L’ingénierie sociale concerne deux natures d’attaques. Il y a d’abord celles qui visent le système d’information et se fondent sur des techniques éprouvées de récupération d’informations confidentielles auprès des personnels de l’entreprise ou d’incitation à leur faire effectuer des opérations dangereuses, sans qu’elles en aient conscience. Mais il y a aussi celles qui s’intéressent à la pénétration physique des locaux, beaucoup moins spectaculaire, mais qui pourtant font aussi de gros dégâts. Un criminel sur place étant encore plus dangereux que s’il agit à distance depuis ses propres installations. Essentiellement parce que les Intranets sont moins sécurisés et qu’ « a priori », une personne qui se trouve à l’intérieur des firewalls est censé être autorisée à y être et donc avoir accès aux ressources sans trop de contraintes…

Tout se passe comme si on avait blindé les portes d’accès, mais que ces portes étaient insérées dans des murs en carton, qu’il suffit d’enfoncer ou d’indiquer aux candidats attaquants que la clef se trouve sous le paillasson…

Le dénominateur commun de ces formes d’ingénierie sociale est l’éducation, la formation des personnels, qu’il faut convaincre d’être vigilants, voire paranoïaques. D’autant qu’avec le déferlement des réseaux, des IoT et autres capteurs répartis dans les bureaux et usines, les moyens de pénétration illicite vont se multiplier.

Il n’y a pas que le système d’information

Le terme d’ingénierie sociale a été inventé par un célèbre hacker, Kevin Mitnick, dans les années 90, depuis lors rangé des mauvaises fréquentations et passant pour l’un des consultants les plus avertis en matière de sécurité. C’est lui qui le premier a mis en évidence l’incohérence des systèmes de protection des entreprises, uniquement focalisés sur les techniques d’attaques purement informatiques, mais négligents pour tout ce qui concerne l’environnement : la protection des immeubles, l’accès aux ressources physiques des datacenters, etc, ce qui ressort d’après lui des moyens non techniques.

A vrai dire, l’ingénierie sociale n’est pas une technique, mais un art… qui dépasse très largement le périmètre du système d’information. L’art de soutirer des informations à des personnes, sans qu’elles s’en rendent compte, de récupérer des moyens de connexion et d’authentification, de les obliger par la persuasion à ouvrir un fichier contaminé ou une porte, etc. C’est un art, à la convergence de la psychologie et du talent de se faire passer pour ce que l‘on n’est pas.

Il y a d’ailleurs dans ce domaine de véritables virtuoses, des « Bernard Madoff » de l’arnaque, à qui les victimes ne manqueront pas de dire « merci » pour les forfaits dont ils auront été les cibles.

Pour ce qui est des attaques non physiques, l’ingénierie sociale « fonctionne » selon une séquence quasi-immuable :

• recueil d’informations sur la cible, dans la grande tradition des opérations militaires
• établissement d’un rapport de confiance entre la victime et son assaillant
• exploitation des failles et techniques d’infiltration
• exécution de l’attaque

Des phases qui vont nécessiter de la part des attaquants des « qualités » spécifiques :

• l’art de poser les bonnes questions au bon moment, ce que l’on désigne par l’ « élicitation »
• la capacité à jouer un rôle et à se faire passer pour quelqu’un d’autre
• l’art de la tromperie, en se fondant sur le profil psychologique et mental de l’interlocuteur en place, pour adapter les moyens de l’attaque
• l’art de la persuasion, enfin, en jouant sur des critères tels que la peur, la confiance ou la proximité intellectuelle.

En gros, le maître en « ingénierie sociale » est celui qui se fait passer pour votre meilleur ami, dont il vous annonce la disparition brutale, que vous croyez car il a l’accent de votre pays natal, bien que l’ami en question est dans le living à vous attendre, pour terminer la partie de Scrabble, qu’il est en train de gagner…

Entendons-nous bien, il ne s’agit pas ici de louer les qualités intrinsèques de ceux qui nous attaquent, mais simplement d’éviter de les réduire à l’image de « geek boutonneux », qu’ils ne sont généralement pas. Les attaques de ces criminels pouvant être d’autant plus dangereuses, qu’elles sont parfois remarquables d’intelligence. Et que ce n’est pas en les méprisant, qu’on va les empêcher de nuire.

