment Créer une Base de Données Ab Initio

MINISTÈRE DE L ÉDUCATION DES ÉTATS-UNIS. Bureau des Droits Civiques (BDC) Formulaire de plainte pour discrimination

GESTION ELECTRONIQUE DE DOCUMENTS

Pour bien commencer avec SCRATCH. Version

LIMESURVEY. LimeSurvey est une application permettant de créer des questionnaires d enquête en ligne et d en suivre le dépouillement.

Avertissement. Le Conseil général. L association ADEJ. Les jeunes connaissent bien les dangers d Internet.

Accord

L évaluation de la qualité d un dispositif d apprentissage en ligne. Quelles traces mobiliser? Comment les interpréter?

Comment mettre en page votre livre

Médicaments en vente libre : considérations pour la pratique de la physiothérapie

Subordonnée circonstancielle de cause, de conséquence et de but

Mesurer et analyser le trafic d un site internet Comment analyser l audience de son site et connaître les centres d intérêts des visiteurs?

Développer sa stratégie sur les médias sociaux

Il y a trois types principaux d analyse des résultats : l analyse descriptive, l analyse explicative et l analyse compréhensive.

Guide d utilisation de la plateforme internet sécurisée des traitements de substitution pour les centres de traitement (04.03.

TABLE DES MATIERES 521

Procédure normalisée de fonctionnement du RCBT Demande d informations additionnelles Version

English Q&A #1 Braille Services Requirement PPTC Q1. Would you like our proposal to be shipped or do you prefer an electronic submission?

Les GPO 2012 server R2 (appliqués à Terminal Serveur Edition)

Gestion des identités et des risques

Mode d emploi du Bureau Virtuel (BV) à destination des étudiants en Formation À Distance (FAD)

PRÉVENTIONS SÉNIORS POUR VOTRE SÉCURITÉ, AYEZ LES BONS RÉFLEXES!!

Chief William Bratton, Los Angeles Police Department. Predictive Policing. 4 février 2015

Déjouer ensemble le marketing de masse frauduleux

Etape 1 : Récupération de la clé d installation

BIBLIOTHÈQUE NUMÉRIQUE MODE D EMPLOI

Une école au Togo, épisode 1/4

Futurs étudiants 1 er Cycle

Fais ton site internet toi-même

La propriété intellectuelle à Hong Kong: ce qu un canadien doit savoir!

Transcription:

Social Engineering: Influence, soumission, manipulation Aperçu de recherches en psychosociologie Danielle KAMINSKY Conférence CLUSIF- juin 2007

Introduction Escrocs et pirates : utilisation du social engineering la plupart de manière intuitive Mécanismes étudiés scientifiquement Nombreuses recherches dans les 40 dernières années en psychosociologie Présentation faite ici : non exhaustive Aperçu de quelques travaux et notions

1ère partie : 1. La soumission à l autorité

1.1 Travaux de Stanley Milgram dans les années 60 Expérience à l université de Yale (États-Unis) publiée en 1963 Relatée dans le film I comme Icare réalisé par Henri Verneuil A donné lieu a de nombreuses variantes Description de l expérience de base

Résultats obtenus dans l expérience de Milgram 100 % des sujets sont allés jusqu à 285 volts (choc intense ). Puis, parmi eux : 12,5% se sont arrêtés ensuite à 300 volts (dernier curseur choc intense, moment où l on entendait l élève remuer sur sa chaise et ses pieds taper le sol) 20% à 315 360 volts (dernier curseur de la catégorie choc extrêmement intense)

Résultats de l expérience de Milgram (suite) 1 seul s est arrêté entre 375 et 420 volts (catégorie danger choc violent) les 65% restants ont été jusqu au bout décharge de 435 à 450 volts (intensité maximale).

