Spirit of Hack Social Engineering

Vous êtes ici : Accueil > > Papers > > Social Engineering Page précédente ;

Papers

Autour du hacking

Origines du hacking ;

Social Enginering ;

Articles techniques

Notions de TCP/IP ;

IP Spoofing - Théorie ;

IP Spoofing - Pratique ;

Man In The Middle ;

RSA - Principe ;

Phreaking GSM ;

RSA : détail mathématique et cassage ;

Cartographie et contrôle de congestion du réseau ;

La magie du Wifi : la couche physique ;

La magie du Wifi : la couche MAC ;

Authentification dans un système réparti ;

Team SoH

Contact Team SoH ;

Contribuer ;

Echange de liens ;

Flux RSS

RSS Actualités ;

; ; ;

Social Engineering

Introduction aux méthode de l'Ingéniérie Sociale

Par BeRgA

Table des matières

I - Introduction ;
II - Etre crédible ;
III - Savoir obtenir ce que l'on veut ;
IV - Les différentes techniques d'approche ;
V - Le Social Engineering sur Internet ;
VI - Le S.E. par courrier, ou snailmail ;
VII - Une dérive du Social Engineering : le Trashing ;

I - Introduction

On entend souvent dire qu'un ordinateur sûr est un ordinateur éteint et débranché. Correct pensez-vous ?

Eh bien non. Grâce au Social Engineering, il est possible de pousser une personne à brancher et allumer cet ordinateur...

Qu'est-ce que le Social Engineering ?

C'est une technique permettant d'obtenir des informations de la part d'une personne. Eh oui, quand on ne peut pas s'attaquer directement à un système, on s'attaque à ses utilisateurs. Explication : Dans une entreprise, de nombreuses personnes possèdent des informations très utiles pour un hacker, sans en être toujours conscientes. Elles connaissent le matériel utilisé, l'architecture du réseau, et d'autres encore. Mais ça, c'est au niveau d'une entreprise. Au niveau d'une personne en particulier, tout est possible avec un SE solide : récupérer des mots de passe, des noms d'utilisateurs, des numéros de cartes de crédits, etc. Le Social Engineering n'est pas un domaine qui nécessite des connaissances en informatique. Il se base entièrement sur la psychologie, que ce soit votre force de persuasion, ou la faiblesse de vos victimes. Mais vous pouvez vous en douter, une telle technique va nécessiter une grande assurance, et une forte confiance en vous. Vous allez vous adresser à des personnes en vous faisant passer pour quelqu'un que vous n'êtes pas. Il faudra donc veiller à ne pas vous trahir...

II - Etre crédible

Pour paraître crédible, vous devrez apprendre à maîtriser le jargon utilisé par une entreprise ou un type d'employé. Les gens sont beaucoup moins méfiants quand ils pensent s'adresser à un collègue, ou à quelqu'un qui connait leur métier. Pour acquérir ce savoir, connaître les petits détail qui font la différence, une bonne méthode consiste à contacter une personne de l'entreprise ciblée, de se faire passer pour un écrivain ou un réalisateur, par exemple. Vous expliquer gentiment que vous êtes en train d'écrire un livre ou un scénario, et que vous aimeriez en savoir un peu plus sur le fonctionnement interne des entreprises : vocabulaire utilisé, fonction des différents bureaux, etc.

Ainsi, lors de votre appel suivant, il vous sera plus facile de vous faire passer pour une personne du métier. Acquérir le jargon utilisé par l'entreprise est la première tâche qu'une personne projetant une attaque par SE doit effectuer.

Une fois cela fait, il vous faudra également planifier correctement l'attaque. Un événement imprévu peut faire paniquer l'attaquant, et une hésitation trop longue dans le discours, un air surpris, un vif changement d'attitude pour révéler la vérité. Pour éviter ce genre d'incidents, il est nécessaire d'effectuer une planification complète de l'attaque : lister les numéros qui seront appelés, apprendre par coeur les noms et autres renseignements concernant la personne dont l'identité ve être usurpée, prévoir les questions qui seront posées par les interlocuteurs, mais aussi les questions à poser, etc.

Une bonne planification peut être la clé d'une attaque réussie.

