Skip to main content
social engineering faille

Quand l’humain est lui-même une faille : le social engineering

Quand on parle de hacking ou de piratage informatique, on s’imagine généralement que seuls des informaticiens confirmés aux compétences techniques débordantes le pratiquent. Ce n’est pas forcément le cas puisque le but principal des pirates est bien souvent d’obtenir des informations confidentielles ou sensibles, auxquelles ils n’auraient pas accès en temps normal. Et bien cela est possible via une technique qui ne nécessite pas de logiciel mais bien d’une force de persuasion : le social engineering.

Qu’est ce que le social engineering ?

Le social engineering (ou ingénierie sociale en français, mais moins utilisé) est une science visant à soutirer des informations (un mot de passe, des données sensibles, etc.) à un interlocuteur sans que celui-ci ne s’en rende compte. Cela implique pour l’attaquant d’installer un climat de confiance entre lui et la cible, de jouer sur les émotions de cette dernière, sa psychologie, tout ça afin d’obtenir la donnée voulue.

social engineering

Cette technique, pas forcément simple à appliquer, peut s’enseigner à tout le monde sans connaissances préalables c’est pourquoi elle est très répandue et aussi dévastatrice puisqu’elle serait la clé de réussite de 90% des piratages. De plus celle-ci ne nécessite pas d’outils spécifiques puisqu’elle s’effectue par téléphone, par internet, par mail, en face à face, etc.

Différents cas de figures

  • Par téléphone : C’est une des techniques les plus courantes puisqu’elle permet de se créer un personnage. L’attaquant ne se trouve pas en face de sa cible et sa crédibilité se jouera uniquement en audio, ainsi il peut faire preuve de plusieurs techniques malicieuses afin de gagner en crédibilité comme la modification de sa voix en fonction du rôle qu’il veut jouer, la création d’un environnement sonore (bruits de bureau, etc.). Je vous invite d’ailleurs à regarder le film français « Je compte sur vous » qui traite du Social Engineering par téléphone, plus particulièrement mettant en scène la fraude aux faux ordres de virement (FOVI) où l’attaquant se fait passer pour le dirigeant de la victime, afin d’être en position dominante vis-à-vis de cette dernière et de pouvoir jouer sur sa peur.  Bien sûr certains faits sont discutables puisque cela reste un film, mais il reste tiré de faits réels et permet de se rendre compte à quel point l’ingénierie sociale peut être dévastatrice.

 

  • Par lettre : L’attaquant peut envoyer une fausse lettre d’une entreprise fictive dans laquelle il imitera parfaitement le style d’une lettre professionnelle avec le logo, le téléphone, le fax, également une boîte postale pour l’adresse de sa société fictive.

 

  • Par mail : Il est très facile aujourd’hui de falsifier une adresse e-mail soit en usurpant une adresse déjà existante avec une modification du nom de domaine par exemple ; ou directement par « mail spoofing » qui consiste à passer directement par une adresse mail déjà existante, l’attaquant pourra ainsi aisément se faire passer pour quelqu’un d’autre, encore une fois pour quelqu’un de supérieur hiérarchiquement par exemple.

 

  • Par contact direct : Le social engineering peut s’effectuer en face à face mais cela complexifie grandement la persuasion puisque cela ne se joue plus que sur la voix ou les mots, cette fois l’attaquant devra se montrer convaincant sur tous les points : son style vestimentaire, sa gestuelle, des accessoires comme un attaché-case, un agenda, ou même une carte de visite, tous les moyens seront bons pour gagner en crédibilité. Si l’attaquant décide d’agir en contact direct c’est qu’il est déterminé à obtenir les renseignements qu’il cherche et se montrera très persuasif.

 

Il existe bien sûr d’autres moyens, d’autres « plateformes » pour pratiquer le social engineering, mais le principe reste le même, l’attaquant se jouera des faiblesses de la victime, de ses émotions. Il serait faux de penser qu’un attaquant appel directement une cible et mise le reste sur l’improvisation.

Le social engineering, c’est énormément de travail, de renseignements en amont sur la cible. Si le pirate attaque une entreprise il s’aidera bien évidemment des réseaux sociaux les plus populaires pour se renseigner sur chaque employé et déterminer le plus apte à donner l’information. Bien souvent, un attaquant malin utilisera d’ailleurs plusieurs moyens de communication, demande de rendez-vous par téléphone puis confirmation par mail, etc. toujours dans le but de gagner en crédibilité, que sa fausse identité paraisse authentique.

fausse identité numérique

De plus, si un pirate obtient des informations au plus bas de la hiérarchie d’une entreprise, cela lui ouvre des portes pour attaquer des plus hauts placés car celui-ci aura toujours plus de crédibilité s’il possède des informations qui ne sont pas destinées au grand public (relevés de compte dans une banque par exemple) et cela lui permettra d’obtenir des informations toujours plus importantes.

