SOCIAL ENGINEERING

Introduction

L'ingénierie sociale (ou social engineering en anglais) est une forme d'acquisition déloyale d'information et d'escroquerie, utilisée en informatique pour obtenir d'autrui, un bien, un service ou des informations clés. Cette pratique exploite les failles humaines et sociales de la structure cible, à laquelle est lié le système informatique visé. Utilisant ses connaissances, son charisme, l'imposture ou le culot, le hacker abuse de la confiance, de l'ignorance ou de la crédulité des personnes possédant ce qu'il tente d'obtenir. Dans son ouvrage L'art de la supercherie, Kevin Mitnick a théorisé et popularisé cette pratique de manipulation qui utilise principalement les "failles humaines" d'un système informatique comme "effet de levier", pour briser ses barrières de sécurité.

L'ingénierie sociale est aussi appelé processus "d'élitisation" (de "éliciter" : trier, faire sortir de, susciter...), ou plus concrètement en langue française : L'art d'extirper frauduleusement de l'information à l'insu de son interlocuteur en lui "tirant les vers du nez". Ce terme est souvent utilisé dans le jargon informatique pour désigner un processus d'approche relationnel frauduleux et définit plus globalement les méthodes mises en œuvre par certains hackers (catégorie des black hat), qui usent "d'élitisation" pour obtenir d'une personne manipulée, un accès direct à un système informatique ou plus simplement, pour satisfaire leur curiosité.

De nos jours, un effort de formation et de prévention des utilisateurs des systèmes informatisés sécurisés est fourni. Les départements en charge de la sécurité des systèmes informatiques forment les différents personnels de l'entreprise aux règles de sécurité de base : la meilleure façon de choisir un mot de passe (long et ne se trouvant pas dans un dictionnaire), ne jamais révéler son mot de passe à quelqu'un, pas même à un interlocuteur se faisant passer pour un employé du département informatique, etc. De nombreuses conférences invitent les spécialistes du renseignement ou de la sécurité du système d'information dans les entreprises, à instruire le personnel au sein des grandes structures de l'État et des grands groupes du CAC 40, et à sensibiliser davantage leurs nombreux utilisateurs à cette forme de menace déloyale. Ces formations visent principalement à prévenir les effectifs internes des entreprises, à ne pas divulguer "accidentellement" ou "involontairement" des informations sensibles, et à les enjoindre de donner l'alerte en cas de tentative d'intrusion frauduleuse. Ici il n'est pas question d'outils ou de commandes mais de manipulations, qualité indispensable d'un bon Hacker.

Nous sommes tous un jour un peu plus fatigué, on a des soucis, des problèmes au travail, des besoins qui doivent être comblés, des envies, on est tous humains... Cette humanité utilise des services qui communiquent avec des pirates comme le réseau, l’intranet, les services télécom, les réseaux sociaux, le mailing...

C'est donc une technique qui a pour but d'extirper des informations à des personnes. Contrairement aux autres attaques, elle ne nécessite pas de logiciel. La seule force de persuasion est la clé de voûte de cette attaque. Il y a quatre grandes méthodes de social engineering : par téléphone, par lettre, par Internet et par contact direct.

Social Engineering par téléphone

Le hacker vous contactera par téléphone. C'est la technique la plus facile. Son but est d'avoir le renseignement le plus rapidement possible. Un bon hacker aura préparé son personnage et son discours. Il sera sûr de lui. Il sera très persuasif dans le timbre de sa voix. Certains hackers ont quelques techniques pour parfaire leur crédibilité, comme jouer sur un magnétophone une cassette préalablement enregistrée de bruits de bureau, ou encore utiliser un matériel qui change le timbre de la voix pour imiter celle d'une secrétaire.