Enfin, il existe une foule de détails qui feront la différence entre une bonne et une mauvaise attaque. Pensez à votre environnement lors de l'attaque. Ca serait dommage que quelqu'un vous rende visiste à l'improviste et prononce votre nom pendant que vous êtes au téléphone avec votre cible, non ? En parlant de nom, pensez à bien choisir celui de votre personnage, dans le cas ou vous n'utilisez pas l'identité d'une personne existant. Trouvez-en un facile à retenir, mais qui ne fasse pas trop artificiel non plus. Et évitez les noms à la "monsieur et madame machin ont un fils", c'est pas terrible pour la crédibilité. Mais bon, vous ne l'auriez pas fait de toutes façons, n'estce pas ?

Pensez aussi à utiliser de nombreux artifices, comme des bandes sonores diffusant un bruit de fond correspondant à celui d'un bureau (bruits de clavier, de téléphone, etc). Préparez également une adresse email, ou une URL que la cible pourrait vous demander. Si vous vous rendez directement sur les lieux, soignez votre présentation. Il ne vous faudra pas seulement un joli costume, mais aussi un attaché-case, un agenda plein, des documents fictifs, cartes de visite, etc.

Pendant votre attaque, vous devrez faire très attention à votre conduite. Faites preuve d'assurance, regardez vos interlocuteurs dans les yeux. Parlez correctement, clairement. En effet, lors d'un dialogue, notre esprit analyse inconsciemment certains détails chez notre interlocuteur (style de voix, élocution, etc.). Cette analyse se déroule pendant les premières secondes du dialogue, et c'est elle qui va déterminer notre attitude par rapport à l'interlocuteur (méfiance, confiance, énervement, etc.). Il est donc vital pour un attaquant de se faire "bien voir" par ses interlocuteurs, s'il veut avoir une chance que son attaque réussisse. Si vous vous faites passer pour quelqu'un qui travaille dans un bureau, la visite de l'entreprise devra montrer à votre victime que vous avez l'habitude de ce genre de lieux, que vous y êtes comme chez vous.

III - Savoir obtenir ce que l'on veut

Le tout n'est pas d'être crédible auprès de sa cible, il faut aussi savoir l'amener à faire ce que vous attendez de lui, que ce soit vous donner des informations, ou installer un petit serveur sur une des machines de l'entreprise...Et pour cela, vous devez vous douter qu'il ne suffit pas de contacter la personne en question et de lui demander de faire ce que vous voulez ! Il vous faudra faire preuve de beaucoup de tact et de patience. Voici quelques règles à suivre pour assurer la réussite d'une attaque.

Tout d'abord, il vous faudra trouver une bonne excuse pour formuler votre demande. Faites-vous passer pour quelqu'un qui est susceptible de demander les renseignements en question. Reportez-vous à la section suivante pour savoir comment adapter vos "identités" en fonction des renseignements voulus. Il est également très important de "noyer le poisson", c'est-à-dire de dissimuler les questions qui vous intéressent parmi d'autres. La cible va répondre aux premières questions, dont elle pensera qu'elle sont "normales", et sera donc moins vigilante lorsque vous insérerez la question-clé. Elle ne verra pas le piège et y répondra, pensant qu'elle s'inscrit dans la lignée des questions précédentes. Il est évident que les autres questions doivent être quand même en rapport avec le sujet qui vous intéresse. Vous n'allez pas questionner votre cible sur les listes de personnel, pour soudain lui demander sous quel système tourne les serveurs informatiques de l'entreprise !

Il est également fortement déconseillé de forcer la personne à vous répondre. Si votre cible répond "de travers" à une question, parce qu'elle l'a mal comprise, vous pouvez essayer de la reformuler (Veillez à préparer plusieurs questions, formulées différemment, mais qui amènent à la même réponse, cela vous évitera d'avoir à improviser pendant votre attaque). Mais si elle refuse de répondre, alors faites comme si cela ne vous importait que peu, car le fait de forcer une réponse lui mettrait la puce à l'oreille, et vous risqueriez de vous faire prendre.

IV - Les différentes techniques d'approche

Il n'existe pas qu'un seul moyen de mener une attaque par Social Engineering. Et le moyen que vous devez utiliser va différer selon votre cible, selon les renseignements que vous recherchez, ou même selon vos aptitudes. Chaque attaque de chaque manipulateur est différente. Il existe cependant des "schémas" d'attaque qui se révèlent plus efficace que d'autres.

