LE SOCIAL ENGINEERING

 

Vous avez dit ?

Si utile contre les grosses entreprise "à la big brother", le social engineering (ou aussi génie social en français) permet d'attaquer un des points faibles de la société: le personnel. Il faut se souvenir que le personnel est tout sauf une machine: il est HUMAIN. Or, "errare humanum est"...

Le social engineering, couramment abrégé SE, est l'art de se faire passer pour quelqu'un d'autre pour avoir des informations sur n'importe quoi. Pour cela, il faut être convaincant, réagir comme la personne dont on usurpe l'identité et surtout utiliser beaucoup de psychologie. Des informations supplémentaires sont toujours très utiles (fouiller les poubelles ou surveiller le courrier de la cible ne sont pas de mauvaises choses !).

 

Un peu d'histoire...

Le SE a beaucoup été utilisé par de célèbres pirates, comme Kevin D. Mitnick par exemple. Celui-ci utilisait le SE pour s'introduire dans des compagnies de téléphones, par exemple, ou pour obtenir des informations sur le fonctionnement des lignes téléphoniques. Voici le plus célèbre exemple de SE que Mitnick ait utilisé:

Un jour, Kevin Mitnick a rencontré un autre hacker qui lui a parlé d'un système de mise sur écoute, le S.A.S. Sans aucune autre information. Quelques jours plus tard, Mitnick en sait plus que quiconque sur le S.A.S. et pour cause: il s'est fait faxer tout le fonctionnement du système par l'inventeur même. Comment a-t-il fait ?
Il a tout simplement contacté le Pac Bell (Pacific Bell, la plus grande compagnie de téléphone américaine), en utilisant leur jargon, et en se faisant passer pour un employé, en demandant des infos sur le S.A.S. Il obtient le nom de l'ingénieur qui l'a créé, puis recherche son téléphone personnel sur Internet. Il le contacte puis feint d'admirer le travail de l'ingénieur-inventeur: il utilise ainsi le point le plus faible des personnes, l'ergo. Se sentant admiré, l'ingénieur lui faxe (à un numéro dans une boutique de télécopies pour ne pas laisser de traces) tout le principe de fonctionnement du S.A.S. Et voilà ! Kevin Mitnick a réussi un coup de maître en peu de temps et dispose maintenant d'une autre arme bien plus puissante: une source d'information inégalée qui pourra lui servir à nouveau pour faire du SE !!! C'est un peu comme un cercle vertueux.

Un autre exemple célèbre est celui de Susan Thunder (tiens, une fille, c'est si rare !), une vieille connaissance de Kevin Mitnick, qui a réussi à hacker un site militaire rien qu'en utilisant l'arme qu'est le SE, le tout en quelques heures. Elle a utilisé une technique assez simple: elle s'est faite confirmer des mots de passe dont elle n'avait qu'une petite partie...

 

L'idée de base

Le SE classique est basé sur la psychologie humaine: aussi, il faut toujours frapper là où cela impressionne le plus. On fait ainsi souvent appel aux acronymes (sigles que l'on prononce comme des mots ordinaires), ou aux termes techniques pour simuler le fait qu'on s'y connaisse. Au contraire, on peut passer pour un niais afin d'atténuer la méfiance de votre correspondant. On utilise aussi très souvent l'ergo, la vanité des personnes à qui l'on parle: il faut les complimenter, les approuver, voire les glorifier. Ainsi, en les mettant en avant, on les pousse à être à leur tour gentilles avec nous, autrement dit à nous fournir des informations.

Le SE qu'on utilise pour obtenir des informations très précises est un peu différent du premier: il faut s'avancer avec certains renseignements. Il faut par exemple connaître sur le bout des doigts le jargon employé dans la société X ou bien connaître le fonctionnement de la compagnie Y. On peut aussi se faire passer pour l'employé truc ou le client machin de l'entreprise Z...
Associer le SE au hacking et au phreaking n'est pas une mauvaise idée ! Au contraire, ce sont des compléments presque indispensables les uns aux autres. Ce qu'on ne peut obtenir par le technique, on pourra l'obtenir par le psychologie !

 

Exemples

Exemple de SE classique (non testé):
Employée de FT au 12 (les renseignements):
FT: "France Télécom, bonjour"
Hacker: "Bonjour madame, Monsieur Levallois du CPE d'Orléans" [Toujours essayer de placer le maximum d'acronymes dans la conversation, cela donne une impression de sérieux]
H: "Nous avons besoin de la liste des préfixes de numéro vert internationaux par pays car nous avons un problème avec un des carriers du système."
FT: "Pardon ? Avec quoi ?"
H: "Ce serait assez long à vous expliquer: en résumé, j'ai besoin de la liste des 0800 indiquant le pays selon le préfixe afin de reprogrammer le système de commutation vers les lignes extérieures."
FT: "Bon... Attendez monsieur, je cherche... <attente> alors, voilà, pour ceci..."

>> Et voila, c'est gagné ! <<

Exemple de SE vers FT (non testé):
Client de FT en vacances, avec facture récupérée dans une boîte aux lettres et les pages jaunes pour comprendre le fonctionnement du renvoi d'appel:
FT: "France Télécom, bonjour"
Hacker: "Oui, bonjour monsieur. Je vous appelle car je suis un de vos clients et j'ai oublié de m'abonner au transfert d'appel avant de partir en vacances. J'y ai pensé au dernier moment avant de partir, vous voyez, mais comme je devais partir vers trois heures du matin, je n'ai pas pu le faire. Alors, bon, j'ai pris une de mes factures en espérant que ça me suffirait pour faire l'abonnement d'où je suis ! Donc, voilà, je voulais vous demander comment faire !"
FT: "Si j'ai bien compris, vous êtes en vacances avec une facture et vous voulez vous abonner au transfert d'appel ?"
Hacker:
"Exactement ! Mais en fait, c'est très très important pour moi parce que j'attends un appel EXTREMEMENT important et il faut absolument que je le reçoive. Vous comprenez, c'est une proposition d'engagement que je dois recevoir d'ici peu et c'est mon seul moyen de contact. Je ne peux pas appeler l'entreprise tous les jours pour leur demander si c'est bon et..."
FT: "Bon, hé bien, il faut que vous procédiez comme ça..."

