|
|
SENSIBILISATION au Social Engineering (S.E) |
|
Voici
le sommaire de cet article :
-----------------------------------------------------------------------
Introduction
Pour ceux qui n'ont
aucune idée de ce qu'est le S.E et bien il s'agit de l'art
de
manipuler des gens en utilisant des techniques
d'influence et de persuasion afin de duper les gens et d'obtenir
quelque chose
que les
personnes n'auraient pas donné en
temps
normal.
Tous d'abord
pourquoi parlez de S.E dans un e-zine de hack ?
Tous simplement parce
que c'est sans doute le moyen le plus facile de trouver
des
informations sur une cible (mots de passe,
matériel,
....) mais c'est aussi un moyen très efficace pour faire exécuter
à
peu prés
ce que l'on veut sur l'ordinateur cible.
De plus
cette méthode est redoutablement efficace car elle ne demande
pas de
compétence
pour parvenir à pénétrer dans un
système distant.
Dans cet article je
ferais donc un aperçut des moyens utilisés par des personnes
afin d'obtenir des renseignements sans
l'aide de moyen technologique (uniquement par l'usage de la
parole et
quelques
outils informatiques simples accessibles à
tous).
1-Cette
faille repose sur la bêtise humaine
L'homme sait mentir
parfaitement ( en général ) et cela lui permet de
dire ce
qu'il veut à n'importe qui avec de
grande
chance de réussite ( à part si l'on parle des martiens bleus
cendrés débarqués
dans son jardin).
Ainsi il est
très aisé de se faire passer pour n'importe qui du moment que
l'on fait sérieux
que l'on connaisse le jargon de la
personne
pour qui l'on se fait passer. Donc si l'on ressemble
fortement
à une personne influente on peut obliger de nombreuses
personnes à accomplir des actes qu'elles ne feraient pas en
état
normal.
Par exemple un jour
je me baladais en ville et là une vielle dame fait déféquez
son chien
devant mes yeux sur un trottoir. Ne
supportant
pas ce genre de chose je l'interpelle et l'engueule un
coup. La
mamie terrifiée me demande pour qui je me prends
et là
presque inconsciemment je réponds service de propreté de la
ville. Devant
mon sérieux
et ma conversation très
technique
(nombre de tonnes de crottes de chien ramassé ·) elle prend
peur
et sans que
je lui demande me dit : « Et
l'amende va
s'élever à combien ». Là malhonnêtement il est vrai je
lui réponds
200 francs si vous passer à l'agence et 100
francs de
suite et elle a payé de suite( je sais ce n'est pas bien mais
à
l'époque
j'étais sans sous).
Tout cela vous montre
bien à quel point il est aisé de manipuler des gens et
que
certaines personnes sont plus
manipulables que d'autres.
2-Les
différentes techniques
Il y a 2 grandes catégories
d'attaques. La première consiste à se faire
passer pour
une personne étrangère au
service (
pas très efficace mais intéressante pour la récupération de
donner
informatique)
et l'autre consiste à se faire passer
pour une
personne pour quelqu'un de l'entreprise.
A/L'étranger à
l'entreprise
C'est vraiment
incroyable le nombre d'information que l'ont
peut récolter
alors que l'on est étranger à une
entreprise.
Cette première attaque est très efficace pour recueillir des
informations
générales sur la cible ( noms de
personnes,
numéro de téléphone ). Ce type d'information est
indispensable
pour
pouvoir se lancer dans une bonne attaque
de S.E car
elle permet de connaître en détail l'entreprise.
Dans un
premier temps ce qu'il est important de recueillir c'est
plus ou
moins un organigramme de l'entreprise ( qui est placé
ou qui
commande qui et qui fait quoi).
Ensuite si possible il est bien de connaître les horaires de
travail des chefs
de
l'entreprise afin de téléphoner plus tard à la
boite quand
ceux-ci ne sont pas là. Il est très intéressant de posséder
les
numéros de
téléphones (portables, domicile) ainsi
que les
mails des dirigeants.
Vous aller
me dire mais comment avoir tout cela. Et bien c'est très simple
il y a des
milliards de méthodes :
|
-Afin
de recueillir des organigrammes ou de les montés tout
seul il est souvent
intéressant
de rendre une petite visite sur le
site
de l'entreprise ou l'on trouve très très souvent les
mails des dirigeants
avec les noms prénoms et téléphones. Vous avez
alors
des noms prénoms téléphones qu'il faut noter précieusement
car il y
a de
grande chance de s'en servir plus tard.
