Le social engineering est une technique qui consiste à obtenir un accès ou une information à des personnes sans qu’elles ne s’en rendent compte. Contrairement aux autres attaques, elle ne nécessite pas de logiciel.
Le hacker utilise la confiance d’une personne pour obtenir une information généralement à propos d’un système informatique (version système d’exploitation, numéro de carte bancaire, mot de passe, etc). Cette pratique exploite les failles humaines et sociales de la victime, à laquelle est lié le système informatique visé.
La technique la plus classique est de se présenter dans une entreprise avec un « ordre de mission » pour mettre à jour l’antivirus sur le poste de l’assistante, par exemple. Au lieu de cela, on va installer un keylogger qui va capturer tous les mots de passe saisis.
L’ingénierie sociale n’est pas nouvelle et elle existe depuis toujours, avec des ingénieurs célèbres tels que Kevin Mitnick ou Frank Abagnale. Selon Kevin Mitnick: il est plus facile d’exploiter la nature humaine que d’exploiter des failles dans un logiciel.
Dans cet article, nous allons voir voir en détail les différentes techniques du social engineering utilisées les hackers.
Social Engineering par téléphone
Au téléphone, il est facile de se faire avoir par un individu se faisant passer pour votre opérateur téléphonique, ou même votre banquier. Le but du hacker est d’avoir le renseignement le plus rapidement possible. Un bon hacker aura préparé son personnage et son discours. Avec quelques phrases bien placées et le bon ton, il lui sera assez simple de soutirer des informations confidentielles. Certains hackers ont quelques techniques pour parfaire leur crédibilité, comme jouer sur un magnétophone une cassette préalablement enregistrée de bruits de bureau, ou encore utiliser un matériel qui change le timbre de la voix pour imiter celle d’une secrétaire.
Un test réalisé à l’occasion de la conférence Defcon a permis d’évaluer le risque de divulgation d’informations secrète par les employés de l’entreprise soumis à des techniques d’ingénierie sociale par téléphone : 135 employés, issus de 17 grandes entreprises, dont Coca-Cola, Ford, Pepsi, Cisco, Wal-Mart, ont été testés dans le cadre de ce concours de piratage. Les résultats sont choquants, puisque 96% d’entre eux, démarchés par téléphone, ont divulgué des informations considérées comme « sensibles » : version du système d’exploitation, logiciels antivirus et navigateurs utilisés dans l’entreprise, etc.
Voici une vidéo tournée entre les Pays-Bas et L’Ukraine ou de jeunes pirates expliquent comment ils se font créditer 100 000 euros par de pauvres commerçants crédules en utilisant le social engineering par téléphone et d’autres techniques.
Social Engineering par internet
Le social engineering par internet est semblable à celui par téléphone. Il peut se faire par courrier émail, par des sites web falsifiés (Phishing ). Souvent, ces attaques commencent par l’envoi d’un email par un hacker prétendant provenir de quelqu’un ou de quelque chose que vous connaissez ou en qui vous avez confiance, tel qu’un ami ou votre banque préféré. Ces emails vous incitent à effectuer une action comme cliquer sur un lien, ouvrir une pièce jointe, ou bien répondre à un message. Les hackers élaborent ces emails de manière à ce qu’ils soient très convaincants, en les envoyant à des millions de personnes à travers le monde. Les pirates n’ont pas de cible précise en tête, pas plus qu’ils ne savent exactement qui en sera victime. Ils savent simplement que plus ils envoient d’emails, plus il y aura de personnes susceptibles d’être trompées.
Social Engineering par contact direct
Même si un hacker peut faire énormément de choses par le téléphone ou par internet, il est parfois nécessaire de se rendre sur le terrain pour constater par lui même l’état des lieux, prendre un mot de passe écrit sur un papier ou installer un Malware sur l’ordinateur de la victime. Le hacker doit être bien équipé pour que la cible ne rend compte de rien. L’apparence va énormément compter. Costume, cravate, très bien habillé, très propre, attaché-case, agenda rempli, documents divers, carte de visite, badge… Il lui faudra avoir une attitude sûre, le regard axe et la tête haute. Si le hacker prend de tels risques, c’est qu’il est déterminé à obtenir les renseignements souhaités. Il sera donc très persuasif.
Pour plus de nouveautés, merci de vous abonner à la newsletter du blog ou à son flux RSS. N’hésitez pas aussi à faire un tour sur Twitter, Google+ ou encore Facebook pour d’autres news.
Jeu de briques
Snake
Pacman
Bubble