Tout d'abord, il faut que vous mettiez votre cible en confiance, pour qu'elle accepte de vous répondre. Pour cela, une bonne technique consiste à se faire passer pour un employé d'un service utilisé par l'entreprise (fournisseur, entreprise de maintenance, etc.). Vous pouvez alors prétexter un sondage d'opinion visant à améliorer la qualité du service fournit. Votre cible, croyant que vous chercher à améliorer la satisfaction apportée à son entreprise, sera alors d'accord pour vous répondre. Mais vous pouvez aussi demander un renseignement en expliquant qu'il est nécessaire pour faciliter une livraison, une intervention, etc. Soyez imaginatifs !

Il y a également une chose à laquelle penser, c'est qu'on est toujours enclin à aider quelqu'un qui fait le même métier que soi. Et alors ? Eh bien faites-vous passer pour un collègue, demandez un petit service, vous verrez ça fait des miracles.

Vous n'avez jamais eu peur de l'uniforme ? Vous n'avez jamais ressenti cette montée d'adrénaline quand vous êtes confrontés à un représentant de l'autorité ? Et bien figurezvous que pour la plupart des gens, être soupçonné par la police, ça choque, ça sème la panique dans les esprits. Soupçonné d'utilisation de fausses cartes bancaires en plus ? Panique complète !

Heureusement, c'est peut-être une erreur. Vous pourriez donner votre numéro de carte bleue et sa date de validité pour vérification s'il vous plait ? Ah non, désolé, il y a eu erreur sur la personne. Excusez-nous, au revoir.

Un ton menaçant, quelques questions sur la date de la dernière utilisation, le lieu, et d'autres, et le tour est joué !

Il est également possible de vous placer hiérarchiquement audessus de votre cible. Si vous vous faites passer pour un cadre, ou pour la secrétaire du patron, la cible en bonne subalterne, va alors vous répondre, car il est bien connu que seul une attitude d'obéissance par rapport aux supérieures est la clé d'une carrière réussi...non ? Ah bon...Cette méthode s'applique tout particulièrement bien dans les milieux où la hiérarchie est sacrée, comme par exemple la police ou l'armée. Faites-vous passer pour un sergent auprès d'un adjudant, vous obtiendrez tout ce qu'il vous faudra, avec du respect et de la politesse...ils sont bien les militaires, trouvez pas ?

Une autre technique qui a fait ses preuves est le SE par inversion. Cela consiste à créer un problème à votre cible (sans qu'elle ne le sache, bien entendu !), et à vous présenter à elle pour lui résoudre. Elle vous sera alors reconnaissante et se sentira obligée de vous rendre un petit service...Cette méthode est bien pratique lorsque vous souhaitez obtenir des renseignements techniques, ou même installer un serveur sur une machine de l'entreprise. Arrangez-vous pour couper la connexion de votre cible, réparez-lui, et expliquez que cela vient d'un vilain pirate, mais que vous connaissez un programme permettant d'éviter ce genre de problèmes. Indiquezlui une URL où le télécharger, et dites lui de cliquer dessus pour l'installer. Cela ne marche ? Il y a un message d'erreur ? raaaah l'informatique, ça marche jamais quand il faut...

Enfin, une dernière méthode consiste à obtenir un sentiment de pitié de la part de votre cible.

Vous êtes tout nouveau dans l'entreprise, vous avez un problème, mais vous ne voulez pas que le patron vous remarque dès votre arrivée...Et à partir du moment où vous ne risquez pas de piquer la place de votre cible, elle devrait vous aider à résoudre votre "problème"...C'est quand même bien la solidarité !

V - Le Social Engineering sur Internet

Les FakkeMails

C'est certainement l'attaque la plus répandue, et la plus simple à mettre en oeuvre. En effet, elle ne nécessite aucun contact direct avec la cible. Pour faire un SE par internet, vous allez devoir utiliser ce qu'on appelle un Fakemail.

What is it ? C'est un mail qui fait penser à un mail "officiel", par exemple envoyé par les services d'administration de wanadoo. Vous en trouverez facilement sur Google, mais le mieux reste encore de le faire vous-même.