Pour parer cette méthode, si vous recevez un coup de fil d'une personne que vous ne connaissez pas : Ne donnez aucun renseignement. Restez dans le vague, et débarrassez vous de lui : soit vous mettez un terme à cet appel, soit demandez une confirmation par écrit (par fax) de la demande. Par fax, on obtient le numéro appelant, et il est donc facile de l'identifier. Et ainsi, on garde une trace écrite, cela pouvant être d'une grande importance pour déposer une plainte.
Malheureusement, un bon hacker vous aura étudié avant, et se fera passer pour un client, un fournisseur, ou un de vos collègues situé dans un autre bureau dans le cas d'une grande entreprise. Pire encore, il attaquera au moment le plus propice pour lui : par exemple, lorsque le responsable d'un client est en vacances. Il devient très dur alors, de se douter d'une mauvaise intention... Attention aux entreprises qui externalisent leur sécurité informatique...

Social Engineering par lettre

Le hacker vous fera une lettre très professionnelle. Au besoin, il n'hésitera pas à voir un imprimeur pour avoir du papier à lettre comportant un logo, un filigrane, téléphone, fax, email... Il utilisera très certainement une boîte postale pour l'adresse de sa société fictive.

Pour parer cette méthode, l'idéal serait de filtrer tout le courrier entrant de l'entreprise. Pour chaque source inconnue de l'entreprise, il faudrait faire une vérification de l'existence réelle de celle-ci.

Social Engineering par Internet

Le social engineering par Internet est semblable à celui par téléphone. Le hacker se fera facilement passer pour un opérateur système, un responsable informatique ou un ingénieur système.

Pour parer cette méthode, comme pour le téléphone, ne donnez pas de renseignements à quelqu'un que vous ne connaissez pas. Mais par Internet, c'est plus facile de donner de la crédibilité, tant il y a de noms de domaines et d'adresses emails farfelus. Il n'est donc pas facile de faire la part des choses. Une bonne étude de la gestion de l'Extranet et de la mise en place d'une structure matérielle et personnelle adéquate est la meilleure solution.

Social Engineering par contact direct

C'est le social engineering le plus dur de la part du hacker. Il sera équipé pour que vous n'y voyez que du feu : costard, cravate, très classe, très propre, attaché-case , agenda rempli, documents divers, carte de visite, badge... Si le hacker prend de tels risques, c'est qu'il est déterminé à obtenir les renseignements souhaités. Il sera donc très persuasif.

Pour parer cette méthode, cela est très difficile car vous avez été directement confronté au charisme du hacker. S'il a réussi, vous êtes persuadé de son honnêteté. Cependant, lors d'une discussion, n'hésitez pas à demander un maximum de renseignements "concrets" (nom de votre interlocuteur, nom et adresse de la société, etc), pour, par la suite, vérifier auprès des organismes compétents l'existence réelle de votre interlocuteur. N'hésitez pas à téléphoner à la société pour savoir si la personne existe, et si elle est au courant qu'elle vous a vu ces dernières heures...

Exemples de Social Engineering

• La société Netragard est spécialisée dans l’audit de sécurité informatique. En d’autres termes, elle est payée par ses clients pour tenter de les pirater par n’importe quel moyen. Le but : vérifier les failles d’une entreprise.
  Lorsque le patron de Netragard s’est fait embaucher par son client cette fois-ci, il savait qu’il allait devoir ruser comme jamais. L’entreprise cliente était très attentive à sa sécurité depuis des années. Son idée : bricoler une souris d’ordinateur pour y intégrer un logiciel espion capable de prendre le contrôle de l’ordinateur sur lequel le périphérique est branché…. à l’insu de l’utilisateur évidemment.
  D’un point de vue informatique, l’attaque est extrêmement sophistiquée. Mais sa particularité et son génie repose surtout sur son aspect social engineering. Pour faire utiliser la souris truquée au sein de l’entreprise cliente, les hackers de Netragard ont du faire des recherches poussées sur chaque employé de la boite. Profils Facebook et compagnie : tout a été passé au crible.
  Finalement, le patron de Netragard s’est décidé à envoyer la souris à un employé en particulier, qui lui semblait plus apte à tomber dans le panneau.
  Il a fait envoyer la souris directement dans le bureau de l’employé en question en se faisant passer pour un fournisseur qui organisait un évènement promotionnel. Quelques jours plus tard, la souris a été branché et le virus a fonctionné sans aucun problème.
  
