Ingénierie Sociale - la psyché humaine comme
Transcription
Ingénierie Sociale - la psyché humaine comme
INGÉNIERIE SOCIALE La psyché humaine comme première faille de sécurité Rémy Baccino Analyste en sécurité informatique Ingénierie Sociale - la psyché humaine comme première faille de sécurité Table des matières 1 – Définition.....................................................................................................3 1.1 – Les origines de l'ingénierie sociale..........................................................................................3 1.2 – La recherche d'informations..................................................................................................3 1.3 – Les motivations de l'ingénieur social.......................................................................................3 2 – Pour quelles raisons l'ingénierie sociale est-elle efficace?............................3 2.1 – Raisons d'ordre psychologique...............................................................................................3 2.2 – Raisons d'ordre technique.....................................................................................................3 3 – Prévention....................................................................................................3 Informations confidentielles - © 2013 Gardien Virtuel - Tous droits réservés Page 2 de 9 Ingénierie Sociale - la psyché humaine comme première faille de sécurité 1 – Définition « Social Engineering : manoeuvre frauduleuse consistant à se procurer des informations (ID, mot de passe, etc.) pour pénétrer dans un système. » (3) 1.1 – Les origines de l'ingénierie sociale Bien que le terme d'ingénierie sociale (« Social Engineering », en anglais) ait de nos jours une utilisation bien précise, le procédé même consistant à manipuler des personnes ou des services à des fins frauduleuses date des origines de l'être humain. L'ancêtre le plus lointain de l'ingénieur social est sans doute l' « escroc », la personne amicale et compatissante qui, sous couvert d'aider autrui, profite des gens et fait fructifier les secrets qu'on lui révèle. Vers le milieu du vingtième siècle, avec la généralisation des téléphones dans les foyers, apparaît une nouvelle tendance dans l'escroquerie, le « Phone Phreaking ». Pratiqué en petits groupes par des initiés (généralement des étudiants, pour qui cette activité représentait souvent un passe-temps), le « Phreaking » montre vite un potentiel considérable. Pour la première fois depuis le début de l'Histoire écrite, de simples personnes pouvaient atteindre grâce au téléphone des services entiers en un temps extrêmement réduit, augmentant de manière exponentielle les brèches de sécurité. Son principe est simple : appeler une série de services (banques, entreprises de télécommunication, etc.) de manière ordonnée dans le but d'obtenir, soit une information que le « Phreaker » n'est pas censé connaître, soit un accès à une ressource normalement verrouillée. De nombreux futurs programmeurs ou hackers, à l'époque où l'ordinateur n'était pas encore dans tous les foyers, se formèrent au Phreaking (on pense principalement à Kevin Mitnick, longtemps nommé « l'ennemi public n°1», et Steve Wozniak, cofondateur d'Apple Computers). Le « Phreaking » est pourtant toujours d'actualité. Il forme principalement une composante de l'ingénierie sociale, désormais appelée « Pretexting ». Le « pretexting » est plus global, mettant l'emphase sur le scénario consistant à tromper autrui plutôt que sur l'instrument de la tromperie, mais en pratique il s'applique surtout à la communication par téléphone. On trouve également, avec la généralisation de l'informatique, de nouveaux instruments et de nouveaux procédés pour faire ce que le « Phreaker » faisait originellement. Le « Phishing », dont le nom est construit de la même manière, est une méthode plus passive mais faisant appel aux mêmes instincts sociaux. Dans ce cas précis, le contact avec la victime s'effectue par courriel. Le hacker, dénommé « phisher » à cette occasion, se contente d'envoyer un mail à ses victimes, se faisant passer pour une entreprise de services connue (les exemples abondent, et nos boîtes de courriels sont souvent la cible de pseudo-courriels en provenance de Google, E-Bay, Microsoft, etc.), et propose à l'intérieur du mail d'accéder à une page web pour un motif donné (généralement, une perte de base de données). La victime devra alors, sur cette page paraissant authentique, entrer des informations confidentielles, telles qu'un numéro de carte bancaire, ou un identifiant de compte. Bien entendu, les informations seront envoyées en réalité au serveur du « phisher ». Informations confidentielles - © 2013 Gardien Virtuel - Tous droits réservés Page 3 de 9 Ingénierie Sociale - la psyché humaine comme première faille de sécurité Enfin, le médium même de l'ordinateur est probablement le moyen le plus en vue actuellement pour obtenir des informations secrètes : les techniques telles que la recherche d'informations par logiciel malicieux (Spyware/Malware), ou le cheval de Troie (Trojan) donnant le contrôle d'une machine à distance, sont toutes l'apanage de l'ingénieur social d'aujourd'hui. Néanmoins, ces derniers outils sont largement utilisés dans tous les domaines du pirate informatique et ne sont pas spécifiques à l'ingénierie sociale, aussi ne seront-ils que peu abordés dans cet article. 