>> C'est bon ! <<
Il suffit ensuite de faire le 3121 ou le 08 36 05 31 21 par Minitel pour rediriger la ligne de la personne que vous voulez vers un portable que vous possédez (de préférence sans abonnement ! sinon...)

 

La méthodologie

LA RÈGLE ULTIME DE CET ART
Il y a une chose et une seule qui vous garantira une maîtrise parfaite des correspondants lors d'une séance de SE, c'est la PRATIQUE. On peut lire tout ce que l'on veut sur le hacking, si on ne pratique pas, on n'est pas un hacker.
D'autre part, la créativité et l'imagination sont deux qualités très importantes en préparation de SE.

 

Quelques règles simples:
- Préparer une feuille avant d'appeler, en mentionnant qui vous êtes, ce que vous voulez et préparant des réponses toutes prêtes pour certaines questions bateaux. Mettez au point le scénario, votre nom, ce que vous voulez.
- Toujours garder l'initiative dans la conversation: c'est vous qui posez les questions.
- Ne pas faire du social engineering si votre voix est celle d'un enfant (13 ans). De même, évitez de prendre une voix grave, car au fil de la conversation, votre voix redeviendra normale.
- Ne jamais s'affoler ou raccrocher brutalement quand on vous pose un question qui vous dérange et à laquelle vous ne savez pas répondre. Dites "pardon ?" ou "je ne comprends pas" le temps de trouver une réponse.
- Faites le par fun si vous le voulez mais vous n'aurez jamais les meilleurs résultats si vous le faites tout le temps d'une cabine sans préparation. (sauf si vous avez le don de Mitnick !)
- Plus on a d'informations pointues sur la société, plus le SE est possible. Il est toujours TRES fructueux de faire les poubelles ou le courrier de la société avant d'essayer de faire du SE sur les employés.


Quelques scénarios qui marchent:
Vous pouvez vous faire passer pour:
- utilisateur/acheteur
- personne bien connue/supérieur
- urgence/flic/docteur
- questionnaire/enquête
- pour la presse, ça marche très souvent mais on ne reçoit pas d'informations détaillées.
- animateur d'émission TV ou radio offrant des voyages: il faut des bruits de fond (léger écho, applaudissements, bips...). Vous pouvez simuler le fait que la personne passe à l'antenne puis vous lui passez ensuite le standard où quelqu'un d'autre lui demande des infos. Mais ce n'est jamais très précis non plus.

Il faut aussi jouer sur les sentiments de votre correspondant:
- Peur: en cas de problème, faites comprendre que cela peut lui attirer des ennuis: foudres du patron, (pour l'employé), fisc sur le dos, (pour le petit patron d'une PME), arrestation (pour un individu), coupure du téléphone,
coupure EDF...

- Plaisir: collaboration contre cadeau. Exemple: questionnaire avec un petit cadeau au bout si les réponses semblent véritables en expliquant que c'est parce beaucoup de monde ne répond pas en toute honnêteté.


Les petits plus:
Les bruits de bureaux et de téléphone en bruit de fond ou de salle d'ordinateur peuvent être intéressants.
Être à deux est aussi utile car ainsi, s'il y a un problème, vous dites: "Bon, bon, je vous passe mon supérieur mais il ne va pas être content": appuyez sur une touche du téléphone et envoyez une petite musique directement au téléphone. (Box en phreaking...)
Pour un questionnaire, il peut être intéressant de noyer les questions intéressantes dans un flot de question inintéressantes.

Les femmes sont généralement prises pour des burnes en informatique. Ainsi, une voix féminine a plus de chances de convaincre un(e) employé(e)... Il faut aussi tenir compte du fait qu'une voix féminine peut charmer UN employé !!!


En cas de problème lors de la conversation:
Si on vous demande "Pourquoi voulez-vous savoir ceci..." et que cela vous dérange, 2 règles:
- Toujours répondre. (si vous raccrochez et qu'il y a toujours la même personne au bout du fil, c'est foutu pour un bon bout de temps)
- Emphase sur le "PARCE QUE !" puis expliquez en étant indigné.
(réponse bateau : "on en a besoin pour..." )
Montrez que si ils facilitent les choses vous rendrez les choses plus faciles pour eux aussi.
Si votre correspondant refuse de vous répondre, demandez leur superviseur ou supérieur.

Les bonnes cibles:
Le SE dépend énormément de votre adaptation à la personne qui est à l'autre bout du fil. Vous devez toujours être en position de supériorité. Pour cela, il faut déjà attaquer des personnes qui ont l'habitude de recevoir des ordres, autrement dit les employés. Ainsi, il est préférable de ne pas parler à un administrateur mais plutôt à son assistant...

 

Souvenez-vous: le social engineering, c'est comme le hacking: il faut trouver la faille qui nous permettra d'arriver à nos fins.


"Utilisez les idiots." - Kevin D. Mitnick

Quelques passages sont tirés de
"L'art du social engineering",
article écrit par NeurAlien.