Le « Social Engineering » – Acte I : introduction et illustration

Social Engineering

Nous vous proposons à travers une série d’articles d’évoquer une pratique qui tire son épingle du jeu : le « Social Engineering » (SE) ou Ingénierie Sociale. Encore trop méconnue, sa puissance peut pourtant être dévastatrice pour une organisation ou un particulier. Dans une guerre de l’information où l’humain joue un rôle central, le SE devient l’une des méthodes les plus dangereuses en termes d’extraction d’informations sensibles. Le but de ces articles ? Vous informer pour protéger votre patrimoine informationnel !

Pour le grand public, l’amalgame est souvent fait entre Intelligence Économique (IE) et espionnage industriel, puisqu’une des missions de l’IE est d’accéder à de l’information. Il est évident que si une entreprise s’intéresse à des informations stratégiques d’un concurrent, il y a fort à parier que ses propres informations intéressent d’autres entreprises. Mettre en place une démarche d’IE implique de respecter les lois et une certaine éthique. Mais en termes d’acquisition d’information, tout le monde ne joue pas forcément avec les mêmes règles.

C’est pourquoi une grande part des métiers de l’IE est consacrée à la protection des informations sensibles. Cette facette de notre discipline est d’ailleurs vitale pour l’entreprise. Alors qu’en phase offensive il y a des règles à respecter, il est également nécessaire de pouvoir se défendre contre des méthodes très étroitement liées à l’espionnage. Par conséquent, il faut être conscient de l’existence de procédés troubles.

Le Social Engineering qu’est-ce que c’est ?

Le SE est le plus souvent défini comme une forme déloyale d’acquisition d’information sensible pour obtenir d’autrui un bien, une information clé ou un accès, par l’exploitation des failles humaines et sociales d’une structure cible (tiré en partie de Wikipédia). En d’autre terme, c’est l’art d’agir sur une personne pour qu’elle effectue une action qu’elle n’aurait pas effectuée en temps normal pour un inconnu, ou l’art d’extraire frauduleusement de l’information à l’insu de son interlocuteur.

La pratique du SE n’est pas récente. Dans les années 1980-1990, nombre de hackers, dont Kevin Mitnick, ont couplé cette pratique à celle du piratage informatique. Acte évidemment illégal, ce fut pendant longtemps la pratique la plus aboutie pour accéder aux informations dites « noires » d’une entreprise. Mais de nos jours, cette pratique est réservée à une élite, du fait de la complication des systèmes informatiques.

Comment appliquer concrètement le Social Engineering ?

Il s’agit pour le social engineer de travailler sa cible de façon à lui soutirer des informations. L’action est considérée réussie et aura un impact maximal si cette même cible ne se rend pas compte de l’erreur qu’elle vient de commettre. Le SE regroupe de nombreuses techniques. Il peut se présenter sous la forme d’un contact téléphonique avec usurpation d’identité, d’une visite discrète des locaux d’une organisation, ou encore sous diverses formes sur le réseau Internet.

L’évolution et la complexité des procédures de communication interne entre les différents services permet aux habiles social engineers de jouer sur les faiblesses de l’organisation. Il y a trop peu de sensibilisation aux risques liés aux fuites d’informations, ce qui facilite encore plus l’action de ces assaillants. En un simple appel téléphonique scénarisé, un social engineer est capable de se balader à l’intérieur de l’entreprise :

Schéma simplifié de l’approche indirecte d’une victime intra-entreprise

 

Voici un scénario certes exagéré, mais qui pourrait encore fonctionner. Il s’agit ici d’un exemple pour que vous puissiez comprendre l’intérêt de cette pratique pour accéder à une personne clé ou à une information.

Le contexte de départ :
Le social engineer, Julien JATTAQUE, travaille pour un grand groupe. Pour mieux se placer sur un marché, il a besoin de connaître certaines informations hypersensibles sur un produit ainsi que les procédures mises en place par une entreprise concurrente. Après un travail de recherche d’informations légales, il a identifié un service et un acteur en particulier : Alfred VICTIME, employé de l’entreprise cible. Monsieur JATTAQUE sait que certains services tels que le service RH ou le service marketing sont « ouverts » et que les standardistes peuvent transférer un appel extérieur à d’autres services de l’entreprise. Il sait aussi que les procédures internes de l’entreprise permettent aux employés de se contacter entre eux par l’utilisation de leurs numéros de poste attitrés, de type « 32 34 ». Enfin, Monsieur JATTAQUE, inconnu de l’entreprise cible se présentera comme un employé de la même entreprise mais venant d’un site d’une autre ville.