Deux natures d’interventions

L’ingénierie sociale s’applique donc à deux catégories d’intrusions : l’accès au SI et l’accès aux ressources physiques de l’entreprise, où est hébergé le SI.

Les premières sont bien connues des CISO (RSSI) et ont pour objectif de récupérer des moyens d’accès légaux, pour perpétrer une attaque.

• les mots de passe
• les clés de chiffrement, publiques et privées
• des listes téléphoniques
• des détails sur les machines cibles
• le nom des personnes disposant de privilèges élevés
• des informations sur les serveurs, les réseaux, les URL non publiques, les DNS, etc

Pour parvenir à leurs fins, les « ingénieurs sociaux », comme on a l’audace de les appeler, pratiquent des méthodes bien connues, aux noms particulièrement barbares :

• le phishing bien sûr, que tout le monde connaît
• le « vishing », une technique basée sur le téléphone et l’art de convaincre l’interlocuteur d’effectuer une opération dangereuse
• la récupération de données sécuritaires dans les réseaux sociaux
• le « pretexting », qui consiste à se forger une identité de toutes pièces, pour donner confiance aux victimes (on supporte la même équipe de soccer…)
• le « friendling », quand le hacker connaît quelqu’un que connaît la cible…
• les attaques nigérianes, qui continuent de faire de nombreuses victimes, mais on va finir par ne plus les plaindre, tant ça devient ridicule…
• le « dumpster diving », qui permet à des hackers de récupérer des informations confidentielles placées dans la corbeille
• le « baiting » qui consiste à laisser une clé USB infectée dans un bureau, en ayant pris soin de faire graver dessus le logo de l’équipe de baseball préférée de l’occupant du dit bureau
• le « typosquatting » qui vous propose des URL de sites proches de ceux que vous pratiquez couramment : Tuitter au lieu de Twitter, Amizon au lieu d’Amazon, erreur que vous prenez pour une faute de frappe alors qu’il s’agit d’une attaque en bonne et due forme. Les sites modernes corrigent d’ailleurs d’eux-mêmes ces erreurs de frappes…
• le « clickjacking » quand on vous incite à cliquer sur tout autre chose que ce que vous aviez prévu au départ

Généralement, les criminels font preuve de patience et ne grillent pas les étapes. Ils passent parfois plusieurs mois à recueillir des informations sur les entreprises visées, la seule question étant pour eux de comparer ce que cela va leur coûter en introspection par rapport à ce que cela pourra leur rapporter.

Bien entendu, plus les entreprises vont travailler dans des domaines sensibles, plus les informations qu’elles manipulent auront de l’importance, mais on peut aussi supposer, bien que ce ne soit pas toujours le cas, que ce sont également les plus pertinentes en matière de protection.

On n’oubliera jamais non plus, que la pire faiblesse des entreprises vient des personnels qui pour une raison ou pour une autre, se sentent « mal dans leur peau » : divorces, manque de reconnaissance de la hiérarchie, fatigue physique, harcèlement moral ou sexuel, etc. Autant de situations très mal vécues qui font de ces personnes, les vecteurs tout désignés pour les attaques d’ingénierie sociale. Ajoutez à cela une dose de ruse et d’intelligence de la part des criminels et vous aurez tous les ingrédients pour qu’ils puissent élaborer une opération « gagnante ».

_{Pour protéger les immeubles et ressources physiques d’une entreprise, il ne suffit pas de mettre des « gros bras » à l’entrée. Il faut aussi se préparer à des attaques très subtiles, qui elles-aussi vont participer aux dérives de l’ingénierie sociale.}

L’accès aux immeubles et ressources physiques

Plutôt que de perdre du temps à imaginer des scénarios d’attaques très sophistiqués, il peut être parfois plus simple de pénétrer dans les immeubles des entreprises, de s’insérer dans les systèmes sans autorisation, en se faisant tout simplement passer pour des employés « normaux », les protections mises en place n’ayant pas prévu le cas d’attaquants déterminés, pleins de sang-froid, qui n’ont qu’une aspiration, celle d’être transparents. Après, faites-leur confiance, ils disposent de tous les moyens techniques pour faire un maximum de dégâts. Mais bien entendu, il sera trop tard.