  
• Encore une fois, cette histoire fait cas d’une société d’audit de sécurité qui a monté un plan génial pour pirater l’entreprise qui l’a embauchée.
  Le PDG avec prévenu : “il sera impossible de me pirater”, il en était sûr et certain. Le hacker en charge de tester la sécurité de la boite, déclara à la presse : “Le patron imaginait que quelqu’un allait lui téléphoner pour lui demander son mot de passe ou quelque chose comme ça… il se préparait à quelque chose dans le genre.”
  Pour débuter, le hacker se mit à chercher la location des serveurs de l’entreprise, les adresses IP des serveurs, les e-mails des employés, les numéros de téléphone, le nom des employés et leurs titres, et bien plus. Mais le gros-lot était ailleurs : il découvrit qu’un membre de la famille du PDG s’était battu contre le cancer, et avait survécu.
  De par le fait, le patron s’était rapproché d’une fondation participant à la recherche contre le cancer. Parallèlement, le hacker découvrit aussi le restaurant préféré et l’équipe de foot préférée du PDG.
  Grâce à toutes ces informations, il était prêt à frapper. Il a appelé le patron en se faisant passer pour la fondation à laquelle il s’était intéressé par le passé. Il l’informa que la fondation organisait une loterie en échange de donation et que l’un des prix était une place pour un match de foot auquel participait son équipe préférée… Il y avait d’autres lots hypothétiques, comme… une soirée offerte dans divers restaurants, dont son préféré !
  Le patron semblait très intéressé. Le hacker lui demanda son adresse e-mail pour lui envoyer un PDF d’inscription. Tout se passait sans problème. Le hacker pu même demander au PDG la version d’Adobe Reader qu’il utilisait “pour être sûr qu’il voyait bien le document correctement”. Le PDF d’inscription à la loterie était évidemment piégé. Adobe Reader est une véritable passoire (en témoignent les millions de mises à jour quasi-quotidiennes que nous impose Adobe sur Windows). L’affaire était dans le sac : le hacker avait le contrôle du PC du patron.
  
  
• Un journaliste américain s’est vu pirater “de A à Z” tous ses appareils Apple, son compte mail, ses comptes de stockage de données et son compte Amazon. Le piratage à l’origine de l’attaque n’a utilisé aucun moyen “technique” pour parvenir à cela. Comment a-t-il fait ?
  Première étape : appeler le service client Amazon en se faisant passer pour Mat Honan, le journaliste victime de l’attaque. La stratégie du pirate est ingénieuse au possible. Lors de son premier appel à Amazon, il demande à rajouter une carte de crédit à son compte. C’est une procédure classique qu’Amazon accepte d’honorer par téléphone. Il suffit de donner son nom, son adresse et le code de sa carte bancaire.
  Deuxième étape : le hacker rappelle Amazon mais cette fois, il explique qu’il a perdu l’accès à son compte. Devinez ce que demande Amazon pour vérifier l’identité de l’appelant ? Les 4 derniers chiffres d’une carte bancaire associée au compte…. le hacker a simplement donné les 4 derniers chiffres de la carte qu’il venait d’ajouter. A ce moment précis, le pirate obtenait un accès total au compte Amazon du journaliste.
  Troisième étape : obtenir un accès au compte iCloud de la victime. L’accès à ce compte donne immédiatement accès à son iPhone, son MacBookAir, son compte Twitter et son compte Gmail (qui est le compte de secours). Pour cela, rien de plus simple. Lors de la réinitialisation des identifiants d’un compte iCloud, Apple ne demande que 3 informations : l’e-mail du compte, une adresse de facturation, et les quatre derniers chiffres de la carte bancaire associée au compte. Rappelez-vous : le pirate venait d’obtenir un accès entier au compte Amazon de sa victime. Il avait donc accès aux 4 derniers chiffres de sa véritable carte bancaire par la même occasion.
  Quatrième étape : piratage en règle avec suppression de toutes les données. Le journaliste victime de l’attaque. C’est très intéressant.