SysFailure

Technique

Imprimer

Ingéniérie sociale

. Publié dans JSSI 2013

Ingéniérie sociale, aspects juridiques et pratiques

Ingenierie socialeFrédéric CONNES et Quentin GAUMER (HSC) ont présenté quelques éléments liés à l'utilisation de l'ingéniérie sociale dans le cadre de tests d'intrusion ou audits. Le support de leur présentation est disponible sur le site de l'OSSIR.

Quelques questions juridiques

La première question soulevée est de savoir si l'utilisation de l'ingéniérie sociale est juridiquement acceptable. En effet, elle pourrait être rapprochée d'une usurpation d'identité, ou être assimilée, directement ou non, à un vol de données, à une potentielle escroquerie, ou à une collecte déloyale de données personnelles.

  • Usurpation d'identité : seule la victime dont on usurpe l'identité peut porter plainte (et pas la cible de l'usurpation). Or, dans le cadre d'un audit ou d'un test d'intrusion, le contrat passé entre le client et l'auditeur indique les moyens et méthodes acceptées par le client. Donc, si le contrat est bien rédigé, l'utilisation de l'ingéniérie sociale (si elle est acceptée par le client) est prévue. Dès lors que la "victime" a autorisée cette technique, il n'y a pas de risque de plainte de sa part.
  • Vol de données : le vol sans soustraction d'un élément physique (cela couvre donc la copie d'informations) a longtemps été ignoré par les tribunaux (du moins n'a pas été considéré comme un vol). Toutefois, une décision de 2011 du TGI de Clermont-Ferrand est allée dans le sens inverse, en considérant qu'il y avait bien vol. La situation n'est donc pas, aujourd'hui, clairement tranchée sur ce point.
  • Escroquerie : la définition simplifiée de l'escroquerie est une tromperie au préjudice d'une personne afin d'obtenir une remise de fonds, de valeurs ou d'un bien quelconque. Il est donc nécessaire qu'il y ait un préjudice et que l'élément obtenu ait une valeur. Dans le cadre d'une collecte d'informations, il n'est pas certain que cela soit le cas.
  • Collecte déloyale de données personnelles : cela semble être le seul point réellement délicat. Car la victime de l'ingéniérie sociale, auprès de laquelle on va obtenir des informations éventuellement personnelles, est trompée et peut considérer que l'action était déloyale. Cela étant dit, si la prestation est bien encadrée notamment par un contrat adéquat, le risque paraît faible.

Aspects pratiques de l'ingéniérie sociale

L'ingéniérie sociale peut être vue sous deux angles :

  • en tant que finalité de l'action, ou
  • en tant que moyen utilisé lors d'un audit.

Quelles sont les finalités possibles de l'ingéniérie sociale ? Il est nécessaire d'identifier avec le commanditaire l'objectif recherché, par exemple mesurer la sensibilisation des utilisateurs vis-à-vis des données sensibles auxquelles ils ont accès.

Cela signifie qu'il faut correctement définir ce qu'est une donnée sensible. Ainsi, l'absence d'une personne (en conférence, en congés maternité, etc.) peut, selon les entreprises, les personnes, les contextes et l'objectif de l'agresseur, être considéré comme une information sensible.

Il faut aussi se poser une question complémentaire : le commanditaire veut-il mesurer les signalements des utilisateurs lorsqu'ils reçoivent une demande d'informations sensibles ? Si l'on veut estimer la maturité de l'organisation sur ces sujets, cela peut être un indicateur intéressant. Il faut alors que le traitement des signalements provoqués par l'auditeur soit court-circuité, pour éviter une alerte de sécurité.

Enfin, il est utile de mesurer l'exposition de l'organisation à la fuite d'informations, c'est-à-dire estimer l'impage des fuites. Cet impact repose sur le nombre d'utilisateurs ayant été piégés par l'ingéniérie sociale, et la criticité des informations obtenues.

