Le social engineering, ou en français la manipulation sociale, est une technique largement utilisée depuis très longtemps pour contourner des protections : il s’agit de pousser une personne à faire certaines choses ou révéler des informations sans les lui demander directement, d’où le terme de manipulation.
En matière de sécurité informatique, on compte quelques experts en social engineering. Le plus connu est certainement Kevin Mitnick, dont le livre « L’art de la supercherie» co-écrit avec William L. Simon constitue une référence dans le domaine. Kevin Mitcnick a été reconnu coupable d’avoir détourné de nombreux systèmes aux États-Unis et a purgé une peine de prison à ce titre.
Pour la suite de ces pages, nous considérerons uniquement l’aspect lié à la sécurité informatique du social engineering. Il faut pourtant savoir que les informations présentées ici sont les mêmes pour les autres utilités de la manipulation sociale. Il faut pourtant savoir que ces méthodes sont aussi utilisées par des enquêteurs de tous les domaines, par les enfants curieux et par bien d’autres personnes très éloignées de l’informatique.
La motivation
L’utilisation du social engineering se justifie dans tous les domaines par une motivation. Dans le domaine informatique, c’est souvent l’argent ou le bénéfice qui motivent les actes des assaillants. La manipulation est l’outil qui permet d’obtenir des informations, comme un mot de passe ou un numéro de téléphone.
Dans certains cas, le social engineering permet de terminer « la mission » : dans le cas d’une attaque contre une société visant à récupérer les informations comptables d’une entreprise, une conversation téléphonique avec le service financier pourrait permettre d’obtenir toutes les indications recherchées; un autre chemin serait de récupérer un mot de passe utilisateur et d’utiliser une technique de pénétration autre (par le réseau, par un virus) pour obtenir ce qui est recherché.
Il faut aussi prendre en compte le grand nombre de hackers qui agissent simplement par curiosité. Mais l’argent et la célébrité ne sont pas tout, il ne faut pas négliger le grand nombre de personnes qui tenteront de manipuler une entreprise juste pour le plaisir ou la curiosité. Le social engineering est une technique relativement simple et aux coûts très limités, et attire bon nombre de personnes à la recherche de sensations, mais qui ne veulent pas, a priori causer de tort; seulement il arrive parfois que face à la simplicité des choses, la personne la moins mal intentionnée se laisse tenter par l’appât du gain, c’est pourquoi, il convient également de se protéger de ces curieux. Il arrive cependant que les desseins changent en cours d’activité, la réalité sur la facilité d’accès aux informations sensibles faisant parfois naître des vocations.
Le profil de l’attaquant
Le social engineering, ce sont des appels téléphoniques, des discussions où il faut manipuler l’avis des personnes, en jouant sur le ressenti de celles-ci et en faisant tomber une à une toutes les formes de résistance. L’assaillant doit donc posséder quelques atouts, au premier rang desquels se trouve le charisme : il doit savoir s’exprimer et jouer sur les intonations. Une petite part d’acteur sommeille en tout attaquant qui utilise la manipulation.
Pour convaincre, il faut aussi au manipulateur beaucoup d’audace, pour faire évoluer la discussion dans le sens voulu en guidant la victime même dans les directions les plus improbables. L’assaillant est donc un véritable imposteur, qui saurait très certainement nous vendre un verre de n’importe quelle eau plate en nous vantant ses mérites curatifs. Mais pour inspirer la confiance, savoir parler n’est pas tout. Pour être bien à l’aise dans une attaque de social engineering, l’attaquant devra avoir une bonne culture de l’entreprise visée, de son jargon technique, de ses produits : s’il s’agit de se faire passer pour un client ou même un membre de l’entreprise, il est important de connaître les produits et services de l’entreprise, mais d’avoir également quelques informations sur son fonctionnement interne. C’est pourquoi le manipulateur doit être doué d’une grande curiosité et d’une grande patience, puisqu’il lui faudra parfois plusieurs jours, voire plusieurs semaines pour obtenir toutes les informations dont il a besoin. C’est aussi un fin limier.
Véritable Columbo, le manipulateur social notera chaque détail, même si l’utilité de celui-ci n’est pas évidente. Le cerveau humain est ainsi fait que les plus petits détails lui parviennent directement, et quand ceux-ci sont familiers, ils créent un sentiment de sécurité chez la personne qui les entend. Ces détails sont bien souvent des noms de personnes, des mots de jargon, des références à des situations passées. L’attaquant cherchera donc des informations qu’il pourra placer dans des discussions futures pour annihiler tout sentiment défensif chez la victime. D’autre part, ces détails sont aussi des informations sur le fonctionnement de l’entreprise qui permettront à l’assaillant de mieux appréhender sa cible. Le social engineer est donc quelqu’un de très minutieux, cherchant autant d’informations que nécessaire, capable de jouer avec les impressions qu’il produit. Pourtant, toutes ces aptitudes sont souvent des acquis et non des dons et le social engineering attire donc aussi par son côté abordable.
Le profil de la cible
Le choix de la victime est l’une des étapes les plus importantes de l’attaque. Quand il pourra la choisir, le manipulateur optera pour une très grosse société, avec un service informatique décentralisé tel que les techniciens du support n’ont pas une voix ou un visage connus des employés. Bien sûr, les entreprises répondant à ce critère sont en nombre limité, et même celles qui y répondent ont bien souvent une partie décentralisée représentée par un responsable informatique du site.