Autorité versus choix Autre expérience de Milgram : Le sujet peut choisir le niveau d intensité décharges électriques des L autorité ne l oblige pas à continuer Résultats : 80% s arrêtent à 120 volts 1 seul sur 40 est allé jusqu au dernier curseur Situation autorité aboutit à + fort taux d obéissance

1.2 Expérience de Hofling, Brotzman, Dalrymphe, Graves et Pierce en 1966. Lieu de l expérience : l hôpital. Sujets étudiés : infirmières Boîtes d un médicament placées dans l armoire à pharmacie de plusieurs services. Dose maximale journalière : 10 mg. L expérimentateur téléphone à l infirmière de garde.

Résultats de l expérience de Hofling, Brotzman, Dalrymphe, Graves et Pierce en 1966. 95% sont allées donner le médicament au malade, alors que : Le prescripteur est étranger à l infirmière La prescription par téléphone enfreint les règles de l hôpital Le médicament n est pas dans la liste des médicaments autorisés dans le service La dose prescrite par téléphone excède à l évidence la dose maximale journalière

1.3 Expériences de Meus et Raaijmakers de 1980 à 1995 Menées à l université d Utrech aux Pays Bas Sélection de candidats pour des emplois dans la fonction publique par le Département de Psychologie Les sujets doivent faire des remarques négatives aux candidats pendant l examen Pour (soit-disant) évaluer la capacité des candidats à endurer le stress. Résultats : taux d obéissance de 91,70 %.

1.4 Expérience de Howery et Dobbs en 2000 Conduite aux États-Unis auprès de 25 étudiants Servir de témoins d un vol auquel ils n avaient pas assisté (Signer la déclaration remplie par leur professeur) 1er groupe sous pression autoritaire d un agent de sécurité 2ème groupe auquel l agent de sécurité demande de relire la déclaration et de la signer Résultats : 100% ont signé (remarques)

1.5 Autorité et attributs Soumission à une autorité légitime Figures d autorité : père, police, gendarmerie, médecin, directeur, etc. Attributs : vêtements, uniforme, blouse blanche, objets, voiture, sifflet, carte, ton, injonction. Facile à imiter, contrefaire

Social Engineering Soumission à l autorité Police@fbi.com.com admin@nomdelentreprise.com Use this patch immediately! Read this document Faux agents EDF, faux policiers, etc.

Ver SOBER.K # Dear Sir/Madam, we have logged your IP-address on more than 40 illegal Websites. Important: Please answer our questions! The list of questions are attached. Yours faithfully, M. John Stellford ++-++ Federal Bureau of Investigation -FBI- ++-++ 935 Pennsylvania Avenue, NW, Room 2130 ++-++ Washington, DC 20535 ++-++ (202) 324-3000

2ème partie : 2. La soumission librement consentie

Sentiment de liberté Expression «soumission librement consentie» : chercheurs français Joule et Beauvois (1998, 2002) Obtenir un comportement sans pression autoritaire Amener quelqu un à un comportement tout en lui laissant le sentiment qu il a eu ce comportement en toute liberté. Importance du sentiment de liberté dans la prise de décision est ici primordiale.

Soumission librement consentie Engagement (Kiesler 1971) Expérience de Moriarty (1975) Joule et Beauvois (1998, 2002) Nicolas Gueguen, Pascual (2000) Persévération Plusieurs techniques ont montré leur efficacité

2.1 Le pied dans la porte : Technique par requêtes successives. Phase préparatoire avec requête peu coûteuse suivie d une requête plus importante. Faire d abord réaliser un acte anodin suivi d une requête plus importante, véritable but recherché.

2.1.1 Expérience de Freedman et Fraser en 1966 aux États-Unis Ménagères prises au hasard dans l annuaire téléphonique 1ère requête : accepter de répondre à un court questionnaire (8 questions) Si acceptation, remerciements et poursuite 3 jours + tard 2ème requête : accepter de recevoir 5 ou 6 enquêteurs chez elles

Résultats obtenus : 52,8 % des ménagères ont accepté la 2ème requête 22% dans le groupe auquel on avait directement posé la 2ème requête

2.1.2 Pied dans la porte, autre expérience par Freedman et Fraser : Cette fois-ci, 1ère requête facilement acceptable 2ème requête plus exorbitante Sujets : propriétaires de pavillons Requêtes en face à face au lieu de téléphone Expérimentateurs différents 1ère et 2ème requête

Autre expérience Freeman et Fraser, suite 1ère requête : autocollant ou pétition pour sécurité routière ou garder sa région propre. 2ème requête : demande de placer un panneau de 16 m2 dans son jardin sur l un des thèmes.

