3 attaques de social-engineering auxquelles vous n’auriez jamais pensé

Hacking 29 mai 2014

author:

3 attaques de social-engineering auxquelles vous n’auriez jamais pensé

Le social-engineering (en français “ingénieurerie sociale”) consiste à obtenir des informations par un moyen déloyale, notamment grâce à la manipulation mentale. Le terme prend tout son sens dans le contexte du piratage informatique : au lieu d’exploiter des failles techniques (logiciel non mis à jour, crack d’un mot de passe), le pirate va piéger et manipuler une cible précise pour arriver à son but.

La souris piégée

La société Netragard est spécialisée dans l’audit de sécurité informatique. En d’autres termes, elle est payée par ses clients pour tenter de les pirater par n’importe quel moyen. Le but : vérifier les failles d’une entreprise.

Lorsque le patron de Netragard s’est fait embaucher par son client cette fois-ci, il savait qu’il allait devoir ruser comme jamais. L’entreprise cliente était très attentive à sa sécurité depuis des années.

Son idée : bricoler une souris d’ordinateur pour y intégrer un logiciel espion capable de prendre le contrôle de l’ordinateur sur lequel le périphérique est branché…. à l’insu de l’utilisateur évidemment. Je vous passe les détails techniques (plus d’informations ici).

Souris trafiquée pour social-engineering

D’un point de vue informatique, l’attaque est extrêmement sophistiquée. Mais sa particularité et son génie repose surtout sur son aspect social engineering.

Pour faire utiliser la souris truquée au sein de l’entreprise cliente, les hackers de Netragard ont du faire des recherches poussées sur chaque employé de la boite. Profils Facebook et compagnie : tout a été passé au crible. Finalement, le patron de Netragard s’est décidé à envoyer la souris à un employé en particulier, qui lui semblait plus apte à tomber dans le panneau.

Quand je vous dis qu’il ne faut pas raconter votre vie sur les réseaux sociaux…

Il a fait envoyer la souris directement dans le bureau de l’employé en question en se faisant passer pour un fournisseur qui organisait un évènement promotionnel. Quelques jours plus tard, la souris a été branché et le virus a fonctionné sans aucun problème.

Le patron trop sûr de lui

Comme d’habitude lorsque l’on a vent de ce genre d’histoire, le nom de l’entreprise “testée” n’est jamais connue. Encore une fois, cette histoire fait cas d’une société d’audit de sécurité qui a monté un plan génial pour pirater l’entreprise qui l’a embauchée. Le PDG avec prévenu : “il sera impossible de me pirater”, il en était sûr et certain.

Hadnagy, le hacker en charge de tester la sécurité de la boite, déclara à la presse : “Le patron imaginait que quelqu’un allait lui téléphoner pour lui demander son mot de passe ou quelque chose comme ça… il se préparait à quelque chose dans le genre.”

Pour débuter, Hadnagy se mit à chercher la location des serveurs de l’entreprise, les adresses IP des serveurs, les e-mails des employés, les numéros de téléphone, le nom des employés et leurs titres, et bien plus. Mais le gros-lot était ailleurs : le hacker découvrit qu’un membre de la famille du PDG s’était battu contre le cancer, et avait survécu.

Fondation contre le cancer

De par le fait, le patron s’était rapproché d’une fondation participant à la recherche contre le cancer. Parallèlement, le hacker découvrit aussi le restaurant préféré et l’équipe de foot préférée du PDG.

Grâce à toutes ces informations, il était prêt à frapper. Il a appelé le patron en se faisant passer pour la fondation à laquelle il s’était intéressé par le passé. Il l’informa que la fondation organisait une loterie en échange de donation et que l’un des prix était une place pour un match de foot auquel participait son équipe préférée… Il y avait d’autres lots hypothétiques, comme… une soirée offerte dans divers restaurants, dont son préféré !

Le patron semblait très intéressé. Hadnagy lui demanda son adresse e-mail pour lui envoyer un PDF d’inscription. Tout se passait sans problème. Le hacker pu même demander au PDG la version d’Adobe Reader qu’il utilisait “pour être sûr qu’il voyait bien le document correctement”.

Où est le piège ? Le PDF d’inscription à la loterie était évidemment piégé. Adobe Reader est une véritable passoire (en témoignent les millions de mises à jour quasi-quotidiennes que nous impose Adobe sur Windows). L’affaire était dans le sac : le hacker avait le contrôle du PC du patron.

Le journaliste dont la vie entière a été piratée

Matt Honan Piratage

Cette histoire date de mi-2012 et a fait pas mal de bruit en France.

Un journaliste américain s’est vu pirater “de A à Z” tous ses appareils Apple, son compte mail, ses comptes de stockage de données et son compte Amazon. Le piratage à l’origine de l’attaque n’a utilisé aucun moyen “technique” pour parvenir à cela. Comment a-t-il fait ?

Première étape : appeler le service client Amazon en se faisant passer pour Mat Honan, le journaliste victime de l’attaque. La stratégie du pirate est ingénieuse au possible. Lors de son premier appel à Amazon, il demande à rajouter une carte de crédit à son compte. C’est une procédure classique qu’Amazon accepte d’honorer par téléphone. Il suffit de donner son nom, son adresse et le code de sa carte bancaire.

Deuxième étape : le hacker rappelle Amazon mais cette fois, il explique qu’il a perdu l’accès à son compte. Devinez ce que demande Amazon pour vérifier l’identité de l’appelant ? Les 4 derniers chiffres d’une carte bancaire associée au compte…. le hacker a simplement donné les 4 derniers chiffres de la carte qu’il venait d’ajouter. A ce moment précis, le pirate obtenait un accès total au compte Amazon du journaliste.

Troisième étape : obtenir un accès au compte iCloud de la victime. L’accès à ce compte donne immédiatement accès à son iPhone, son MacBookAir, son compte Twitter et son compte Gmail (qui est le compte de secours). Pour cela, rien de plus simple.

Lors de la réinitialisation des identifiants d’un compte iCloud, Apple ne demande que 3 informations : l’e-mail du compte, une adresse de facturation, et les quatre derniers chiffres de la carte bancaire associée au compte. Rappelez-vous : le pirate venait d’obtenir un accès entier au compte Amazon de sa victime. Il avait donc accès aux 4 derniers chiffres de sa véritable carte bancaire par la même occasion.

Quatrième étape : piratage en règle avec suppression de toutes les données. Le journaliste victime de l’attaque la raconte entièrement sur son blog (en anglais). C’est très intéressant.

Conclusion

Ces 3 attaques sont toutes les 3 très différentes. Et pour cause, c’est là toute la puissance du social engineering. Le pirate s’adapte à sa cible, au contexte de l’attaque et aux possibilités qui s’offrent à lui.

N’oubliez jamais une chose : en informatique, rien n’est jamais sûr. Rien. Jamais.

Auteur turbulent, et fondateur de l'Institut Pandore. Je me lasse de tout, sauf d'apprendre et de dire des gros mots. J'écrivais sous pseudonyme (Félix Boussa et Charles Cohle).
2 Comments
  1. Fabienne

    Excellent article.

  2. Matling

    ça donne à réfléchir...

Leave a comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *