Le Social Engineering, plus communément appelé SE est une technique qui permet d’obtenir des informations confidentielles, sans que l’entreprise / team / personne / autre visée ne le remarque. La faille utilisée par cette technique est le facteur humain. Dans ce type d’attaque, il n’y a pas besoin d’avoir de grandes connaissances en informatique pour réussir, il suffit d’avoir de bonnes capacités de communication, un raisonnement logique et rapide, et une mémoire plutôt bonne. En quelques coups de fil, avec cette technique, un manipulateur expérimenté, peut obtenir des mots de passe administrateur, des accès physiques ou logiques à des serveurs cruciaux d’une entreprise. Le plus dangereux dans une attaque par SE est le fait que l’entreprise visée ne sait pas qu’elle subit une attaque de plus, il ne reste que très rarement des traces physiques ou logiques.
Je vais commencer par vous raconter l’histoire d’une attaque, pour que vous puissiez bien vous rendre compte de la facilité avec laquelle un bon attaquant peut avoir accès à des serveurs ultra protégés. Après, je décomposerai l’attaque en plusieurs parties, pour que je puisse l’expliquer.
Histoire tirée du livre de K.Mitnick (L’art de la supercherie) :
L’entreprise visée est dans les 500 premières aux States (au moment où se passe l’histoire), cette entreprise créait des puces électroniques pour crypter les conversations vocales entre agents du gouvernement (forces de l’ordre / pompiers / DEA / autre). Ces puces s’intégraient donc aux portables de ces agents. Le secret qui protégeait la fabrication de ces puces était donc évidemment grand. L’attaquant désirait avoir le code source du cryptage de ces communications, pour pouvoir écouter les conversations de ces agents gouvernementaux. L’entreprise visée possédait une authentification à 2 facteurs, il fallait tout d’abord entrer le chiffre présent sur un jeton électronique, puis insérer son login et son password. Le chiffre inscrit sur l’écran du jeton changeait toutes les 60 secondes, et possédait 6 chiffres. Imaginons qu’il veuille faire une attaque classique et casser les mots de passe avec un PC, à distance : Casser un code de 6 chiffres qui change toutes les 60 secondes est déjà difficile avec nos ordinateurs actuels, alors imaginez avec les pc qu’ils avaient il y a 10 ans, cela relevait de l’impossible, et ensuite, il fallait encore trouver un login avec son mot de passe correct. Une opération pareille est tout simplement irréalisable sans le code inscrit sur le jeton. En quelques coups de fil, l’attaquant arrive à obtenir le nom d’un employé, son service, son numéro de téléphone, sa position dans les immeubles de l’entreprise, son chef, le numéro de téléphone de son chef. Enfin, toute les informations utiles pour se faire passer pour cet employé.
Pour que l’histoire de l’attaquant soit plausible, il a besoin d’une tempête de neige. Comme il habite dans une contrée où il y a souvent des tempêtes de neige en hiver, il n’attend pas longtemps. Pendant une nuit, une tempête de neige tombe sur la ville.
L’attaquant appel le service informatique de l’entreprise, et dit ceci :
« Ici Bob Billings (c’est le nom de l’employé sur qui il s’était renseigné). Je travaille au service des communications sécurisées. Je suis à la maison et je ne peux pas venir à cause de la tempête. Le problème, c’est que j’ai besoin d’accéder à ma station de travail et au serveur depuis la maison, et j’ai laissé mon SID (Secure ID) au bureau. Pourriez-vous aller le chercher ? Vous ou quelqu’un d’autre ? Puis lire mon code quand j’aurai besoin d’entrer ? Mon équipe a des délais très serrés et je ne peux pas achever mon travail. Et il n’est pas possible que je me rende au bureau, les routes sont trop dangereuses sur mon trajet. »
Ce à quoi l’opérateur répond :
« Je ne peux pas quitter le centre informatique ».
L’attaquant profite alors pour demander si le service informatique possède un SID. « Il y en a un ici, au centre informatique » répond l’opérateur « Nous en gardons un pour les opérateurs, en cas d’urgence ».
« Pourriez-vous me rendre un grand service ? Quand j’aurai besoin d’appeler le réseau, pourrez-vous me permettre d’emprunter votre SID ? Jusqu’à ce que je puisse reprendre la voiture. » Demande l’attaquant.
« Qui êtes-vous, déjà ? »
« Bob Billings »
« Pour qui travaillez-vous ? »
« Pour Ed Trenton »
« Ah, oui, je le connais »
« Je suis au premier étage, ajoute l’attaquant, près de Roy Tucker. Il serait beaucoup plus facile d’aller simplement à mon bureau et d’y récupérer mon SID ».
L’attaquant est presque certain que l’opérateur ne va pas se déplacer, car il n’a pas envie d’abandonner son poste de travail en plein boulot, pour marcher dans des couloirs et cages d’escalier. Il ne voudra pas non plus toucher au bureau d’une autre personne et violer son espace personnel.