Vous allez devoir utiliser les logos du service pour lequel vous voulez vous faire passer, utiliser une terminologie correcte, une bonne syntaxe. Bien entendu, ce mail ne doit pas se présenter comme un simple mail texte, mais comme un formulaire envoyé officiellement. Pour ce faire, vous pouvez par exemple utiliser du html.

Mais qu'elle est l'utilité d'un tel mail ? Eh bien imaginez que vous receviez un mail vous disant qu'un pirate a pénetré la base de données d'hotmail, que des informations importantes ont été détruites, et que les services d'administration ont besoin de votre nom de compte et de votre mot de passe pour vérifier si aucune donnée vous concernant n'a été detruite (bah oui, le méchant pirate a effacé la liste des comptes aussi !), et que pour ce faire, vous n'avez qu'à remplir le formulaire contenu dans le corps du mail, et de cliquer sur le bouton "envoyer". Si vous êtes un peu naîf (quoique, c'est même pas nécessaire.), vous aller remplir le formulaire (d'autant plus qu'il provient d'une adresse du genre "admin@hotmail.com" ;) ), et l'envoyer...Sans savoir que vos réponses vont atterrir directement chez le pirate, car une adresse dont il est propriétaire est en réalité le destinataire du formulaire. Et voilà, il possède désormais votre login et votre mot de passe. Et vous ne vous êtes rendu compte de rien...Fort ce pirate !

Donc récapitulons :

Réaliser un petit formulaire très "officiel", adressé à une adresse dont vous avez accès
L'envoyer anonymement, faisant croire que l'expéditeur est du style admin@machin.com, ou service_client@truc.com)
Attendre qu'il fasse son effet, et recueillir les informations voulues grâce à l'accès ainsi obtenu

NB : Ceci expliquait comment obtenir l'accès à un compte personnel, mais cette technique peut avoir beaucoup d'autres applications...

Les sites leurres

Cette attaque consiste à attirer la cible sur votre site, en croyant qu'elle se trouve sur le site du service auquel elle souhaite accéder. Il vous faudra copier le site en question, et s'arranger pour que la personne tombe dessus. Croyant être sur le site "réel", elle va sans se poser de questions remplir, par exemple, le champ d'identification lui permettant d'accéder à son compte, que ça soit un compte mail, bancaire, ou autre...

VI - Le S.E. par courrier, ou snailmail

Vous l'aurez compris, cette méthode utilise le courrier pour obtenir les informations tant convoitées. En effet, la plupart des gens accordent plus de crédit à un document écrit qu'à un simple coup de téléphone. L'attaque aura d'autant plus de chances de réussir que la lettre envoyée fera "officielle". L'utilisation de papier filigrané, de logos et d'entêtes complètes, un adressage par étiquettes collées sur l'enveloppe, une boîte postale de retour (créée sous un faux nom), aideront à rendre votre courrier crédible, et à faire en sorte que votre victime y réponde. Notez qu'il est tout à fait possible d'ajouter un coup de téléphone avant l'envoi du courrier, de ce style : "Une lettre vous sera bientôt envoyé, pour confirmation de quelques informations, puisque les appels téléphoniques ne sont plus très sûrs de nos jours". On n'est jamais trop prudents ;)

VII - Une dérive du Social Engineering

Une dérive du Social Engineering : le Trashing

En quoi cela consiste-t-l ?

Tout simplement à "faire les poubelles". Pas très attirant, mais par cette méthode, vous pourrez peut-être tomber sur des postsit utilisés pour noter login et mot de passe (ne riez pas, ça arrive), des brochures, des manuels d'utilisation, divers courriers, des informations "confidentielles" dont vous pourrez vous servir pour impressionner votre cible, etc.

Bref, plein de renseignements qui peuvent se révéler très utiles en temps voulu.

Bon ben voilà, s'en est terminé pour le Social Engineering ! Et n'oubliez pas, une attaque ne se prépare pas en quelques minutes ! Il faut parfois plusieurs jourrs de préparation si vous voulez vraiment vous glisser dans votre personnage et paraître le plus convaincant possible !

Et, comme l'a dit Albert Einstein :

Seules deux choses sont infinies : l'Univers et la stupidité de l'homme, et je n'en suis pas certain pour la première.

A méditer...

Lire ou télécharger le document au format pdf, poids 441 ko : Social Engineering ;

BeRgA

Contacter l'auteur ;

Page précédente | Accueil | Allez Up ! ;