Quelques exemples

J’ai jugé intéressant de vous faire part de 3 exemples tirés d’internet car j’estime que les exemples sont le meilleur moyen de se rendre compte du fonctionnement du social engineering, et de sa puissance.

    • Le premier exemple se déroule lors de la Def Con, la convention des hackers la plus connue au monde, en 2016, où un journaliste se trouve face à Jessica Clark, une spécialiste en social engineering. Celle-ci va obtenir l’accès à son compte téléphonique en quelques minutes à l’aide d’un téléphone et d’un fond sonore d’un bébé qui pleure. Elle appelle l’opérateur téléphonique du journaliste via un spoofing du numéro de ce dernier, faisant croire que l’appel a été passé depuis son téléphone. Se faisant passer pour la femme du journaliste ayant oublié l’adresse e-mail de connexion à leur compte, il ne lui faut pas plus de 30 secondes pour l’obtenir. Elle va ensuite utiliser simplement le nom de la compagne du journaliste et un faux numéro de sécurité sociale pour changer le mot de passe et donc bloquer le journaliste de son propre compte. On peut constater à quel point Jessica se montre persuasive, utilisant simplement un bébé qui pleure en fond, absolument pas de quoi éveiller les soupçons de l’opérateur téléphonique.

 

  • Un autre exemple concerne une société d’audit de sécurité (qui test le niveau de sécurité global d’un système d’information) qui est embauchée par une entreprise. Le patron en est sûr, il sera impossible de pirater son entreprise. Le hacker qui doit tester la sécurité de leur système, se mit à chercher de nombreuses informations sur l’entreprise comme la location de leurs serveurs, les adresses IP de ces derniers, les e-mail, téléphones, noms et titre des employés, et bien d’autres informations. L’information qui s’avérait le plus intéressante était sur le PDG lui-même, qui s’est rapproché d’une fondation participant à la recherche contre le cancer suite à un membre de sa famille s’étant battu contre cette maladie. En plus de ça, le hacker avait trouvé le restaurant préféré ainsi que l’équipe de foot préférée du PDG. Avec toutes ces informations, le pirate appela le président en se faisant passer pour la fondation contre le cancer que ce dernier suivait, prétextant une loterie qu’organiserait cette fondation avec de nombreux lots à la clé comme une soirée offerte dans son restaurant préféré ou une place pour le match de son équipe préférée. Le PDG étant intéressé, le hacker obtenu aisément son adresse e-mail pour lui envoyer un PDF d’inscription à la loterie, PDF qui vous vous le doutez sera piégé (Adobe Reader faisant l’objet de nombreuses vulnérabilités). Il n’en fallut pas plus au hacker pour contrôler l’ordinateur du directeur.

attaque au pdg

  • Troisième et dernier exemple, en 2013, des hackers ont envoyé un mail de phishing aux employés d’Associated Press aux Etats-Unis, se faisant passer pour un supérieur hiérarchique, un employé ayant cliqué sur le lien, les hackers ont pu prendre le contrôle de son ordinateur. Ainsi, ils ont obtenu les identifiants du compte Twitter de l’Associated Press pour publier un tweet depuis leur compte : « Flash Info : deux explosions à la Maison Blanche, Barack Obama blessé ». Les hackers voulaient probablement faire une mauvaise blague mais ce fût une très mauvaise blague puisqu’elle engendra une chute brutale du marché boursier.

 

Se prémunir face au Social Engineering

Le social engineering étant une méthode bien particulière jouant sur les failles humaines et non les failles informatiques, on ne peut pas se prémunir face à celui-ci comme on le ferait pour une attaque informatique. D’ailleurs tout le monde peut être victime du social engineering puisque les pirates se tourneront d’ailleurs d’avantage vers un « simple » employé que quelqu’un chargé de la sécurité du système informatique. C’est pourquoi il est essentiel même pour vous de savoir un minimum comment agir face à l’ingénierie sociale.

Tout d’abord, l’attaquant souhaitera que vous agissiez rapidement et réfléchissez après en mettant la pression sur vous, et bien évacuez cette pression et ne vous laissez pas influencer par leur semblant d’urgence. Ensuite, soyez toujours sûr de la source qui vous contact ; par téléphone demandez un maximum d’informations sur l’identité de la personne, par mail vérifiez bien l’origine du destinataire en consultant le site de l’entreprise ou même en appelant directement celle-ci (rappelez-vous l’email spoofing).

Enfin la règle probablement la plus importante est de rejeter la moindre demande de mot de passe ou d’information sensible tant que vous n’avez pas de confirmation sur l’identité de la personne ou sur votre autorisation à faire ce qu’il demande, pour être sûr de ne pas avoir de problèmes.

 

Joffrey Outtier

Joffrey Outtier est le fondateur de sforsecure.fr, ce blog sur la sécurité informatique a été créé pour partager mes connaissances en cybersécurité et sensibiliser les utilisateurs aux dangers du numérique. Pour le suivre sur Twitter : @JoffreyO.