Ingénierie Sociale - la psyché humaine comme

INGÉNIERIE SOCIALE
La psyché humaine comme première faille de sécurité
Rémy Baccino
Analyste en sécurité informatique
Ingénierie Sociale - la psyché humaine comme première faille de sécurité
Table des matières
1 – Définition.....................................................................................................3
1.1 – Les origines de l'ingénierie sociale..........................................................................................3
1.2 – La recherche d'informations..................................................................................................3
1.3 – Les motivations de l'ingénieur social.......................................................................................3
2 – Pour quelles raisons l'ingénierie sociale est-elle efficace?............................3
2.1 – Raisons d'ordre psychologique...............................................................................................3
2.2 – Raisons d'ordre technique.....................................................................................................3
3 – Prévention....................................................................................................3
Informations confidentielles - © 2013 Gardien Virtuel - Tous droits réservés
Page 2 de 9
Ingénierie Sociale - la psyché humaine comme première faille de sécurité
1 – Définition
« Social Engineering : manoeuvre frauduleuse consistant à se procurer des informations (ID,
mot de passe, etc.) pour pénétrer dans un système. » (3)
1.1 – Les origines de l'ingénierie sociale
Bien que le terme d'ingénierie sociale (« Social Engineering », en anglais) ait de nos
jours une utilisation bien précise, le procédé même consistant à manipuler des personnes ou des
services à des fins frauduleuses date des origines de l'être humain. L'ancêtre le plus lointain de
l'ingénieur social est sans doute l' « escroc », la personne amicale et compatissante qui, sous
couvert d'aider autrui, profite des gens et fait fructifier les secrets qu'on lui révèle.
Vers le milieu du vingtième siècle, avec la généralisation des téléphones dans les foyers,
apparaît une nouvelle tendance dans l'escroquerie, le « Phone Phreaking ». Pratiqué en petits
groupes par des initiés (généralement des étudiants, pour qui cette activité représentait souvent
un passe-temps), le « Phreaking » montre vite un potentiel considérable. Pour la première fois
depuis le début de l'Histoire écrite, de simples personnes pouvaient atteindre grâce au téléphone
des services entiers en un temps extrêmement réduit, augmentant de manière exponentielle les
brèches de sécurité.
Son principe est simple : appeler une série de services (banques, entreprises de
télécommunication, etc.) de manière ordonnée dans le but d'obtenir, soit une
information que le « Phreaker » n'est pas censé connaître, soit un accès à une
ressource normalement verrouillée.
De nombreux futurs programmeurs ou hackers, à l'époque où l'ordinateur n'était pas
encore dans tous les foyers, se formèrent au Phreaking (on pense principalement à
Kevin Mitnick, longtemps nommé « l'ennemi public n°1», et Steve Wozniak, cofondateur d'Apple Computers).
Le « Phreaking » est pourtant toujours d'actualité. Il forme principalement une
composante de l'ingénierie sociale, désormais appelée « Pretexting ». Le « pretexting » est plus
global, mettant l'emphase sur le scénario consistant à tromper autrui plutôt que sur l'instrument
de la tromperie, mais en pratique il s'applique surtout à la communication par téléphone.
On trouve également, avec la généralisation de l'informatique, de nouveaux instruments et
de nouveaux procédés pour faire ce que le « Phreaker » faisait originellement. Le « Phishing »,
dont le nom est construit de la même manière, est une méthode plus passive mais faisant appel
aux mêmes instincts sociaux.
Dans ce cas précis, le contact avec la victime s'effectue par courriel. Le hacker, dénommé
« phisher » à cette occasion, se contente d'envoyer un mail à ses victimes, se faisant passer pour
une entreprise de services connue (les exemples abondent, et nos boîtes de courriels sont souvent
la cible de pseudo-courriels en provenance de Google, E-Bay, Microsoft, etc.), et propose à
l'intérieur du mail d'accéder à une page web pour un motif donné (généralement, une perte de
base de données). La victime devra alors, sur cette page paraissant authentique, entrer des
informations confidentielles, telles qu'un numéro de carte bancaire, ou un identifiant de compte.
Bien entendu, les informations seront envoyées en réalité au serveur du « phisher ».
Informations confidentielles - © 2013 Gardien Virtuel - Tous droits réservés
Page 3 de 9
Ingénierie Sociale - la psyché humaine comme première faille de sécurité
Enfin, le médium même de l'ordinateur est probablement le moyen le plus en
vue actuellement pour obtenir des informations secrètes : les techniques telles que la
recherche d'informations par logiciel malicieux (Spyware/Malware), ou le cheval de
Troie (Trojan) donnant le contrôle d'une machine à distance, sont toutes l'apanage de
l'ingénieur social d'aujourd'hui. Néanmoins, ces derniers outils sont largement utilisés
dans tous les domaines du pirate informatique et ne sont pas spécifiques à l'ingénierie
sociale, aussi ne seront-ils que peu abordés dans cet article.