Le scénario :
Julien JATTAQUE appelle le standard de l’entreprise ciblée.
J.JATTAQUE
: « Bonjour madame. Monsieur JATTAQUE à l’appareil du service marketing à Lyon. Pourrais-je parler à quelqu’un du service marketing de chez vous, s’il vous plaît ?
Standardiste
: Bien sûr, ne quittez pas »
La standardiste transfert l’appel au service marketing
Un employé service marketing pensant à un appel interne puisque redirigé par le standard
: « Oui, allô ?
J.JATTAQUE
: Xavier ? Salut, c’est moi. Je n’ai toujours pas reçu ton dossier. Tu peux me l’envoyer maintenant s’il te plaît ? Mon N+1 attend toujours ma présentation.
Employé service marketing
: Pardon ? Vous êtes au service marketing.
J.JATTAQUE
: Oh excuse-moi. Julien du 3eme. Désolé de te déranger. Dis moi, tu peux me transférer sur le poste de Xavier VICTIME du service Y s’il te plaît ?
Employé service marketing
: Oui, bouge pas. »
L’employé redirige l’appel vers le poste de Xavier VICTIME s’il le connaît ou vers le service Y.

Un exemple d’extraction d’information sensible auprès d’une entreprise.

Dans son livre sur la pratique de l’Ingénierie Sociale « The art of Deception » ( l’Art de la Supercherie), Kevin Mitnick propose plusieurs exemples et approches de cet art qu’est le SE.

Livre de Kevin Mitnick

Il donne notamment l’exemple d’un jeune homme qui dîne au restaurant avec son père. Le père explique qu’il faut être « idiot » pour donner ses coordonnées bancaires à un inconnu, et que seule une minorité d’individus pourrait accéder à ce genre d’information par le biais d’une entreprise.

Le fils s’amuse du discours de son père et lui demande si une entreprise possède ses coordonnées bancaires. Celui-ci rétorque que la seule qui les possède est un club de location de DVD de la ville, pour faciliter ses locations. Le fils prend alors le pari qu’il peut récupérer sous ses yeux ses coordonnées bancaires grâce à un simple téléphone portable, en ne connaissant que l’identité de son père et le numéro de téléphone de l’entreprise.

Avec un plan élaboré sur l’instant, il prend son téléphone et appelle l’entreprise en question. Il prétend travailler dans un club de location voisin de la même filiale qui rencontre des problèmes techniques. Une voiture a percuté un pilonne électrique à proximité de la société ayant causé d’important dégâts électriques les mettant, lui et ses collègues, dans l’incapacité d’utiliser les ordinateurs. Seulement, un de leurs clients souhaite ramener un DVD et en louer un nouveau. Cet homme étant initialement client du club ciblé, il prie sa victime de bien vouloir vérifier certaines informations et effectuer la transaction.

Après avoir donné la date de naissance du père, l’employé trouve le compte client en question. Et afin de vérifier s’il n’y a pas d’erreur, il demande à l’employé de lui donner le numéro de carte bancaire présent sur le fichier client pour le comparer avec le numéro inscrit sur la carte du client. L’employé s’exécute croyant à la bonne foi de son «collègue».

Le jeune homme note sur un bout de serviette de table les coordonnées bancaires transmises, et prouve ainsi à son père avec quelle facilité il est possible de récupérer ce genre d’informations pourtant extrêmement confidentielles.

Affaire à suivre…

Au travers de cet article nous avons introduit le concept du Social Engineering. Ce ne sont ici que les prémisses d’une série d’autres articles Ils traiteront des techniques employées et des méthodes pour se protéger efficacement.

Nous parlerons également d’éthique, de manipulation et des limites légales. En effet, même s’il s’agit d’une pratique frauduleuse, la condamnons-nous de la même façon lorsqu’un service de renseignement ou de lutte contre le terrorisme l’utilise ?

Dans le prochain article, nous verrons en quoi les sciences criminelles et la pratique du SE sont étroitement liées, et en quoi il est primordial pour une entreprise de se protéger contre ces pratiques.

Bastien Castaignede

One Response to Le « Social Engineering » – Acte I : introduction et illustration

  1. C’est en effet inquiétant et tout à fait d’actualité ! Lundi matin France Info en parlait :
    http://www.franceinfo.fr/faits-divers/le-plus-france-info/ces-escrocs-qui-s-en-prennent-aux-patrons-du-cac-40-et-meme-a-l-elysee-513891-2012-01-3

    Les entreprises doivent prendre conscience que plus rien n’est anodin. Et ce n’est pas qu’une question d’argent. En se protégeant, c’est également leurs emplois qu’elles protègent.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *


Le contenu des commentaires doit respecter les lois et les réglementations en vigueur. Cellie se réserve le droit de supprimer tout commentaire illicite, propos raciste, diffamatoire ou injurieux, divulguant des informations relatives à la vie privée d’une personne, utilisant des œuvres protégées par les droits d’auteur, ainsi que tout commentaire promotionnel ou contenant des propos agressifs. Les points de vue et les propos contenus dans les articles de Cellie sont sous la responsabilité unique de leurs auteurs respectifs.

* Copy This Password *

* Type Or Paste Password Here *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>