L’attaquant doit ensuite choisir dans l’entreprise la personne qu’il appellera. Habituellement, c’est au standard qu’on s’adresse en premier lieu, puisque c’est bien souvent le seul numéro de la société qui soit disponible publiquement. Les cas sont ensuite multiples, puisque l’on peut très bien trouver toutes les informations à partir du standard.
Dans la plupart des cas, le manipulateur tâchera d’avoir affaire à un service informatisé mais pas au service informatique lui-même, qui est probablement le plus informé sur les problématiques de sécurité. Mais il ne faut pas négliger la part d’audace de l’attaquant, qui n’hésitera pas à appeler le grand patron pour lui demander des informations. Reste ensuite à progresser, comme dans le cas d’une escalade de privilèges standard. Un appel peut offrir au manipulateur assez d’informations pour procéder à l’appel suivant, qui amènera également son lot d’informations permettant de passer à une méthode d’attaque technique (attaque du site Internet par exemple) ou de passer un autre appel téléphonique.
Les moyens utilisés
Quand on aborde le social engineering, il convient de différencier les médias et les méthodes. Les premiers sont le moyen de communication, le vecteur que va utiliser l’assaillant pour mener son attaque (ou les vecteurs, dans le cas d’une attaque complexe).
Les méthodes quant à elles, sont les leviers psychologiques . La grande majorité des tentatives se fait par téléphone : la simplicité et le quasi anonymat que confère le téléphone sont des atouts non négligeables pour l’attaquant. En effet, il est possible chez de très nombreux opérateurs téléphoniques de ne pas divulguer son numéro d’appelant, ce qui empêche la cible de reconnaître un numéro.
Mais le téléphone n’est pas la seule voie disponible. Les e-mails de phishing (hameçonnage dans le jargon traduit), dont la technique consiste à faire croire à un e-mail officiel (d’une banque, d’un magasin en ligne, d’un opérateur) dans le but de tromper le destinataire, entrent directement dans la catégorie des médias dès lors que ces e-mails sont utilisés envers une unique cible, avec un contenu très personnalisé pour maximiser les chances de réussite de l’attaque. Avant les e-mails, il y eut le courrier. Et avant le téléphone, les facsimilés (que l’on appelle plus couramment “Fax”). Courrier et fax sont encore très utilisés, parce qu’ils donnent une impression de sérieux. En effet, un courrier écrit sur un papier à en-tête s’accueille d’une toute autre manière qu’un courriel, même si celui-ci comporte une signature en bonne et due forme. Le facsimilé et le courrier bénéficient d’une croyance voulant que puisque leur envoi n’est pas gratuit, contrairement à l’e-mail, les expéditeurs font preuve de sélection dans leurs campagnes d’envois. C’est sans compter sur tous les publicitaires qui ont bien exploité cette conviction depuis des années, et surtout sans compter sur les budgets des assaillants, qui peuvent s’offrir (parfois très largement) les services de la Poste pour les quelques dizaines de centimes que leur coûtera le timbre.
Le téléphone, le courrier, le fax et même l’e-mail permettent à l’assaillant une attaque à distance, mais les plus vaillants de tous iront parfois bien au-delà : ils iront jusqu’à se présenter dans les locaux de leur cible, en déjouant les systèmes de sécurité parfois d’une manière très simple. Des exemples concrets peuvent être admirés dans de nombreux films, comme par exemple dans un James Bond (“Diamonds are forever”) où l’agent secret le moins secret du monde réussit à échapper à un contrôle de badge à l’entrée d’un bâtiment en suivant simplement une personne qui passe la porte de sécurité, profitant de l’inattention du garde qui ne se doute pas que l’un des deux ne possède pas son badge parce qu’il s’est laissé duper par la présence d’un visage connu.
Les leviers psychologiques
- L’absence de méfiance : Le premier des leviers psychologiques est l’absence de méfiance. Réussir à ne pas susciter la méfiance des personnes est rarement une chose suffisante dans le social engineering, sauf dans quelques rares cas. Par contre, c’est une chose nécessaire puisqu’une personne qui se méfie commence à noter (même intellectuellement) des informations qui peuvent compromettre l’anonymat d’un attaquant ou même permettre à l’entreprise de se savoir assaillie. Rappelons que l’un des critères d’une attaque réussie en sécurité informatique est qu’elle ne soit pas détectée avant un certain temps.
- La crédulité : La crédulité permet beaucoup de choses à un attaquant, notamment de se faire passer pour quelqu’un d’autre dans le cas présent. Et les mensonges, aussi incroyables puissent-ils paraître, sont parfois très facilement crus par la cible.
- L’ignorance : Les collaborateurs d’une organisation, doivent bien connaître quelles sont les informations qu’ils peuvent donner et celles qu’ils ne peuvent pas.
- La confiance.
- L’altruisme : Dans le social engineering, une méthode intéressante est de susciter chez la cible l’envie de vous aider, inversant presque les rôles dans le sens où les informations vont émaner de la cible, dans le meilleur des cas avant même que l’assaillant ne les demande
- Le besoin d’aide : Plus difficile que de susciter l’envie de nous aider, nous pouvons aussi créer chez la cible un sentiment de dépendance, en la mettant d’abord en position délicate et en lui proposant ensuite notre aide toute aussi bienveillante qu’inutile.
- L’intimidation : Dernier levier technique de base, l’intimidation. Le concept est très simple, il s’agit de faire peur à la cible, en créant une situation de doute où la personne va vouloir à tout prix éviter les problèmes