LE SOCIAL ENGINEERING |
Vous avez dit ?
Si utile contre les grosses entreprise "à la big brother", le social engineering (ou aussi génie social en français) permet d'attaquer un des points faibles de la société: le personnel. Il faut se souvenir que le personnel est tout sauf une machine: il est HUMAIN. Or, "errare humanum est"...
Le social engineering, couramment abrégé SE, est l'art de se faire passer pour quelqu'un d'autre pour avoir des informations sur n'importe quoi. Pour cela, il faut être convaincant, réagir comme la personne dont on usurpe l'identité et surtout utiliser beaucoup de psychologie. Des informations supplémentaires sont toujours très utiles (fouiller les poubelles ou surveiller le courrier de la cible ne sont pas de mauvaises choses !).
Un peu d'histoire...
Le SE a beaucoup été utilisé par de célèbres pirates, comme Kevin D. Mitnick par exemple. Celui-ci utilisait le SE pour s'introduire dans des compagnies de téléphones, par exemple, ou pour obtenir des informations sur le fonctionnement des lignes téléphoniques. Voici le plus célèbre exemple de SE que Mitnick ait utilisé:
Un jour, Kevin Mitnick a rencontré un autre hacker
qui lui a parlé d'un système de mise sur écoute, le S.A.S. Sans aucune autre
information. Quelques jours plus tard, Mitnick en sait plus que quiconque sur
le S.A.S. et pour cause: il s'est fait faxer tout le fonctionnement du système
par l'inventeur même. Comment a-t-il fait ?
Il a tout simplement contacté le Pac Bell (Pacific Bell, la plus grande compagnie
de téléphone américaine), en utilisant leur jargon, et en se faisant
passer pour un employé, en demandant des infos sur le S.A.S. Il obtient
le nom de l'ingénieur qui l'a créé, puis recherche son téléphone personnel sur
Internet. Il le contacte puis feint d'admirer le travail de l'ingénieur-inventeur:
il utilise ainsi le point le plus faible des personnes, l'ergo. Se sentant
admiré, l'ingénieur lui faxe (à un numéro dans une boutique de télécopies pour
ne pas laisser de traces) tout le principe de fonctionnement du S.A.S. Et voilà
! Kevin Mitnick a réussi un coup de maître en peu de temps et dispose maintenant
d'une autre arme bien plus puissante: une source d'information inégalée qui
pourra lui servir à nouveau pour faire du SE !!! C'est un peu comme un cercle
vertueux.
Un autre exemple célèbre est celui de Susan Thunder (tiens, une fille, c'est si rare !), une vieille connaissance de Kevin Mitnick, qui a réussi à hacker un site militaire rien qu'en utilisant l'arme qu'est le SE, le tout en quelques heures. Elle a utilisé une technique assez simple: elle s'est faite confirmer des mots de passe dont elle n'avait qu'une petite partie...
L'idée de base
Le SE classique est basé sur la psychologie humaine: aussi, il faut toujours
frapper là où cela impressionne le plus. On fait ainsi souvent appel aux acronymes
(sigles que l'on prononce comme des mots ordinaires), ou aux termes techniques
pour simuler le fait qu'on s'y connaisse. Au contraire, on peut passer pour
un niais afin d'atténuer la méfiance de votre correspondant. On utilise
aussi très souvent l'ergo, la vanité des personnes à qui l'on parle:
il faut les complimenter, les approuver, voire les glorifier. Ainsi,
en les mettant en avant, on les pousse à être à leur tour gentilles avec nous,
autrement dit à nous fournir des informations.
Le SE qu'on utilise pour obtenir des informations
très précises est un peu différent du premier: il faut s'avancer avec certains
renseignements. Il faut par exemple connaître sur le bout des doigts
le jargon employé dans la société X ou bien connaître le fonctionnement
de la compagnie Y. On peut aussi se faire passer pour l'employé truc ou le
client machin de l'entreprise Z...
Associer le SE au hacking et au phreaking n'est pas une mauvaise idée ! Au contraire,
ce sont des compléments presque indispensables les uns aux autres. Ce qu'on
ne peut obtenir par le technique, on pourra l'obtenir par le psychologie !
Exemples
Exemple de SE classique (non testé):
Employée de FT au 12 (les renseignements):
FT: "France Télécom, bonjour"
Hacker: "Bonjour madame, Monsieur Levallois du CPE d'Orléans" [Toujours
essayer de placer le maximum d'acronymes dans la conversation, cela donne une
impression de sérieux]
H: "Nous avons besoin de la liste des préfixes de numéro vert internationaux
par pays car nous avons un problème avec un des carriers du système."
FT: "Pardon ? Avec quoi ?"
H: "Ce serait assez long à vous expliquer: en résumé, j'ai besoin
de la liste des 0800 indiquant le pays selon le préfixe afin de reprogrammer
le système de commutation vers les lignes extérieures."
FT: "Bon... Attendez monsieur, je cherche... <attente> alors,
voilà, pour ceci..."
>> Et voila, c'est gagné ! <<
Exemple de SE vers FT (non testé):
Client de FT en vacances, avec facture récupérée dans une boîte aux lettres
et les pages jaunes pour comprendre le fonctionnement du renvoi d'appel:
FT: "France Télécom, bonjour"
Hacker: "Oui, bonjour monsieur. Je vous appelle car je suis un de
vos clients et j'ai oublié de m'abonner au transfert d'appel avant de partir
en vacances. J'y ai pensé au dernier moment avant de partir, vous voyez, mais
comme je devais partir vers trois heures du matin, je n'ai pas pu le faire.
Alors, bon, j'ai pris une de mes factures en espérant que ça me suffirait pour
faire l'abonnement d'où je suis ! Donc, voilà, je voulais vous demander comment
faire !"
