Ingénierie sociale : qu’est-ce que le tailgating (talonnage) ?

tailgating

Table des matières

Partager cet article

Qu’est-ce que le tailgating (ou talonnage ?)

Le tailgating est une attaque physique d’ingénierie sociale au cours de laquelle une personne cherche à pénétrer dans une zone d’accès restreint où elle n’a pas le droit de se trouver.

Dans le monde physique, ce que l’on appelle tailgating, c’est lorsque une voiture en suit une autre de très près, ce qui rend la situation dangereuse et inconfortable pour le conducteur du véhicule situé devant.

Mailfence - Obtenez votre email gratuit et sécurisé.

4.1 sur base de 177 avis utilisateurs

Mailfence - Obtenez votre email gratuit et sécurisé.

4.1 sur base de 177 avis utilisateurs

En pratique, une attaque de tailgating consiste à se faufiler dans une zone interdite en utilisant quelqu’un d’autre. Cela peut se faire, comme pour les voitures, en suivant quelqu’un de très près (« Vous pouvez me tenir la porte s’il vous plaît ? »). Les attaquants peuvent également tromper les gens en se faisant passer pour quelqu’un d’autre, comme dans le cas du phishing ou du pretexting.

Le tailgating est cependant différent de ces attaques d’ingénierie sociale. En effet, il s’agit d’une intrusion physique menée pour accéder à des données sensibles, de l’argent, ….. De ce fait, il se rapproche davantage de l’appâtage (« baiting »).

Défininition du tailgating (talonnage), une technique d'ingénierie sociale physique.

Quelques exemples d’attaques de tailgating :

Une personne se fait passer pour un chauffeur-livreur et attend à l’extérieur d’un bâtiment. Lorsqu’un employé obtient l’autorisation de la sécurité et ouvre la porte, l’assaillant lui demande de maintenir celle-ci ouverte. Ce dernier accède ainsi à la société par l’intermédiaire une personne autorisée.

Les imposteurs peuvent se faire passer par toutes sortes de professionnels, comme des réparateurs, des personnes qui font semblant de tenir de lourdes caisses. Tout ce qui peut vous faire sentir coupable de ne pas tenir la porte ou de ne pas autoriser l’accès.

Cependant, le tailgating ne fonctionne pas dans toutes les entreprises. Par exemple, dans les grandes entreprises, toute personne entrant dans un bâtiment doit s’identifier au moyen d’une carte. Cependant, dans les entreprises de taille moyenne, les attaquants peuvent engager la conversation avec des employés et profiter de ces familiarités pour passer.

L’objectif principal de l’individu malveillant dans ce type d’ingénierie sociale est d’obtenir un accès physique au site. Pour entrer dans une zone restreinte dont l’accès est protégé par électroniquement par carte RFID, il suffit simplement de passer derrière une personne qui dispose d’un accès officiel. Par courtoisie, la personne autorisée laissera généralement la porte ouverte pour lui.

L’exemple le plus célèbre d’attaque par talonage est probablement fourni par l’histoire de Frank Abagnale Jr, que vous avez probablement découverte dans le film « Catch Me If You Can » (« Arrête-moi si tu peux » en version francophone). Abagnale a escroqué de nombreuses personnes et est entré dans de nombreux endroits où il n’était pas autorisé. Son assurance lui a permis de pénétrer dans de nombreux endroits et de tromper beaucoup de gens.

Comment éviter le tailgating ?

Une attaque de talonnage peut être particulièrement dangereuse pour les organisations de taille moyenne et de grande taille, car les risques sont très importants. Quelques exemples : les vols de secrets d’entreprise, d’argent et d’équipements. Un autre exemple grave est l’installation d’une porte dérobée sur le serveur pour « écouter » toutes les conversations sur le réseau de l’entreprise.

Si vous travaillez pour une entreprise de taille moyenne, vous devez commencer à vous montrer circonspect à l’égard de tous ceux qui veulent accéder aux locaux. Cela peut sembler impoli et maladroit, mais c’est dans l’intérêt de votre entreprise. Demandez à la direction d’installer des scanners biométriques et des tourniquets pour éviter qu’un « tailgater » entre dans le bâtiment.

Les scanners biométriques et les tourniquets empêcheront ces individus de « tailgater » et de vous suivre à l’intérieur du bâtiment, car ils n’autorisent le passage que d’une personne à la fois. De plus, vous devrez interpeller cette personne et lui poser des questions dont seuls les employés connaissent les réponses.

La connaissance est un pouvoir

Les tailgaters profitent souvent des employés qui ignorent leurs pratiques. Il est absolument vital que vous formiez vos employés et que vous les armiez de connaissances. Vous pouvez leur proposer un cours gratuit de sensibilisation à la sécurité et à la protection de la vie privée pour vous assurer qu’ils ne tomberont jamais dans le piège d’une attaque de tailgating. Chaque fois que votre entreprise accueille une nouvelle recrue, vous devrez également veiller à lui dispenser une formation de base en cybersécurité, car 99 % des nouveaux employés ignorent totalement l’existence de telles attaques.

Aucun de ces conseils ne sera pertinent si vous ne restez pas vigilant et si vous ne vous méfiez pas de toutes les personnes que vous ne connaissez pas. Tenir la porte à une personne qui est « en retard » peut sembler anodin, mais cette décision peut avoir beaucoup de conséquences. En tant qu’employé, vous devez vous assurer que personne, à l’exception du personnel autorisé, n’entre dans le(s) bâtiment(s).

La clé pour se protéger contre ce type d’attaque d’ingénierie sociale

est de RESTER ATTENTIF ET VIGILANT sur votre lieu de travail !

Pour plus d’informations sur la suite de messagerie sécurisée de Mailfence, n’hésitez pas à nous contacter à l’adresse support@mailfence.com.

Reprenez votre vie privée en main.

Créez votre e-mail gratuit et sécurisé dès aujourd'hui.

Image de M Salman Nadeem

M Salman Nadeem

Salman travaille comme analyste de la sécurité de l'information pour Mailfence. Ses domaines d'intérêt sont la cryptographie, l'architecture et la conception de la sécurité, le contrôle d'accès et la sécurité des opérations. Vous pouvez le suivre sur LinkedIn @mohammadsalmannadeem.

Recommandé pour vous