L’opérateur ne voulant pas prendre la responsabilité de donner l’accès au serveurs, il va demander a son chef. Il se porte garant de l’interlocuteur, alors que celui-ci est un attaquant, et qu’il ne le connaît pas. Comme le chef voulait parler à l’attaquant, celui-ci rappelle le chef sur son numéro de téléphone portable. L’attaquant rappelle le chef du service informatique, et lui raconte la même histoire, en rajoutant juste 2-3 détails, comme sur quoi il travaille comme projet. Il rajoute encore :
« Il serait plus facile que quelqu’un aille récupérer ma carte, je ne crois pas que le bureau soit fermé à clé, elle devrait se trouver dans mon tiroir en haut a gauche. »
« Bien » dit le responsable, « juste pour le week-end, je pense que nous pouvons vous laisser utiliser celle du centre informatique. Je demanderai aux employés de service de vous lire le code d’accès aléatoire lorsque vous appellerez ».
Voila, le plus dur est fait, il a accès quand il veut au réseau de l’entreprise avec un code aimablement fourni par le service informatique qui croyait aider un collègue.
Il lui restait 2 problèmes, avoir un mot de passe pour entrer avec un nom d’utilisateur, et aussi trouver sur quel serveur étaient stockés les plans. Avec une recherche sur les forums de discussion, il a trouvé quelqu’un qui bossait dans la boite, et qui avait posé une question. Il l’appelle, et avec un peu de SE, en mélangeant des questions sans intérêt avec celle qui l’intéressait, il a pu savoir où se stockaient les données relatives au cryptage vocal. Pour le login et accès, il a rappelé au service informatique, s’est plaint qu’il n’avait pas accès à ses données, et a demandé un compte provisoire. Comme l’employé du service informatique avait reçu l’ordre de lui donner le chiffre aléatoire du jeton, il n’a pas vu de problème à lui créer un compte.
Dès que l’attaquant a trouvé le serveur qu’il cherchait, il a cherché une faille de sécurité sur ce serveur, et il en a trouvé une après une heure de recherche. Et voilà, il avait les documents de création des portables du gouvernement, tout ça sans prendre de réels gros risques. Il ne lui restait plus qu’à effacer ses traces, et remercier le service informatique d’une telle collaboration !
Analyse de l’attaque :
L’attaquant a une méthode très simple pour attaquer, il commence par se renseigner sur l’entreprise en téléphonant à plusieurs employés, pour obtenir des informations sur d’autre. Ce début d’attaque est complètement indécelable, car les informations demandées sont mélangées à des questions sans importances et surtout que les informations demandées n’ont aucun caractère sécurisé, mais que si l’on écoutait tous les coups de fil / mails / autres que le l’attaquant fait, on se rendrait compte de la valeur de l’information donnée. Dès que l’attaquant possède suffisamment d’informations, il va lancer son attaque.
C’est maintenant que l’attaque peut être décelée. La méthode d’attaque va différer d’une situation à une autre. Mais les 2 principales sont la demande d’aide, ou l’offre d’aide. L’histoire que je vous ai racontée plus haut est une demande d’aide. Il faut se méfier des demandes d’aide, dès que la personne requérante demande des informations confidentielles ou des accès aux serveurs sécurisés.
On peut voir que l’opérateur qui a reçu en premier le coup de fil de l’attaquant, s’est porté garant de l’attaquant. Pourquoi ? Simplement parce que les noms des personnes que citait l’attaquant lui étaient familiers. Il n’aurait jamais dû se porter garant. Pour vérifier ce qu’avançait l’attaquant, le chef n’aurait pas dû demander qu’il rappelle, mais aurait dû rappeler sur le numéro inscrit dans la base de donnée de l’entreprise. Et enfin, l’opérateur aurait dû essayer de vérifier pourquoi le compte ne fonctionnait pas plutôt que de lui en créer un autre.
Dans une attaque d’entreprise, l’attaquant utilisera le plus souvent le téléphone, mais utilisera aussi les emails, le courrier, le fax, les chats, les forums, et autre, mais ne se déplacera quasiment jamais en personne dans l’entreprise, le risque est trop grand. Tous les autres moyens de communications sont bons. Mais le téléphone reste le meilleur, car il peut sentir l’hésitation de l’interlocuteur, et peut ajouter une information qui fera changer d’avis l’interlocuteur, et lui fera répondre à sa demande.
Comment déjouer une attaque :
- Vérifier les informations avancées par l’interlocuteur, quand celui-ci demande des accès spéciaux.
- Ne pas se porter garant de quelqu’un que l’on ne connaît pas.
- Ne jamais partager de code de sécurité, car cela viole les règles de l’entreprise, et si elles ont été mises en place, ce n’est pas pour rien !
- Mettre au courant votre entourage de ce genre de problème (entreprise, team, et autre).
- Mettre au courant vos connaissances si vous avez décelé une attaque de type SE, pour qu’ils prennent aussi garde.
- Garder pour soi les informations qui n’ont pas besoin d’être divulguées, comme un numéro interne, une adresse mail privée, et autre.
En gros ces règles ce résument en une seule, rarement appliquée : une information confidentielle EST confidentielle, il ne faut donc pas la partager !
Pour quelque raison que ce soit, une information confidentielle ne doit pas être partagée.
Je ne dis pas qu’il faut soupçonner tout le monde, mais si vous apprenez ces quelque règles vous éviterez beaucoup de problèmes à l’entreprise / team / autre avec qui vous travaillez.
Conclusion :
Mesurez vos paroles, ne soyez pas trop prompt à répondre à une question et demandez-vous si elle peut avoir un impact dangereux.
Home
