Comment pirater sans pirater : le social engineering.

L'art de la supercherie. C'est le terme proposé par Kevin Mitnick dans son livre du même nom pour qualifier ce type d'attaque, omniprésent dans la plupart des piratages.

Le social engineering, c'est le fait d'abuser d'une personne à son insu afin qu'elle fasse une action très particulière pour nous permette de passer une étape dans la planification d'un piratage quelconque. C'est bien souvent la manière la plus simple, la plus facile, la plus efficace pour se procurer n'importe quelle information y compris un mot de passe. Avec le social engineering, le facteur humain est mis au centre des problèmes de piratage informatique. Le pirate, derrière une identité qui n'est pas la sienne, va jouer un rôle, il va s'adapter pour avancer d'une étape dans son piratage informatique.

Exemple de Social Engineering

Un exemple ? Il y en a tous les jours. Le social engineering peut se faire directement sur une messagerie instantanée, indirectement par email, ou encore par téléphone, et même en personne.

Le social engineering est souvent associé au Phishing. On pirate des gens via leur crédulité. Par exemple via un mail qui vous est envoyé sous une adresse mail qui peut faire penser à une personne d'autorité (par exemple : l'administrateur de votre banque), et qui vous demande donc, en sa qualité de responsable, d'effectuer une manipulation particulière : bien souvent cliquer sur un lien pour s'y connecter. Manipulation très simple, le pirate vous envoie un lien vers un de ses sites, où ils stockent les mots de passes enregistrés et les identifiants. Son site est une copie identique du vrai site sur lequel vous vous seriez identifié (celui de votre banque par exemple). Cette technique s'étend à tous les domaines et à tous les sites où vous êtes possesseur d'un mot de passe : piratage de votre compte bancaire, piratage de votre boite email, etc.

Exemple de mail auquel il ne faut pas répondre, utilisé par un pirate :

L'objet du message est clair, je me suis fait piraté à trois reprises mon compte Paypal par une personne qui souhaite modifier mes informations, je dois donc me connecter à mon compte pour résoudre le problème. Or, et bien entendu, ce message n'est pas un message de Paypal. Envoyé en masse, ce genre de messages est efficace car il reste des individus qui effectuent réellement la manipulation, et qui voient donc leur mot de passe stocké sur l'ordinateur du pirate, qui, par la suite, pourra l'utiliser.

Détecter ce genre de piratage

Ce genre de piratage est très facile à détecter pour quelqu'un qui, tout simplement, sait qu'il existe cette manière d'opérer (le social engineering). Dès lors il parait évident de ne pas répondre à une demande directe de connexion qui présente un doute sur sa véracité.

Pourtant, il n'est pas toujours aisé de détecter un social engineering car peut-être le pirate est-il patient, vous êtes sa cible principale et il ne souhaite pas en changer, et donc vous le considérez déjà comme un ami puisque vous le connaissez depuis quelques jours via des échanges mails, des contacts sur une messagerie instantanée, etc. Les pirates tendent à rendre leur Social Engineering le plus réaliste possible. Si demain une personne en uniforme de police vous arrête et vous demande vos papiers d'identité, vous questionne, lui demanderez-vous réellement sa plaque d'agent de police ? Bien sûr que non, et pourtant l'art de la supercherie s'applique à tous les niveaux, même les plus irréalistes car c'est une technique qui a déjà fait ses preuves, Kevin Mitnick, lui-même, semble plus se considérer comme une personne qui savait analyser le comportement des gens, qui savait leur faire entendre ce qu'elles voulaient entendre, plus que comme un pirate « technologique » qui aurait une parfaite connaissance des centaines et centaines de protocoles qui régissent l'Internet d'une manière générale.

Que doit-on conclure de ces pirates ?

La conclusion est simple et rapide : cette manière de pirater est la preuve informelle que le piratage n'est pas réservé à ceux qui ont emmagasiné un nombre fou de connaissances techniques concernant l'Informatique. Le Social Engineering consiste à interpeller une personne, et sous une fausse identité associé à un haut niveau de responsabilité, lui demander certaines informations, certaines tâches, voire même le lui ordonner en sa qualité de responsable ! A proximité (en face à face) cette technique se révèle extrêmement intéressante pour peur que le pirate sache manipuler des gens, se contrôler, et qu'il ait déjà envisagé tous les cas de situations possibles qui pourraient l'embarrasser. Bien entendu, à ce niveau de proximité, c'est aussi un risque non-négligeable.

1. web
2. fichiers
3. dossier
4. fichier
5. hacking
6. virus
7. détruire
8. sécurisés
9. sécurisé
10. piratages
11. cryptage
12. crypter
13. gmail
14. crackés
15. dossiers
16. donnée
17. internet
18. accès
19. bloquer
20. keylogger
21. formatages
22. ordinateur
23. formatage
24. formatter
25. code
26. cryptés
27. anonymat
28. secrets
29. données
30. crack
31. récupéré
32. de
33. adresse
34. hacké
35. ip
36. piratage
37. télécharger
38. sécurité
39. hackeur
40. hacker
41. récupérer
42. recuperer
43. passe
44. piraté
45. mot
46. logiciels
47. télécharge
48. identifiant
49. identifiants
50. id
51. pc
52. sécuriser
53. adresses
54. trouver
55. msn
56. messenger
57. hotmail
58. live
59. logiciel
60. hack