1.2 – La recherche d'informations Les protections classiques (alarmes, pare-feux, serveurs de détection d'intrusion, vigiles et portes blindées) sont certes efficaces dans leurs domaines, mais elles ne prennent aucunement en compte l'élément humain. Pour citer Mitnick (1), « il existe un dicton populaire affirmant qu'un ordinateur sûr est un ordinateur éteint. Sensé, mais faux : il suffit qu'un 'pretexter' convainque quelqu'un d'aller dans le bureau et de l'allumer. ». Pour arriver à ce résultat, la recherche d'informations se pose naturellement comme activité primordiale. Sans informations, pas d'attitude crédible, et donc méfiance de la victime. Cette victime (appelée « mark », ou la cible, dans le jargon) ne doit impérativement jamais être consciente d'en être une, et ce durant tout le processus, car l'attaquant pourrait avoir besoin de soutirer d'autres informations dans le futur. Se faire évincer reviendrait à brûler ses vaisseaux, et pourrait s'avérer être extrêmement dangereux. Un ingénieur social peut donc passer des mois entiers à préparer une attaque, même si celle-ci ne doit durer qu'une heure. La crédibilité est ici la principale ressource de l'attaquant. La discipline étant très développée de nos jours, de nombreuses techniques sont à la disposition de l'ingénieur social en quête d'informations. L'une d'elles, nommée « Dumpster Diving », consiste essentiellement à fouiller dans les poubelles de l'individu, l'entreprise ou le service ciblé. Peu de gens pensent instinctivement à vérifier les informations jetées, et sans une politique de sécurité adéquate les informations les plus sensibles peuvent se retrouver à la portée de tous. Pourtant, même des informations anodines peuvent se révéler une aubaine pour l'ingénieur social, car elles peuvent lui permettre de se draper d'une cape de crédibilité. De petites informations en petites informations, le personnage conçu par l'ingénieur social va prendre forme, qu'il soit destiné être un cadre de l'entreprise ciblée ou un fournisseur. Cette chaîne de collecte d'informations existe aussi pour le téléphone, où le « Pretexting » prend toute son ampleur. Là, l'ingénieur social se met dans la peau de divers personnages et appelle différents services de l'entreprise ciblée, voire même d'autres entreprises ou des particuliers. Son but est, encore, de récolter des informations en apparence anodines, mais qui, combinées, constituent un dossier complet sur la cible. Les appels peuvent être réguliers, échelonnés sur plusieurs semaines. La seule règle est de ne pas éveiller l'attention des différents appelés. Informations confidentielles - © 2013 Gardien Virtuel - Tous droits réservés Page 4 de 9 Ingénierie Sociale - la psyché humaine comme première faille de sécurité 1.3 – Les motivations de l'ingénieur social Les raisons poussant un ingénieur social à attaquer une entreprise, un service ou un particulier sont probablement aussi nombreuses qu'il y a de fraudeurs, toutefois on peut lister trois motivations récurrentes. Espionnage industriel ou gouvernemental L'espionnage est sans doute la première raison à laquelle on pourrait penser, mais ce n'est pas la première cause d'attaque en termes de quantité. L'espionnage est néanmoins la première cause de perte de biens, tant à long terme qu'à court terme, pour une entreprise. Une entreprise peut par exemple faire appel à des espions, ici usant de techniques de l'ingénierie sociale, dans le but de connaître l'état de la R/D d'une entreprise concurrente. L'espionnage gouvernemental semble augmenter considérablement en quantité par les temps qui courent, mais les chiffres réels sont bien évidemment tenus secrets. Profit personnel Le profit personnel vient bien entendu en second, étant la raison originelle justifiant l'existence de l'escroquerie. Un ingénieur social peut s'attaquer à des banques dans le but d'effectuer un virement vers un compte tiers. Curiosité Enfin, la curiosité est probablement la cause la plus courante à l'origine d'attaques. Du « Phreaker » originel au hacker d'aujourd'hui, les étudiants en sécurité des réseaux ou tout simplement les « geeks » auront souvent pour but de comprendre le fonctionnement d'une entreprise, d'un service ou d'un système lorsqu'ils auront recours à l'ingénierie sociale. Pour ces personnes, il s'agit surtout d'un passe-temps, qu'il soit amusant ou instructif. Informations confidentielles - © 2013 Gardien Virtuel - Tous droits réservés Page 5 de 9 Ingénierie Sociale - la psyché humaine comme première faille de sécurité 2 – Pour quelles raisons l'ingénierie sociale est-elle efficace? Si l'ingénierie sociale est un tel danger pour les biens matériels ou immatériels d'une entreprise, c'est surtout parce qu'elle est efficace, et marche même souvent en dépit des mesures de sécurité existantes. On peut classer ces raisons en deux catégories : les raisons d'ordre psychologique, et les raisons d'ordre technique. 