1.2 – La recherche d'informations
Les protections classiques (alarmes, pare-feux, serveurs de détection d'intrusion, vigiles et
portes blindées) sont certes efficaces dans leurs domaines, mais elles ne prennent aucunement en
compte l'élément humain. Pour citer Mitnick (1), « il existe un dicton populaire affirmant qu'un
ordinateur sûr est un ordinateur éteint. Sensé, mais faux : il suffit qu'un 'pretexter' convainque
quelqu'un d'aller dans le bureau et de l'allumer. ».
Pour arriver à ce résultat, la recherche d'informations se pose naturellement comme
activité primordiale. Sans informations, pas d'attitude crédible, et donc méfiance de la victime.
Cette victime (appelée « mark », ou la cible, dans le jargon) ne doit impérativement jamais être
consciente d'en être une, et ce durant tout le processus, car l'attaquant pourrait avoir besoin de
soutirer d'autres informations dans le futur. Se faire évincer reviendrait à brûler ses vaisseaux, et
pourrait s'avérer être extrêmement dangereux.
Un ingénieur social peut donc passer des mois entiers à préparer une attaque, même si
celle-ci ne doit durer qu'une heure. La crédibilité est ici la principale ressource de l'attaquant. La
discipline étant très développée de nos jours, de nombreuses techniques sont à la disposition de
l'ingénieur social en quête d'informations.
L'une d'elles, nommée « Dumpster Diving », consiste essentiellement à fouiller dans les
poubelles de l'individu, l'entreprise ou le service ciblé. Peu de gens pensent instinctivement à
vérifier les informations jetées, et sans une politique de sécurité adéquate les informations les
plus sensibles peuvent se retrouver à la portée de tous. Pourtant, même des informations
anodines peuvent se révéler une aubaine pour l'ingénieur social, car elles peuvent lui permettre de
se draper d'une cape de crédibilité. De petites informations en petites informations, le personnage
conçu par l'ingénieur social va prendre forme, qu'il soit destiné être un cadre de l'entreprise ciblée
ou un fournisseur.
Cette chaîne de collecte d'informations existe aussi pour le téléphone, où le « Pretexting »
prend toute son ampleur. Là, l'ingénieur social se met dans la peau de divers personnages et
appelle différents services de l'entreprise ciblée, voire même d'autres entreprises ou des
particuliers. Son but est, encore, de récolter des informations en apparence anodines, mais qui,
combinées, constituent un dossier complet sur la cible. Les appels peuvent être réguliers,
échelonnés sur plusieurs semaines. La seule règle est de ne pas éveiller l'attention des différents
appelés.
Informations confidentielles - © 2013 Gardien Virtuel - Tous droits réservés
Page 4 de 9
Ingénierie Sociale - la psyché humaine comme première faille de sécurité
1.3 – Les motivations de l'ingénieur social
Les raisons poussant un ingénieur social à attaquer une entreprise, un service ou un
particulier sont probablement aussi nombreuses qu'il y a de fraudeurs, toutefois on peut lister
trois motivations récurrentes.
Espionnage industriel ou gouvernemental
L'espionnage est sans doute la première raison à laquelle on pourrait penser, mais ce n'est pas la
première cause d'attaque en termes de quantité. L'espionnage est néanmoins la première cause
de perte de biens, tant à long terme qu'à court terme, pour une entreprise. Une entreprise peut
par exemple faire appel à des espions, ici usant de techniques de l'ingénierie sociale, dans le but
de connaître l'état de la R/D d'une entreprise concurrente. L'espionnage gouvernemental semble
augmenter considérablement en quantité par les temps qui courent, mais les chiffres réels sont
bien évidemment tenus secrets.
Profit personnel
Le profit personnel vient bien entendu en second, étant la raison originelle justifiant l'existence de
l'escroquerie. Un ingénieur social peut s'attaquer à des banques dans le but d'effectuer un
virement vers un compte tiers.
Curiosité
Enfin, la curiosité est probablement la cause la plus courante à l'origine d'attaques. Du
« Phreaker » originel au hacker d'aujourd'hui, les étudiants en sécurité des réseaux ou tout
simplement les « geeks » auront souvent pour but de comprendre le fonctionnement d'une
entreprise, d'un service ou d'un système lorsqu'ils auront recours à l'ingénierie sociale. Pour ces
personnes, il s'agit surtout d'un passe-temps, qu'il soit amusant ou instructif.
Informations confidentielles - © 2013 Gardien Virtuel - Tous droits réservés
Page 5 de 9
Ingénierie Sociale - la psyché humaine comme première faille de sécurité
2 – Pour quelles raisons l'ingénierie sociale est-elle efficace?
Si l'ingénierie sociale est un tel danger pour les biens matériels ou immatériels d'une
entreprise, c'est surtout parce qu'elle est efficace, et marche même souvent en dépit des mesures
de sécurité existantes. On peut classer ces raisons en deux catégories : les raisons d'ordre
psychologique, et les raisons d'ordre technique.
2.1 – Raisons d'ordre psychologique
Du point de vue de la victime, on peut distinguer trois facteurs permettant à l'ingénieur
social de contrôler une situation.
