l'ingénierie sociale sort du bois et gagne ses galons

L’état du Colorado (Etats-Unis) a effectué un test de pénétration grandeur nature, sans avertissement pour ses équipes, et cela sur une durée de six mois. La plupart des méthodes usuelles de pentesting/hack ont été utilisées, en n’oubliant pas l’aspect ingénierie sociale qui a également été exploré avec succès.

Il est intéressant de constater que les campagnes de phishing mises en œuvre par l’équipe de pentesters leurs ont permis de récupérer une quantité significative d’informations comme les login/password des utilisateurs, voire même des comptes administrateur.

Un deuxième exemple plus en vogue pour tous ceux qui ne sont pas convaincus: Facebook organise en Octobre une joyeuse fête appelée Hacktober. Le thème: les équipes d'ingénieurs ont le droit de passer du coté obscur et de libérer auprès des employés de la firme leurs dernières fabrications personnelles en termes de spams, vers ou phising. Les salariés tombant dans le panneau gagnent le droit de retourner en formation.

à propos de l'ingénierie sociale

Cet aspect des choses est finalement assez rarement rencontré lors des évaluations pour se concentrer plutôt sur des éléments 100% techniques. L’approche classique est donc finalement assez regrettable, puisqu’indéniablement les attaques de type "ingénierie sociale" fonctionnent efficacement, et cela d’autant plus que les salariés ne sont pas suffisamment préparés contre ce type de vecteur.

ce qu'en dit le père de l'ingénierie sociale...

security bad-looking guy
Pour ceux qui ne sont pas familiers avec ce sujet et qui voudraient avoir une idée précise des impacts possibles, une petite lecture du livre de Kevin Mitnick fournira une leçon d’histoire efficace et amusante. Le père de ce domaine aura provoqué bien des remous à sa grande époque. Ce célèbre hacker est aujourd’hui converti au bon coté de la force et a créé sa propre société.

Il est néanmoins intéressant de constater que dans les différentes interviews qu’il a pu donner, il a systématiquement regretté que les audits demandés ne portent que sur des aspects techniques, les pirates ayant une fâcheuse tendance a s’attaquer à l’élément le plus faible de la chaine, en l’occurrence : nous. En effet, l’ingénierie sociale n’étant traitée dans aucune norme ou référentiel, les entreprises laissent ce domaine en jachère.

les outils pour le social engineering

Situation dommageable, puisque la technique est utilisée et commence à se structurer. En effet, des outils afférents à ce domaine apparaissent pour simplifier la vie des auditeurs (ou autres ?). En voici quelques-uns pour vous permettre de vous faire une idée :

  • outil tweepz : outil de recherche sur Twiter
  • outil creepy : pour suivre les personnes à partir de leurs profils Twitter
  • outil fbpwn : récupération de l’ensemble des information d’un profil une fois que le faux compte Facebook est accepté comme « ami »
  • Maltego : outil permettant d’automatiser la recherche d’informations sur une société que cela touche aux personnes, à la réputation Web ou même à son infrastructure

Ces derniers sont très orientés sur la recherche via le Web et les différents réseaux sociaux, mais c’est aujourd’hui une source d’information tellement importante qu’il est normal de la voir exploitée.

Mais attention, d’autres outils existent, comme SET (pour Social Engineering Toolkit), qui permettent de préparer sans grosses difficultés des campagnes de phising et autres joyeusetés. Il est à noter que cet outil est désormais intégré à la célèbre distribution backtrack, il est donc probable que ce n’est qu’une question de temps avant que les auditeurs s'en saisissent et creusent d’avantage ce domaine.

plus loin que les outils

Il est évident que les outils ne font pas tout. Sans une bonne compréhension des concepts et de leurs mises en œuvre, il est difficile d’exploiter ces techniques. Il n’y avait que peu de choses jusqu’ici en termes de vulgarisation mais la situation change.

En effet, le site Internet http://www.social-engineer.org/ est en train de structurer ce domaine et de fournir un accès simple aux bases, que cela soit de la compréhension du domaine, des outils ou encore des conférences qui en traitent.

Accompagnant le développement de cette connaissance, des challenges de type CTF, totalement dédiés à l’ingénierie sociale sont également organisés. La pratique étant encore le meilleur moyen de roder une compétence, l’arrivée de ce type d’événement devrait marquer une évolution positive de ce domaine.

le futur de l'ingénierie sociale

Pour finir, et bien mettre en évidence le mouvement autour de l’ingénierie social, il me parait intéressant de faire remarquer qu’en plus des points précédemment cités, un vrai business semble se développer avec la création de sociétés spécialisées sur ce thème.

Il me semble donc que nous sommes en train d'assister à la naissance officielle d'un nouveau domaine de la sécurité. Sans aucun doute,  celui-ci devrait bientot prendre sa place au sein des questions de gouvernance et être à la fois un outil de sensibilisation des utilisateurs comme de détection de vecteurs vulnérables.

Cedric

crédit photo : © Andres Rodriguez et © INFINITY - Fotolia.com

Cedric Baillet

Membre actif de la communauté sécurité d'orange Business Services, je suis aujourd'hui en charge, au sein de l'équipe marketing « sécurité »,  de la bonne prise en compte de la sécurité dans nos offres traitant des communications sur IP, et cela du mode cloud à l'intégré classique. Un large périmètre pour rencontrer des problématiques complexes sur le plan technique comme sur le plan organisationnel. Bref, un océan de motivation pour toute personne qui marche  au challenge et à l'envie d'apprendre.