Quand les technologies se mettent au service de la tromperie…

Si le social engineering peut s’affranchir des technologies pour conduire ses attaques, il sait également
pleinement les exploiter pour toujours mieux leurrer ses victimes.   

(12/07/2006) JDNET – propos recueillis par  Christophe AUFFRAY, JDN Solutions

lien vers l’article

L’expert et auteur spécialisé dans la sécurité, Bruce Schneier, l’a baptisé « attaque sociotechnique ». « Le social engineering existe depuis déjà longtemps. Ce
sont les arnaques, l’abus de confiance, le mensonge. Ce sont les fraudes. Rien de cela n’est nouveau », déclare le fondateur de Counterpane Internet Security, l’entreprise qu’il a
fondée.

« Les méthodes de social engineering, autrefois réservées à un cercle réduit de spécialistes, deviennent de plus en plus grand public. Les modes
opératoires sont désormais facilement accessibles sur Internet. Des vidéos comme TheBroken – disponibles notamment sur Google Video – en sont une parfaite illustration », indique Laurent
Dupuy, consultant chez FreeSecurity. Le spécialiste en sécurité fait ici référence à ces modes d’emploi filmés qui peuvent tomber en des mains malveillantes.

Le postulat de base du social engineering est que l’individu est le maillon faible de la sécurité de tout système d’information. Tout l’art
d’un pirate consistera donc à exploiter au mieux ces faiblesses humaines pour soutirer des informations confidentielles. « Les attaques sont ciblées, menées par des officines dont le
métier est d’attaquer pour de l’espionnage industriel ou pour un enrichissement personnel. », précise Mauro Israël, RSSI chez Cyber Networks.

Les pirates combinent parfaitement technologies et exploitation des ressorts psychologiques inhérents à l’être humain pour accroître l’efficacité de leurs
attaques. Ainsi, en incitant un utilisateur à installer un cheval de Troie, par l’intermédiaire d’un lien joint à un e-mail, le pirate pourra dès lors facilement se procurer ses
identifiants, court-circuitant par la même occasion les solutions de sécurité déployées.

Qu’il s’agisse du téléphone, d’un courrier, d’Internet voire même d’un contact direct, tous quatre peuvent être employés, indépendamment ou non, pour
mener des attaques de type social engineering contre les entreprises. Nous en présenterons les deux plus courantes que sont Internet et le téléphone.

1) Le téléphone
Cette forme d’attaque repose essentiellement sur la force de persuasion du pirate et elle permet d’obtenir rapidement des informations en jouant sur la peur
du conflit ou en abusant de la confiance d’un individu. En inspirant à l’utilisateur un sentiment d’urgence, celui-ci sera plus disposé à communiquer des données qu’il sait pourtant ne pas
devoir divulguer.

En outre, le développement rapide de la ToIP peut laisser craindre une augmentation des attaques de social engineering utilisant le téléphone. Pour Bruce
Schneier, « La VoIP va accroitre l’efficacité du phishing, notamment parce que les appels sont peu onéreux ».

L’usurpation d’identité, l’écoute téléphonique ou l’exploitation de vulnérabilités sont des risques auxquels expose la voix sur IP, même si les solutions de
sécurité se renforcent.

En mai dernier, la société californienne Cloudmark, spécialisée dans le filtrage d’e-mails, révélait l’existence du premier cas de phishing utilisant la VoIP.
Au lieu d’inviter l’utilisateur à se connecter à un site Internet maquillé pour régler un problème lié à son compte, le message mentionnait un numéro de téléphone conduisant à un serveur
vocal. La victime devait alors s’identifier en entrant ses coordonnées bancaires. Un second cas vient d’être révélé par l’éditeur Sophos.

2) Internet

Les formes d’attaques utilisant Internet sont nombreuses. La plupart des nouvelles attaques, telles que le phishing ou le pharming, dont le but est
essentiellement de dérober des données aux particuliers ou aux entreprises, ne sont rien d’autres que des applications du social engineering.

Un pirate va encourager l’utilisateur, par le biais d’un message incitatif, à cliquer sur un lien contenu dans un e-mail. Ce lien pourra provoquer le
téléchargement d’un cheval de Troie, d’un keylogger ou d’un virus qui permettra ensuite de mettre la main sur des données sensibles.

Dans le cas du phishing, la victime sera en général orientée vers un site imitant celui d’une enseigne réputée, puis invitée à s’authentifier. Le pharming
est pour sa part une technique d’escroquerie consistant à rediriger le trafic Internet d’un site Web vers un autre site de manière transparente pour l’internaute. Pour cela, les pirates
utilisent une technique appelée « DNS Cache Poisoning » ou « empoisonnement DNS ».

« Le pharming et les bots sont deux des grandes tendances, et sont certainement appelés à encore plus se développer à l’avenir », conjecture Mauro
Israël.

« L’assistante de direction est la plus vulnérable aux attaques de
social engineering. Elle a en général accès à l’ordinateur du directeur et potentiellement à tout ce qu’il contient.  » (Mauro
Israël)