L'autorité
L'autorité est un moteur puissant pour certaines personnes. L'expérience de Milgram (2), portant
sur une délégation de la responsabilité liée à l'autorité, a montré qu'au moins 65% des
sujets y étaient sensibles. Dans un exemple tiré du livre « The Art of Deception », les auteurs
montrent qu'en se faisant passer pour un officier dans un contexte policier (un appel au FBI),
l'ingénieur social réussissait à manipuler un policier peu désireux de s'attirer des problèmes. De
manière plus générale, si l'ingénieur social déguise son appel de manière convaincante, en se
faisant passer par exemple pour un client important, ou un cadre supérieur de l'entreprise, peu
d'employés tenteront de mettre en doute l'identité de l'attaquant.
Le désir d'intégration sociale
Le désir d'intégration sociale, latent chez toute personne et par extension tout employé, est
également une cible primordiale pour un ingénieur social. Se faire passer pour un collègue d'un
service voisin, ou d'une autre succursale de la même entreprise, peut se montrer très bénéfique.
Si le déguisement tient la route et que l'ingénieur social se montre amical, la victime sera souvent
tentée d'obéir à la requête. Ses motivations dans ce cas seraient la possibilité de voir la faveur
retournée, l'espoir d'être remarqué dans l'entreprise comme ayant un esprit d'équipe, ou la
simple sympathie éprouvée pour un collègue faisant partie du même monde.
Le désir d'aider autrui
Ce dernier est peut être moins répandu, mais il fonctionne tout de même souvent, surtout si
l'ingénieur social se montre initialement aimable ou en situation de détresse. Sans parler des
relations homme/femme et du stéréotype de la demoiselle en détresse, la plupart des employés
d'humeur normale seront enclins à vouloir aider quelqu'un d'aimable ou désespéré.
Informations confidentielles - © 2013 Gardien Virtuel - Tous droits réservés
Page 6 de 9
Ingénierie Sociale - la psyché humaine comme première faille de sécurité
2.2 – Raisons d'ordre technique
Ces raisons sont moins nombreuses, mais il en existe au moins deux notables :
➔ Tout d'abord, certains services ne communiquent pas. Sans parler du cas des services
en guerre, comme cela peut se produire dans certaines entreprises, les entreprises de
grande taille contiennent inévitablement de nombreux services et succursales. Les
employés de ces services ne connaîtront que rarement en personne le responsable de tel
ou tel service, donnant ainsi prise à l'ingénieur social. Si un employé du service A ne
connait pas le responsable du service B, l'attaquant peut, après recherche, aisément se
faire passer pour ce responsable. Ceci constitue un problème inhérent aux grandes
entreprises, et ne peut être évité. Il doit être impérativement pris en compte dans la
stratégie de sécurité.
➔ D'autre part, certains services sont destinés à fournir une information à qui de droit.
Certains requièrent une authentification (que l'ingénieur social devra fournir), mais certains
autres sont totalement libre d'accès, de par leur fonction. Bien que les informations
données par ces services puissent paraître anodines, l'ingénieur social saura inévitablement
les combiner pour en tirer profit.
Informations confidentielles - © 2013 Gardien Virtuel - Tous droits réservés
Page 7 de 9
Ingénierie Sociale - la psyché humaine comme première faille de sécurité
3 – Prévention
En conclusion, il semble important de noter que, bien qu'une entreprise ne puisse être
totalement protégée contre une attaque d'un ingénieur social, une politique de sécurité sensée est
le premier pas à faire. Ce qu'il convient d'appeler une politique sensée inclut :
➔
➔
➔
➔
l'enregistrement des entrées/sorties du personnel;
la sécurisation des zones de travail et des stations (ex : par mot de passe);
le chiffrage des communications (même internes à l'entreprise, si le besoin s'en ressent);
la recommandation pour les employés de rapporter les conversations de nature 'louche'.
En plus de la politique d'entreprise, une formation, aussi basique soit-elle, des employés
(de tous les employés) est une nécessité. Cette formation devrait inclure une sensibilisation à la
sécurité de l'entreprise, ainsi que les gestes quotidiens à faire ou à éviter (tels que l'utilisation
abusive des poubelles). Les employés cherchent le plus souvent à bien faire, ainsi une
sensibilisation adéquate peut faire la différence.
Enfin, il ne faut absolument pas perdre de vue l'objectif ultime de la sécurité, qui est en fin
de compte de protéger une ressource, matérielle ou immatérielle. Si le coût de cette ressource est
insignifiant, cela ne saurait justifier une politique de sécurité paranoïaque, sans compter que cela
augmenterait le risque de voir des employés contrariés saboter le processus de sécurité.
Informations confidentielles - © 2013 Gardien Virtuel - Tous droits réservés
Page 8 de 9
Ingénierie Sociale - la psyché humaine comme première faille de sécurité
4 – Sources
1. Mitnick, K. & Simon, W. (2003). The Art of Deception : Controlling the Human Element
of Security.ISBN : 978-0-7645-4280-0.
2. Milgram, S. (1974). Obedience to Authority: An Experimental View. New York: Harper
and Row.
3. Ginguay, M. (2005). Dictionnaire Anglais/Français Informatique. ISBN : 2-10-008310-4.
Informations confidentielles - © 2013 Gardien Virtuel - Tous droits réservés
Page 9 de 9