Lorsque l'ingéniérie sociale est utilisée en tant que moyen, comme un outil parmi d'autres pour obtenir des informations, elle se révèle redoutablement efficace pour peu que l'auditeur soit compétent. L'hameçonnage, l'appel téléphonique angoissé ou stressant, l'intrusion physique voire la séduction sont des méthodes d'ingéniérie sociale, et il en existe bien d'autres.

Dans toutes ces situations, l'ingéniérie sociale permet de récupérer des informations se révélant souvent capitales pour la suite de l'audit :

  • des mots de passe,
  • des données sur l'architecture du réseau ou les mesures de sécurité,
  • des informations personnelles ou sur l'organisation,
  • etc.

Evolution du contexte des entreprises

L'ingéniérie sociale peut profiter de l'externalisation de plus en plus fréquente des services de l'entreprise (système d'informations, gestion du personnel, support utilisateurs, etc.).

Le cas du support utilisateur externalisé est très intéressant : les opérateurs sont souvent beaucoup moins sensibilisés aux problématiques de fuite d'informations, et le contrôle ou l'authentification de l'appel se limite généralement à connaître le nom et le prénom de la personne dont on prend l'identité. Les facteurs de confiance sont donc très différents, les opérateurs ne connaissant pas directement leurs clients, d'autant plus s'il y a mutualisation du support utilisateurs entre plusieurs entités ou sociétés. Enfin, il ne faut pas négliger l'envie d'aider, tout particulièrement en période de crise. La personne au bout du téléphone aura d'autant plus envie d'aider si l'on pleure un peu, si l'on met en avant que l'on risque de perdre notre emploi, etc.


Quelles méthodes utilisables ?

Multi-téléphoneLes théoriciens de la manipulation ont déjà bien défriché le sujet :

  • effet de gel, théorie de l'engagement, dissonnance cognitive : on fait entrer l'interlocuteur dans une relation de confiance, et on agit ensuite sur cette confiance pour obtenir des informations de plus en plus sensibles.
  • pied dans la porte : les premières questions vont être anodines, et devenir plus précises par la suite (escalade)
  • porte au nez : à l'inverse, la première question a pour objectif d'être rejetée. Les questions suivantes, beaucoup moins sensibles que la première, sont en réalité celles dont les réponses nous importent.

Ingenierie sociale

L'hameçonnage

Il y a une différence notable avec l'hameçonnage classique, en cela que l'on veut récupérer des informations précises et relativement extensives sur la cible, et non pas sur celui dont on usurpe l'identité. Ensuite, différents niveaux techniques sont possibles, du plus facile à détecter (un message électronique simple, sans fioritures et bourré de fautes d'orthographes) au plus difficile (nécessaire d'analyser le code source du message).

Ces différents niveaux d'hameçonnage sont intéressant lorsque le commanditaire veut corréler les résultats de l'ingéniérie sociale.

Le scénario d'hameçonnage

La construction d'un scénario permet de maximiser l'efficacité de l'hameçonnage. Cela peut être lié à l'actualité, au métier de l'organisation cible, aux profils visés, etc. Il faut correctement identifier le facteur déclenchant qui va amener la victime à cliquer sur le lien proposé et à fournir les informations demandées. Souvent, l'ajout d'un facteur d'urgence, qui limite le temps de réponse et donc le temps de réflexion, améliore l'efficacité de l'hameçonnage.

Le scénario d'hameçonnage doit inclure la construction d'un site Web spécifique (avec son domaine, l'hébergement, un certificat SSL éventuel, une charte graphique, des logos, etc.), prévoir sa durée de vie et son déphasage. Il faut ensuite envoyer les messages électroniques aux cibles (le mieux étant de le faire en copie cachée, avec un destinataire officiel inconnu).


Sensibilisation des collaborateurs

La sensibilisation contre la fuite d'informations est intéressante, en cela qu'elle permet de réduire les risques de fuites d'informations sensibles. Cela sous-entend que l'organisation a identifié ses informations sensibles.

La sensibilisation présente rapidement ses limites :

  • ce n'est pas une opération persistante, il faut régulièrement la renouveler,
  • elle doit être ciblée selon les profils et les informations auxquelles les collaborateurs accèdent,
  • et doit s'accompagner de mesures techniques de sécurité.