Magazine Internet

l'ingénierie sociale sort du bois et gagne ses galons

Publié le 03 décembre 2012 par Orangebusinessservices

security_INFINITY_Fotolia.jpgL’état du Colorado (Etats-Unis) a effectué un test de pénétration grandeur nature, sans avertissement pour ses équipes, et cela sur une durée de six mois. La plupart des méthodes usuelles de pentesting/hack ont été utilisées, en n’oubliant pas l’aspect ingénierie sociale qui a également été exploré avec succès.

Il est intéressant de constater que les campagnes de phishing mises en œuvre par l’équipe de pentesters leurs ont permis de récupérer une quantité significative d’informations comme les login/password des utilisateurs, voire même des comptes administrateur.

Un deuxième exemple plus en vogue pour tous ceux qui ne sont pas convaincus: Facebook organise en Octobre une joyeuse fête appelée Hacktober. Le thème: les équipes d'ingénieurs ont le droit de passer du coté obscure et de libérer auprès des employés de la firme leurs dernières fabrications personnelles en termes de spams, vers ou phising. Les salariés tombant dans le panneau gagnent le droit de retourner en formation.

à propos de l'ingénierie sociale

Cet aspect des choses est finalement assez rarement rencontré lors des évaluations pour se concentrer plutôt sur des éléments 100% techniques. L’approche classique est donc finalement assez regrettable, puisqu’indéniablement les attaques de type "ingénierie sociale" fonctionnent efficacement, et cela d’autant plus que les salariés ne sont pas suffisamment préparés contre ce type de vecteur.

ce qu'en dit le père de l'ingénierie sociale...

Pour ceux qui ne sont pas familiers avec ce sujet et qui voudraient avoir une idée précise des impacts possibles, une petite lecture du livre de Kevin Mitnick fournira une leçon d’histoire efficace et amusante. Le père de ce domaine aura provoqué bien des remous à sa grande époque. Ce célèbre hacker est aujourd’hui converti au bon coté de la force et a créé sa propre société.

Il est néanmoins intéressant de constater que dans les différentes interviews qu’il a pu donner, il a systématiquement regretté que les audits demandés ne portent que sur des aspects techniques, les pirates ayant une fâcheuse tendance a s’attaquer à l’élément le plus faible de la chaine, en l’occurrence : nous. En effet, l’ingénierie sociale n’étant traitée dans aucune norme ou référentiel, les entreprises laissent ce domaine en jachère.

les outils pour le social engineering

Situation dommageable, puisque la technique est utilisée et commence à se structurer. En effet, des outils afférents à ce domaine apparaissent pour simplifier la vie des auditeurs (ou autres ?). En voici quelques-uns pour vous permettre de vous faire une idée :

  • outil tweepz : outil de recherche sur Twiter
  • outil creepy : pour suivre les personnes à partir de leurs profils Twitter
  • outil fbpwn : récupération de l’ensemble des information d’un profil une fois que le faux compte Facebook est accepté comme « ami »
  • Maltego : outil permettant d’automatiser la recherche d’informations sur une société que cela touche aux personnes, à la réputation Web ou même à son infrastructure

Ces derniers sont très orientés sur la recherche via le Web et les différents réseaux sociaux, mais c’est aujourd’hui une source d’information tellement importante qu’il est normal de la voir exploitée.

Mais attention, d’autres outils existent, comme SET (pour Social Engineering Toolkit), qui permettent de préparer sans grosses difficultés des campagnes de phising et autres joyeusetés. Il est à noter que cet outil est désormais intégré à la célèbre distribution backtrack, il est donc probable que ce n’est qu’une question de temps avant que les auditeurs s'en saisissent et creusent d’avantage ce domaine.

plus loin que les outils

Il est évident que les outils ne font pas tout. Sans une bonne compréhension des concepts et de leurs mises en œuvre, il est difficile d’exploiter ces techniques. Il n’y avait que peu de choses jusqu’ici en termes de vulgarisation mais la situation change.

En effet, le site Internet http://www.social-engineer.org/ est en train de structurer ce domaine et de fournir un accès simple aux bases, que cela soit de la compréhension du domaine, des outils ou encore des conférences qui en traitent.

Accompagnant le développement de cette connaissance, des challenges de type CTF, totalement dédiés à l’ingénierie sociale sont également organisés. La pratique étant encore le meilleur moyen de roder une compétence, l’arrivée de ce type d’événement devrait marquer une évolution positive de ce domaine.

le futur de l'ingénierie sociale

Pour finir, et bien mettre en évidence le mouvement autour de l’ingénierie social, il me parait intéressant de faire remarquer qu’en plus des points précédemment cités, un vrai business semble se développer avec la création de sociétés spécialisées sur ce thème.

Il me semble donc que nous sommes en train d'assister à la naissance officielle d'un nouveau domaine de la sécurité. Sans aucun doute,  celui-ci devrait bientot prendre sa place au sein des questions de gouvernance et être à la fois un outil de sensibilisation des utilisateurs comme de détection de vecteurs vulnérables.

Cedric

crédit photo : © Andres Rodriguez et © INFINITY - Fotolia.com


Retour à La Une de Logo Paperblog

A propos de l’auteur


Orangebusinessservices 590 partages Voir son profil
Voir son blog

l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte

Magazine