SysFailure

Imprimer

Ingéniérie sociale

.

Ingéniérie sociale, aspects juridiques et pratiques

Ingenierie socialeFrédéric CONNES et Quentin GAUMER (HSC) ont présenté quelques éléments liés à l'utilisation de l'ingéniérie sociale dans le cadre de tests d'intrusion ou audits. Le support de leur présentation est disponible sur le site de l'OSSIR.

Quelques questions juridiques

La première question soulevée est de savoir si l'utilisation de l'ingéniérie sociale est juridiquement acceptable. En effet, elle pourrait être rapprochée d'une usurpation d'identité, ou être assimilée, directement ou non, à un vol de données, à une potentielle escroquerie, ou à une collecte déloyale de données personnelles.

  • Usurpation d'identité : seule la victime dont on usurpe l'identité peut porter plainte (et pas la cible de l'usurpation). Or, dans le cadre d'un audit ou d'un test d'intrusion, le contrat passé entre le client et l'auditeur indique les moyens et méthodes acceptées par le client. Donc, si le contrat est bien rédigé, l'utilisation de l'ingéniérie sociale (si elle est acceptée par le client) est prévue. Dès lors que la "victime" a autorisée cette technique, il n'y a pas de risque de plainte de sa part.
  • Vol de données : le vol sans soustraction d'un élément physique (cela couvre donc la copie d'informations) a longtemps été ignoré par les tribunaux (du moins n'a pas été considéré comme un vol). Toutefois, une décision de 2011 du TGI de Clermont-Ferrand est allée dans le sens inverse, en considérant qu'il y avait bien vol. La situation n'est donc pas, aujourd'hui, clairement tranchée sur ce point.
  • Escroquerie : la définition simplifiée de l'escroquerie est une tromperie au préjudice d'une personne afin d'obtenir une remise de fonds, de valeurs ou d'un bien quelconque. Il est donc nécessaire qu'il y ait un préjudice et que l'élément obtenu ait une valeur. Dans le cadre d'une collecte d'informations, il n'est pas certain que cela soit le cas.
  • Collecte déloyale de données personnelles : cela semble être le seul point réellement délicat. Car la victime de l'ingéniérie sociale, auprès de laquelle on va obtenir des informations éventuellement personnelles, est trompée et peut considérer que l'action était déloyale. Cela étant dit, si la prestation est bien encadrée notamment par un contrat adéquat, le risque paraît faible.