Le social-engineering (en français
“ingénieurerie sociale”) consiste à obtenir des informations par un
moyen déloyale, notamment grâce à la manipulation mentale. Le terme
prend tout son sens dans le contexte du piratage informatique : au lieu
d’exploiter des failles techniques (logiciel non mis à jour, crack d’un
mot de passe), le pirate va piéger et manipuler une cible précise pour
arriver à son but.
La souris piégée
La société Netragard est spécialisée
dans l’audit de sécurité informatique. En d’autres termes, elle est
payée par ses clients pour tenter de les pirater par n’importe quel
moyen. Le but : vérifier les failles d’une entreprise.
Lorsque le patron de Netragard s’est
fait embaucher par son client cette fois-ci, il savait qu’il allait
devoir ruser comme jamais. L’entreprise cliente était très attentive à
sa sécurité depuis des années.
Son idée :
bricoler une souris d’ordinateur pour y intégrer un logiciel espion
capable de prendre le contrôle de l’ordinateur sur lequel le
périphérique est branché…. à l’insu de l’utilisateur évidemment. Je vous
passe les détails techniques (
plus d’informations ici).
D’un point de vue informatique,
l’attaque est extrêmement sophistiquée. Mais sa particularité et son
génie repose surtout sur son aspect social engineering.
Pour faire utiliser la souris truquée au
sein de l’entreprise cliente, les hackers de Netragard ont du faire des
recherches poussées sur chaque employé de la boite. Profils Facebook et
compagnie : tout a été passé au crible. Finalement, le patron
de Netragard s’est décidé à envoyer la souris à un employé en
particulier, qui lui semblait plus apte à tomber dans le panneau.
Quand je vous dis qu’il ne faut pas raconter votre vie sur les réseaux sociaux…
Il a fait envoyer la souris
directement dans le bureau de l’employé en question en se faisant passer
pour un fournisseur qui organisait un évènement promotionnel. Quelques
jours plus tard, la souris a été branché et le virus a fonctionné sans
aucun problème.
Le patron trop sûr de lui
Comme d’habitude lorsque l’on a vent de
ce genre d’histoire, le nom de l’entreprise “testée” n’est jamais
connue. Encore une fois, cette histoire fait cas d’une société d’audit
de sécurité qui a monté un plan génial pour pirater l’entreprise qui l’a
embauchée. Le PDG avec prévenu : “il sera impossible de me pirater”, il
en était sûr et certain.
Hadnagy, le hacker en charge de tester
la sécurité de la boite, déclara à la presse : “Le patron imaginait que
quelqu’un allait lui téléphoner pour lui demander son mot de passe ou
quelque chose comme ça… il se préparait à quelque chose dans le genre.”
Pour débuter, Hadnagy se mit à chercher
la location des serveurs de l’entreprise, les adresses IP des serveurs,
les e-mails des employés, les numéros de téléphone, le nom des employés
et leurs titres, et bien plus. Mais le gros-lot était ailleurs : le
hacker découvrit qu’un membre de la famille du PDG s’était battu contre
le cancer, et avait survécu.
De par le fait, le patron s’était
rapproché d’une fondation participant à la recherche contre le cancer.
Parallèlement, le hacker découvrit aussi le restaurant préféré et
l’équipe de foot préférée du PDG.
Grâce à toutes ces informations, il
était prêt à frapper. Il a appelé le patron en se faisant passer pour la
fondation à laquelle il s’était intéressé par le passé. Il l’informa
que la fondation organisait une loterie en échange de donation et que
l’un des prix était une place pour un match de foot auquel participait
son équipe préférée… Il y avait d’autres lots hypothétiques, comme… une
soirée offerte dans divers restaurants, dont son préféré !
Le patron semblait très
intéressé. Hadnagy lui demanda son adresse e-mail pour lui envoyer un
PDF d’inscription. Tout se passait sans problème. Le hacker pu même
demander au PDG la version d’Adobe Reader qu’il utilisait “pour être sûr
qu’il voyait bien le document correctement”.
Où est le piège ? Le PDF d’inscription à
la loterie était évidemment piégé. Adobe Reader est une véritable
passoire (en témoignent les millions de mises à jour quasi-quotidiennes
que nous impose Adobe sur Windows). L’affaire était dans le sac : le
hacker avait le contrôle du PC du patron.
Le journaliste dont la vie entière a été piratée
Cette histoire date de mi-2012 et a fait pas mal de bruit en France.
Un journaliste américain s’est vu
pirater “de A à Z” tous ses appareils Apple, son compte mail, ses
comptes de stockage de données et son compte Amazon. Le piratage
à l’origine de l’attaque n’a utilisé aucun moyen “technique”
pour parvenir à cela. Comment a-t-il fait ?
Première étape : appeler
le service client Amazon en se faisant passer pour Mat Honan, le
journaliste victime de l’attaque. La stratégie du pirate est ingénieuse
au possible. Lors de son premier appel à Amazon, il demande à rajouter
une carte de crédit à son compte. C’est une procédure classique
qu’Amazon accepte d’honorer par téléphone. Il suffit de donner son nom,
son adresse et le code de sa carte bancaire.
Deuxième étape : le
hacker rappelle Amazon mais cette fois, il explique qu’il a perdu
l’accès à son compte. Devinez ce que demande Amazon pour vérifier
l’identité de l’appelant ? Les 4 derniers chiffres d’une carte bancaire
associée au compte…. le hacker a simplement donné les 4 derniers
chiffres de la carte qu’il venait d’ajouter. A ce moment précis, le
pirate obtenait un accès total au compte Amazon du journaliste.
Troisième étape :
obtenir un accès au compte iCloud de la victime. L’accès à ce compte
donne immédiatement accès à son iPhone, son MacBookAir, son compte
Twitter et son compte Gmail (qui est le compte de secours). Pour cela,
rien de plus simple.
Lors de la réinitialisation des
identifiants d’un compte iCloud, Apple ne demande que 3 informations
: l’e-mail du compte, une adresse de facturation, et les quatre derniers chiffres de la carte bancaire associée
au compte. Rappelez-vous : le pirate venait d’obtenir un accès entier
au compte Amazon de sa victime. Il avait donc accès aux 4 derniers
chiffres de sa véritable carte bancaire par la même occasion.
Conclusion
Ces 3 attaques sont toutes les 3 très
différentes. Et pour cause, c’est là toute la puissance du social
engineering. Le pirate s’adapte à sa cible, au contexte de l’attaque et
aux possibilités qui s’offrent à lui.
N’oubliez jamais une chose : en informatique, rien n’est jamais sûr. Rien. Jamais.