Résultats obtenus : Thème sécurité routière : 76 % de ceux qui avaient d abord accepté de poser un autocollant sur la sécurité routière ont accepté la 2ème requête grand panneau 47,8 % de ceux qui avaient accepté d abord de signer la pétition sécurité routière Thème préservation nature : 47,6% autocollants 47,4% pétition * 16,7% acceptation sans la 1ère requête

Résultats obtenus : Requêtes à caractères pro-sociales : (cause collective publique) : efficacité Requêtes autres : (intérêts privés) : efficacité aussi Expériences avec résultats efficaces obtenus: Divulgation de données personnelles (goûts musicaux, vie sexuelle, etc.)

2.1.3 Pied dans la porte par ordinateur interposé Expériences du chercheur français Nicolas Gueguen en 2002 1ère requête par email : comment convertir un fichier 2ème mail : remerciements + demande de participation à une enquête + lien 76% ont répondu en condition pied dans la porte 44% en situation contrôle

2.1.4 Le Pied dans le nez Cialdini, Vincent, Lewis, Catalan, Wheeler et Lee Darby, en 1975. 1ère requête volontairement exorbitante puis si refus 2ème demande moins contraignante. Expérience de Cialdini sur réinsertion de jeunes délinquants

Résultats obtenus 98% en situation de porte dans le nez refusent la 1ère requête 50 % acceptent la 2ème 25% acceptent en situation contrôle (sans 1ère requête)

2.1.5 La porte dans le nez par ordinateur Communication asynchrone par ordinateur Nicolas Gueguen a montré que la technique de la porte dans le nez pied fonctionne Site web enfants victimes de mines Clic sur aidez-nous! Renvoi sur formulaire avec demande de renseignements et demande de participation à gérer un forum 3 heures par semaine pendant 6 mois

La porte dans le nez par ordinateur ( suite) si refus et clic sur : «je ne peux m engager sur une telle durée» renvoi sur page de dons activation page de don avec Porte dans le nez: 11% en situation contrôle : 3,5 % efficacité du procédé : 3 fois plus dans cet ex

Mais vous êtes libre de La simple évocation de la liberté prédispose à la soumission Expérience Gueguen et Pascual 2002 : Dans la rue, sujets : passants «Excusez-moi, auriez-vous un peu de monnaie pour prendre le bus?» «Mais vous êtes libre d accepter ou refuser». 47,5% acceptent quand la formule est ajoutée contre 10% sans

Mais vous êtes libre de (ordinateur) Expérience Gueguen, Le Gouvello, Pascual, Morineau et Jacob ( 2002) Site web enfants victimes de mines «Cliquez ici» : 65,3% «Vous êtes libre de cliquer ici» : 82%

Conclusions : Recherches intéressantes pour éclairer l efficacité de certains mécanismes utilisés dans le social engineering Mais techniques n expliquent pas tout Ne fonctionnent pas à 100% : Si 80% taux d obéissance ou d acceptation Alors 20 % n ont pas obéi ni accepté Ni tout le temps chez les mêmes individus L individu est plus complexe, imprévisible Mise en évidence du ressort «aide à autrui»

Quelques références : Stanley Milgram. (1969). Obedience to Authority. New York, NY: Harper & Row. Robert Cialdini, 1984, 1993, Influence- The Psychology of Persuasion, William Morrow, Harpercollins Publishers Inc. Robert Cialdini, Influence et manipulation. 2004, éditions First Robert-Vincent Joule et Jean-Léon Beauvois, 1998. La soumission librement consentie. PUF Robert-Vincent Joule et Jean-Léon Beauvois, 2002. Petit traité de manipulation à l usage des honnêtes gens. PUG. Nicolas Guéguen, 2002. Psychologie de la manipulation et de la soumission, Editions Dunod.