-Sur le site il
est conseillé de lire un petit peu toutes les rubriques
ce qui
permet
de s'imprégner du jargon de la cible.
-Une fois que l'on
possède tout cela on va appeler une première fois
l'entreprise
afin de connaître les emplois du temps de
certains
cadre. La il est important de se faire passer pour une
personne que
l'ont
ne peut pas envoyer balader au téléphone (clients,
avocats, inspecteurs des impôts, ·). Avec cette fausse
personnalité
il est important d'appeler une secrétaire. Là il faut
la
jouer fine pour surtout ne pas qu'elle nous passe un supérieur
alors
voici
le genre de dialogue.
|
Hacker :
Bonjour mademoiselle je me présente Alain Tournons je
suis avocat à la
cour de machin chose et il
aurait été
important que je contacte
Monsieur Serge Buissolier.
Secrétaire :
Euh oui un instant je vais voir s'il est là.
Hacker :
Attendez mademoiselle. Je peux attendre quelque jour mais
il
m'aurait fallu savoir ces
disponibilités pour savoir
quand je pourrais le rappeler car ce que j'ai à lui dire
peut prendre du
temps.
Secrétaire :
Ah bon mais c'est grave ? ? ?
Hacker :
Non c'est un problème mineur c'est pour cela que je peux
attendre et puis
aujourd'hui je suis pressé.
Secrétaire :
D'accord alors il est
…………….
|
-Et là c'est gagné.
Un problème va se créer car la secrétaire va en parler
à ce
cadre c'est pourquoi il faut agir vite même s'ils
vont
se demander ce que fait l'avocat et ce qu'il veut.
-On a donc grâce à
cette identité réussie à connaître les disponibilités
de ( ou
des )
cadres.
-On peut aussi connaître
en appelant le mail d'un patron et celui
d'un
employer connaissant des mots de passe.
Ce
type d'attaque est très pratiques pour récupérer des
infos sur la ou
les
cibles car si l'on essaye de récupérer des infos en
se
faisant passer pour une personne de la boite ça paraît
tous de suite très
louche
( quoi que ). |
Je vais vous donner un vrai exemple d'une attaque réelle exercé
dans la
société
ou j'ai eu la chance de faire de la prévention.
Je suis
arrivé dans cette boite après que ceci ce soit fait détruire
une
vingtaine
de pc et voler des donnés. Ils ont tous de même
porté
plainte et la police en faisant son enquête a découvert des
choses
étranges (
des coups de téléphones de personnes
dont on
n'avait jamais réentendu parler et qui avait demandé des
choses
bizarre).
Il y avait eu un coup de téléphone d'un sois
disant
inspecteur des fraudes qui avait passé presque une heure avec
la
secrétaire
à recueillir tous les noms de téléphones
mails rôles
dans l'entreprise emploi du temps ( il faut dire que la
secrétaire
était bête d'avoir tous donner si facilement ).
Tous cela pour vous
montrer que avec un peu de blabla vous pouvez avoir
recueilli
tous ce que vous voulez sur la cible .
B/La personne
interne
Bon là il y a 2
techniques bien distinctes dont une consiste à se faire passer
pour un employer de base et l'autre découle directement de la
première étape donc si vous avez bien comprit elle consiste à
se faire
passer pour un membre dirigeant de la boite.
|
-Pour la première
c'est une techniques basés sur le culot consistant a
demandé
directement un mots de passe en prétextant un problème
ou n'importe quoi. Il est intéressant avant de téléphoner
à la personne
que l'on va nommer X d'on on va usurper l'identité pour
connaître ces relations avec d'autres personnes. On va
ensuite appeler une personne peut connu de X en se faisant
passer par X. Bon pour ceux qui n'ont pas comprit comment
on peut faire tout cela je donne un exemple.
|
Premier coup de
téléphone à X :
Hacker :
Bonjour c'est Monsieur Loupuis directeur marketing ,
nous avons des petits problèmes de rendements et
nous aimerions savoir comment cela se fait.
X : Euh et
en quoi puis-je vous aider.
Hacker :
J'aurais besoin de connaître quelque truc sur
différentes personnes mais sachez que je vais vous
demander de ne pas dire à ces personnes que je vous
est parler d'elle pour le bien fondés de mon
enquête ok ?
(là X va prendre son
rôle aux sérieux à cause du coté espion)
X :
D'accord.
Hacker :
Bon connaissez vous machin chose ?
X : Oui.