C’est l’aspect le moins connu de l’ingénierie sociale.

Et là on tombe des nues, quand on s’aperçoit que les entreprises les plus efficaces au plan de la sécurité du SI, sont parfois capables de faire n’importe quoi sur ce point.

Il est vrai que dans une grande structure, avec le va-et-vient permanent qui l’agite et le nombre de personnes étrangères qui circulent, il est très facile de se faire passer pour ce que l’on n’est pas.

Il est arrivé par exemple, qu’un hacker se soit simplement présenté à l’accueil, portant un T-Shirt aux couleurs de l’entreprise, qu’il avait acheté 4 $ et lui a assuré la confiance de ses interlocuteurs, en affirmant simplement qu’il travaillait dans une succursale éloignée et en donnant le nom d’un contact connu, que n’importe qui aurait pu trouver en consultant les pages de Facebook.

A de nombreuses occasions, des personnels non autorisés sont entrés, grâce à des systèmes d’ouverture qui s’y prêtaient, par la technique du « tailgating », qui consiste à se placer juste derrière un véritable employé, celui-ci vous maintenant la porte ouverte, pour que vous puissiez entrer, sans vous poser de question particulière sur votre identité et la raison de votre présence.

Il est arrivé aussi que des hackers se soient présentés avec l’identité et l’uniforme de prestataires externes, des électriciens, des personnels de maintenance pour les ascenseurs, des dépanneurs quelconques, des livreurs pour le restaurant d’entreprise, etc. Il leur a suffi d’un peu d’aplomb pour se retrouver dans la place.

Car les criminels peuvent être aussi de très bons comédiens, d’autant mieux accueillis qu’ils connaissent les victimes à l’accueil par leur nom et savent tout d’elles, pour avoir enquêté dans l’ombre pendant des semaines. Si quelqu’un que vous ne connaissez pas arrive avec un faux badge de la compagnie et vous demande si telle personne du management est revenue de son congé maternité, le tout dans le brouhaha d’ouverture des bureaux, il y  a de grandes chances pour que vous baissiez votre garde.

Cela dit, il n’y a pas de lien direct entre présence physique dans l’entreprise et hacking. Sauf que si un criminel a accès physiquement à l’Intranet et qu’il dispose de « credentials » valides, il pourra récupérer en toute impunité des informations confidentielles, laisser des mines dans les systèmes et des chevaux de Troie actionnables à distance pour les opérations à venir.

Les statistiques

Plutôt que de s’intéresser aux méfaits de certains virus, on ferait mieux de regarder de près, ce que coûte l’ingénierie sociale aux entreprises.

Une récente étude de CheckPoint, il est vrai juge et parti, portant sur 850 entreprises, vient à point pour nous alerter.

Selon elle, 48 % des compagnies interrogées ont avoué avoir été victime de 25 attaques ou plus d’ingénierie sociale depuis deux ans, qui ont coûté entre 25 000 et 100 000 $ chacune. Les dégâts financiers sont donc considérables.

L’étude précise que ce sont les employés récemment embauchés qui sont les plus vulnérables, impliqués dans plus de 50 % des attaques, par inconscience et méconnaissance du contexte, suivi des personnels d’entreprises sous contrat (44 %), des assistants d’ « executives » (38 %), des Ressources Humaines  (33 %), des patrons « Business » (32 %) et loin derrière (encore heureux), les gens du TI (23 %).

Tout passe par l’éducation

Comme pour les autres domaines de la sécurité, la meilleure manière de se protéger des méfaits de l’ingénierie sociale est encore de sensibiliser les personnels sur les risques encourus et de leur expliquer les conséquences que peut avoir un manque de vigilance de leur part. Il faut encourager la « paranoïa » et favoriser l’attitude du « tout suspect », aussi bien pour les individus que tout ce qui vient d’Internet.

Evidemment ce n’est pas facile à vivre et avec le temps les réflexes protectionnistes ont tendance à s’estomper. C’est donc au TI de trouver les moyens pour les maintenir en état de veille.