Définition
Par la pratique du social engineering, on peut facilement récupérer un mot de passe ou faire exécuter un cheval de Troie par exemple.
Le social engineering est une pratique efficace, car elle s’attaque à un maillon jugé hautement vulnérable, à savoir l’être humain et sa psychologie, et elle ridiculise ainsi les armadas de solutions techniques souvent présentes dans les entreprises.
Le « social engineering » peut prendre plusieurs formes.
Le social engineering par téléphone
Le cas le plus typique de social engineering est la récupération d’information par téléphone.
Par exemple, l’attaquant commence par se renseigner au préalable sur la société, en recherchant des informations pertinentes via Internet : numéros de téléphone, nom, prénom, fonction des responsables de la société ou encore des informations relatives aux administrateurs du système d’information.
L’attaquant va ensuite téléphoner et se substituer à une personne, un administrateur par exemple. Il prendra soin de donner quelques
informations faisant penser à la victime qu’il appartient à l’entreprise ou qu’il est bien la personne qu’il prétend être. Ensuite, il va utiliser différentes manœuvres psychologiques pour soutirer des informations.
Il peut, par exemple, commencer à perturber la victime en lui indiquant qu’un virus très dangereux sévit sur sa machine et demander à cette personne d’effectuer des opérations plus ou moins complexes. Une fois que la victime est en disposition psychologique plus faible (stress), l’attaquant peut alors lui proposer qu’elle lui donne le login et le mot de passe pour qu’il fasse les manipulations à sa place. La victime, soulagée, sera alors bien contente de donner son mot de passe, sans forcément s’apercevoir du piège. Les services clients (« help-desk ») sont particulièrement vulnérables, car les employés sont entraînés à être serviables et à dépanner les
utilisateurs. Il peut être facile de dire qu’on a oublié son mot de passe et qu’on a un travail très urgent à terminer. La personne du service client sera alors tentée d’effectuer une opération permettant l’accès illégitime.
Le « social engineering » par téléphone peut également passer par le piratage du PABX de l’entreprise. L’attaquant pourra ainsi faire croire qu’il appelle de l’intérieur de l’entreprise, ce qui lui apporte un gain de confiance par rapport à sa victime.
Le social engineering par mail
Le social engineering par mail est un moyen efficace pour propager des virus, récupérer des informations ou installer un programme sur l’ordinateur de la victime.
Pourtant les recettes utilisées sont basées sur des réactions psychologiques primaires : « Je clique parce que le nom du fichier me fait penser que je vais accéder à des images érotiques », « Je clique parce que le mail me dit que j’ai gagné beaucoup d’argent », « Je clique parce que le mail me dit que je suis attaqué et que le programme en pièce jointe me permet de me défendre ». Les victimes de ce social engineering agissent souvent par instinct et ne réfléchissent absolument pas aux conséquences. Leur attention est redirigée vers quelque chose d’excitant et d’impromptu, et elles en oublient par exemple qu’elles ne connaissent même pas la personne émettrice du mail.
Ce social engineering là est à la portée de tous. Pour exemple, nous pouvons citer le virus « Anna Kournicova » qui s’est propagé car les personnes qui cliquaient sur le fichier infesté pensaient voir une photographie sulfureuse de la célèbre joueuse de tennis. La plupart de ces virus permettaient de récupérer des informations sur le carnet
d’adresse de la victime par exemple.
Le social engineering sur les réseaux de discussion
Le « social engineering » peut également être exercé sur les réseaux de discussion, que ce soit le « chat » (IRC) ou la messagerie instantanée
(ICQ par exemple).
Le CERT a même émis un avis à ce sujet mi-semestre 2002 pour mettre en garde les utilisateurs de ces réseaux ( http://www.cert.org/incident_notes/IN-2002-03.HTML).
Une attaque typique peut être un message qui avertit la victime qu’elle est infectée par un virus permettant à des pirates de s’introduire sur son ordinateur et qu’elle ferait mieux de télécharger tel logiciel pour nettoyer sa machine, sous peine d’être bannie du réseau.
Bien entendu, le prétendu logiciel anti-virus n’en est pas un. Il s’agira selon le cas d’une « backdoor », d’un cheval de Troie ou d’un logiciel permettant de participer à une attaque de déni de service distribuée (à l’insu de la victime).
Le social engineering par internet
Il est également possible de duper les internautes en mettant en place des sites leurres, qui vont demander un login/mot de passe (en précisant bien qu’il faut impérativement que ce soit le même que votre compte réseau) ou qui vont demander une numéro de carte bancaire et la date d’expiration (pour vérifier prétendument que vous êtes adulte).
Bien entendu, dans la plupart des cas, ce social engineering ne peut pas marcher s’il n’est pas combiné à un autre social engineering (par mail par exemple) qui va inciter l’utilisateur à aller se connecter sur le site en question.
Le social engineering « in situ »
Le « social engineering » peut également être pratiqué dans les locaux même de l’entreprise, à différents niveaux.
Le pirate ou l’espion industriel peut pratiquer du social engineering pour accéder aux locaux : un sourire avenant, une forte assurance, une décontraction certaine et il y a fort à parier que les portes s’ouvriront comme par enchantement.
Ensuite, il n’a qu’à fureter à droite à gauche, rentrer dans les bureaux vides, aller voir du côté des imprimantes et jeter un oeil dans les poubelles pour trouver des informations intéressantes.
Le Reverse Social Engineering (RSE)
Le « reverse social engineering » est une manœuvre beaucoup plus complexe qui consiste à inverser la situation. Par exemple, ce n’est pas
l’attaquant qui appelle pour récupérer des informations, mais la victime qui appelle l’attaquant pour les lui donner !
Un cas typique de « reverse social engineering » consiste pour l’attaquant à saboter une machine à laquelle il a accès par d’autres moyens. La victime qui s’aperçoit que la machine ne marche plus, va vouloir appeler quelqu’un pour l’aider. L’attaquant aura pris soin de faire savoir qu’il était capable de réparer les dégâts (en en parlant autour
de lui, en laissant traîner des cartes de visite, en mettant un message d’erreur demandant explicitement de l’appeler en cas de panne, etc.). La victime appellera alors l’attaquant et sera toute disposée à lui confier des informations sensibles : numéro de contrat de support, login, mot de passe …
Bien entendu, ce genre d’attaque demande une très grande préparation.
Conclusion
Le social engineering exploite la « faiblesse humaine » et permet de récupérer plus facilement et plus rapidement des informations que par
une attaque « logique ».
Les contre-mesures basiques pour se protéger du social engineering sont de mettre en place les procédures adéquates, d’en informer le personnel et de le sensibiliser aux pratiques de social engineering. La sensibilisation peut être faite par le biais de formation, de messages informatifs (mails, plaquettes) ou même sous forme de CD-ROM.
Se protéger du social engineering peut ainsi passer par la mise en place de concepts très simples : prendre l’identité de chaque visiteur, ne jamais laisser un visiteur tout seul (le raccompagner jusqu’à la porte), et surtout : ne jamais révéler son mot de passe, sous quelques motifs que ce soit et même si un supérieur hiérarchique l’exige. Le « Social engineering », encore appelé en français « subversion psychologique » est une pratique consistant à abuser de la confiance d’une ou de plusieurs personnes, dans le but principal de récupérer des informations confidentielles.