Hacker : Et
que pensez vous de lui, le connaissez vous bien ?
X : Oh oui
!
( on continue ainsi
jusqu'à ce que l'on tombe sur quelqu'un qu'il
connaît pas très bien )
Hacker :
bon et bien merci monsieur X sachez que si je
m'adresse à vous c'est car tout le monde dit que
vous faites du bon travail donc on ne vous met pas
en cause (flatte l'interlocuteur et le rend plus
docile) .
X : Au
Revoir.
2eme coup
de téléphone hacker se fait passer pour X :
Hacker :
Bonjour machin c'est X.
Machin :
Salut X que veux tu ?
Hacker : Et
bien je ne parvient plus à me connecter sur le pc
et je ne peux pas travailler j'ai été voir notre
chef et il m'a demandé de prendre un autre passe
pour aujourd'hui.
( là il va peut
être trouver cela bizarre mais insister sur le fait
qu'il faut absolument rendre ce soir au plus tard un
dossier et qu'il n'est pas fini)
Machin :
Bon c'est machin chose.
Hacker : Ok
merci.
Machin :
Bon allez salut.
Hacker :
Attend ça ne marche pas il me faut ton nom aussi je
croit car avec le mien ça passe pas.
( règle d'or du S.E
ne jamais être douer en info dans ces cas là )
Machin :
Allez bye. |
Et hop c'est dans la
poche. Sachez que cette méthode marche peu car
souvent
les employer sont proche alors il vaux mieux en trouver
qui sont assez loin dans l'entreprise ce que vous pouvez
rechercher dans la phase de renseignement. Et pour X il
est intéressant de prendre une personne nouvelle dans la
boite donc peu connu des autres.
-Bon il n'y a pas à
dire se faire passer pour un chef est plus facile car
jamais
la personne va discuter ou si c'est le cas il suffit d'élever
la voix et la personne devient très vite docile. Les méthodes
efficaces là sont de dire que l'on veux tous les passe
des employer pour contrôler leurs ordinateurs . |
Ici j'ai donner des exemples afin de récupérer des passes car
c'est
en général
ce qui intéresse les hacker mais il est simple d'obtenir
un fichier par le même type de moyen ; c'est à dire en se faisant
passer pour quelqu'un du milieu.
3-Consolider
ces dires
De nombreuses
personnes sont souvent soupçonneuses donc ils existent quelques
méthodes
permettant de renforcer sa position.
|
-La meilleur à mon
goût est l'envoi d'un mail anonyme au préalable
avec·l'adresse
mail de la personne que l'ont prétend être ( la plupart
des personnes ignore que l'ont peut faire ce genre de chose
et donc ceci casse toutes résistances ) .Dans ce mail il
faut juste parler de nos intentions genre : « Attention
nous faisons une campagne
de sécurisation des donnés et nous avons besoin de mots
de passe pour vous en donner des plus solides que personne
ne
pourra retrouver ».
-L'utilisation du téléphone
est pratique. On demande à la personne de nous rappeler
plus tard ( 20 à 30 minutes) sur le téléphone de la
personne que l'on est censé être. La, il faut
embrouiller
la
personne en lui demandant de faire très vite. On
raccroche alors le téléphone. Mais là il s'agit de
rappeler très rapidement
( 5 minutes avant que la personne est dut nous rappeler ).
La personne va être plus en confiance car on lui dit que
l'on a
fini plutôt ce que l'on etait censé faire. Et voilà le
tour et joué. |
Conclusion
On a donc vu que il
peut être aisé de manipuler des gens afin d'obtenir
ce que l'on
veut car pour cela il n'existe pas vraiment
de méthodes précise même si l'attaque suis toujours un
certain types
: c'est à dire une phase de renseignement et une d'attaque. Par
ce genre de méthode vous pouvez obtenir presque n'importe
quoi si la cible n'a pas mise en place de bon moyen de sécurité
et surtout fait une prévention efficace. La
prochaine fois je vous montrerais des attaques plus performantes
en se servant d'outil informatique ; en utilisant d'autres
moyens que le téléphone et je vous montrerais comment mener
une campagne de sécurisation efficace ( même si aucune
protection ne le sera jamais à 100 %). J'espére
que cette article vous aura plus même s'il est un peu lourd mais
bon il n' y a rien de bien compliquer alors essayer ce genre de
techniques rien qu'une fois pour vous donner un aperçut de sa puissance.
-----------------------------------------------------------------------
Fourmis
Pour
me contacter :
Fourmis : psychotik@voila.fr
|