FT: "Si j'ai bien compris, vous êtes en vacances avec une facture
et vous voulez vous abonner au transfert d'appel ?"
Hacker: "Exactement ! Mais en fait, c'est très très important pour
moi parce que j'attends un appel EXTREMEMENT important et il faut absolument
que je le reçoive. Vous comprenez, c'est une proposition d'engagement que je
dois recevoir d'ici peu et c'est mon seul moyen de contact. Je ne peux pas appeler
l'entreprise tous les jours pour leur demander si c'est bon et..."
FT: "Bon, hé bien, il faut que vous procédiez comme ça..."
>> C'est bon ! <<
Il suffit ensuite de faire le 3121 ou le 08 36 05 31 21 par Minitel pour rediriger
la ligne de la personne que vous voulez vers un portable que vous possédez (de
préférence sans abonnement ! sinon...)
La méthodologie
LA RÈGLE ULTIME DE CET ART
Il y a une chose et une seule qui vous garantira une maîtrise parfaite des correspondants
lors d'une séance de SE, c'est la PRATIQUE. On peut lire tout ce que l'on veut
sur le hacking, si on ne pratique pas, on n'est pas un hacker. D'autre
part, la créativité et l'imagination sont deux qualités très importantes en
préparation de SE.
Quelques règles simples:
- Préparer une feuille avant d'appeler, en mentionnant qui vous êtes, ce
que vous voulez et préparant des réponses toutes prêtes pour certaines questions
bateaux. Mettez au point le scénario, votre nom, ce que vous voulez.
- Toujours garder l'initiative dans la conversation: c'est vous qui posez les
questions.
- Ne pas faire du social engineering si votre voix est celle d'un enfant (13
ans). De même, évitez de prendre une voix grave, car au fil de la conversation,
votre voix redeviendra normale.
- Ne jamais s'affoler ou raccrocher brutalement quand on vous pose un question
qui vous dérange et à laquelle vous ne savez pas répondre. Dites "pardon
?" ou "je ne comprends pas" le temps de trouver une réponse.
- Faites le par fun si vous le voulez mais vous n'aurez jamais les meilleurs
résultats si vous le faites tout le temps d'une cabine sans préparation. (sauf
si vous avez le don de Mitnick !)
- Plus on a d'informations pointues sur la société, plus le SE est possible.
Il est toujours TRES fructueux de faire les poubelles ou le courrier de la société
avant d'essayer de faire du SE sur les employés.
Quelques scénarios qui marchent:
Vous pouvez vous faire passer pour:
- utilisateur/acheteur
- personne bien connue/supérieur
- urgence/flic/docteur
- questionnaire/enquête
- pour la presse, ça marche très souvent mais on ne reçoit pas d'informations
détaillées.
- animateur d'émission TV ou radio offrant des voyages: il faut des bruits de
fond (léger écho, applaudissements, bips...). Vous pouvez simuler le fait que
la personne passe à l'antenne puis vous lui passez ensuite le standard où quelqu'un
d'autre lui demande des infos. Mais ce n'est jamais très précis non plus.
Il faut aussi jouer sur les sentiments de
votre correspondant:
- Peur: en cas de problème, faites comprendre que cela peut lui attirer
des ennuis: foudres du patron, (pour l'employé), fisc sur le dos, (pour le petit
patron d'une PME), arrestation (pour un individu), coupure du téléphone,
coupure EDF...
- Plaisir: collaboration contre cadeau. Exemple: questionnaire avec un petit
cadeau au bout si les réponses semblent véritables en expliquant que c'est parce
beaucoup de monde ne répond pas en toute honnêteté.
Les petits plus:
Les bruits de bureaux et de téléphone en bruit de fond ou de salle d'ordinateur
peuvent être intéressants.
Être à deux est aussi utile car ainsi, s'il y a un problème, vous dites: "Bon,
bon, je vous passe mon supérieur mais il ne va pas être content": appuyez
sur une touche du téléphone et envoyez une petite musique directement au téléphone.
(Box en phreaking...)
Pour un questionnaire, il peut être intéressant de noyer les questions intéressantes
dans un flot de question inintéressantes.
Les femmes sont généralement prises pour des burnes en informatique. Ainsi, une voix féminine a plus de chances de convaincre un(e) employé(e)... Il faut aussi tenir compte du fait qu'une voix féminine peut charmer UN employé !!!
En cas de problème lors de la conversation:
Si on vous demande "Pourquoi voulez-vous savoir ceci..." et que cela vous
dérange, 2 règles:
- Toujours répondre. (si vous raccrochez et qu'il y a toujours la même personne
au bout du fil, c'est foutu pour un bon bout de temps)
- Emphase sur le "PARCE QUE !" puis expliquez en étant indigné.
(réponse bateau : "on en a besoin pour..." )
Montrez que si ils facilitent les choses vous rendrez les choses plus faciles
pour eux aussi.
Si votre correspondant refuse de vous répondre, demandez leur superviseur ou
supérieur.
Les bonnes cibles:
Le SE dépend énormément de votre adaptation à la personne qui est à l'autre
bout du fil. Vous devez toujours être en position de supériorité. Pour cela,
il faut déjà attaquer des personnes qui ont l'habitude de recevoir des ordres,
autrement dit les employés. Ainsi, il est préférable de ne pas parler à un administrateur
mais plutôt à son assistant...
Souvenez-vous: le social engineering, c'est comme
le hacking: il faut trouver la faille qui nous permettra d'arriver à nos fins.
"Utilisez les idiots." - Kevin
D. Mitnick
Quelques passages sont tirés de
"L'art du social engineering",
article écrit par NeurAlien.