2.1 – Raisons d'ordre psychologique Du point de vue de la victime, on peut distinguer trois facteurs permettant à l'ingénieur social de contrôler une situation. L'autorité L'autorité est un moteur puissant pour certaines personnes. L'expérience de Milgram (2), portant sur une délégation de la responsabilité liée à l'autorité, a montré qu'au moins 65% des sujets y étaient sensibles. Dans un exemple tiré du livre « The Art of Deception », les auteurs montrent qu'en se faisant passer pour un officier dans un contexte policier (un appel au FBI), l'ingénieur social réussissait à manipuler un policier peu désireux de s'attirer des problèmes. De manière plus générale, si l'ingénieur social déguise son appel de manière convaincante, en se faisant passer par exemple pour un client important, ou un cadre supérieur de l'entreprise, peu d'employés tenteront de mettre en doute l'identité de l'attaquant. Le désir d'intégration sociale Le désir d'intégration sociale, latent chez toute personne et par extension tout employé, est également une cible primordiale pour un ingénieur social. Se faire passer pour un collègue d'un service voisin, ou d'une autre succursale de la même entreprise, peut se montrer très bénéfique. Si le déguisement tient la route et que l'ingénieur social se montre amical, la victime sera souvent tentée d'obéir à la requête. Ses motivations dans ce cas seraient la possibilité de voir la faveur retournée, l'espoir d'être remarqué dans l'entreprise comme ayant un esprit d'équipe, ou la simple sympathie éprouvée pour un collègue faisant partie du même monde. Le désir d'aider autrui Ce dernier est peut être moins répandu, mais il fonctionne tout de même souvent, surtout si l'ingénieur social se montre initialement aimable ou en situation de détresse. Sans parler des relations homme/femme et du stéréotype de la demoiselle en détresse, la plupart des employés d'humeur normale seront enclins à vouloir aider quelqu'un d'aimable ou désespéré. Informations confidentielles - © 2013 Gardien Virtuel - Tous droits réservés Page 6 de 9 Ingénierie Sociale - la psyché humaine comme première faille de sécurité 2.2 – Raisons d'ordre technique Ces raisons sont moins nombreuses, mais il en existe au moins deux notables : ➔ Tout d'abord, certains services ne communiquent pas. Sans parler du cas des services en guerre, comme cela peut se produire dans certaines entreprises, les entreprises de grande taille contiennent inévitablement de nombreux services et succursales. Les employés de ces services ne connaîtront que rarement en personne le responsable de tel ou tel service, donnant ainsi prise à l'ingénieur social. Si un employé du service A ne connait pas le responsable du service B, l'attaquant peut, après recherche, aisément se faire passer pour ce responsable. Ceci constitue un problème inhérent aux grandes entreprises, et ne peut être évité. Il doit être impérativement pris en compte dans la stratégie de sécurité. ➔ D'autre part, certains services sont destinés à fournir une information à qui de droit. Certains requièrent une authentification (que l'ingénieur social devra fournir), mais certains autres sont totalement libre d'accès, de par leur fonction. Bien que les informations données par ces services puissent paraître anodines, l'ingénieur social saura inévitablement les combiner pour en tirer profit. Informations confidentielles - © 2013 Gardien Virtuel - Tous droits réservés Page 7 de 9 Ingénierie Sociale - la psyché humaine comme première faille de sécurité 3 – Prévention En conclusion, il semble important de noter que, bien qu'une entreprise ne puisse être totalement protégée contre une attaque d'un ingénieur social, une politique de sécurité sensée est le premier pas à faire. Ce qu'il convient d'appeler une politique sensée inclut : ➔ ➔ ➔ ➔ l'enregistrement des entrées/sorties du personnel; la sécurisation des zones de travail et des stations (ex : par mot de passe); le chiffrage des communications (même internes à l'entreprise, si le besoin s'en ressent); la recommandation pour les employés de rapporter les conversations de nature 'louche'. En plus de la politique d'entreprise, une formation, aussi basique soit-elle, des employés (de tous les employés) est une nécessité. Cette formation devrait inclure une sensibilisation à la sécurité de l'entreprise, ainsi que les gestes quotidiens à faire ou à éviter (tels que l'utilisation abusive des poubelles). Les employés cherchent le plus souvent à bien faire, ainsi une sensibilisation adéquate peut faire la différence. Enfin, il ne faut absolument pas perdre de vue l'objectif ultime de la sécurité, qui est en fin de compte de protéger une ressource, matérielle ou immatérielle. Si le coût de cette ressource est insignifiant, cela ne saurait justifier une politique de sécurité paranoïaque, sans compter que cela augmenterait le risque de voir des employés contrariés saboter le processus de sécurité. Informations confidentielles - © 2013 Gardien Virtuel - Tous droits réservés Page 8 de 9 Ingénierie Sociale - la psyché humaine comme première faille de sécurité 4 – Sources 1. Mitnick, K. & Simon, W. (2003). The Art of Deception : Controlling the Human Element of Security.ISBN : 978-0-7645-4280-0. 2. Milgram, S. (1974). Obedience to Authority: An Experimental View. New York: Harper and Row. 3. Ginguay, M. (2005). Dictionnaire Anglais/Français Informatique. ISBN : 2-10-008310-4. Informations confidentielles - © 2013 Gardien Virtuel - Tous droits réservés Page 9 de 9