Comment j ai fait du social engineering... inconsciemment

, par  Genma , popularité : 4%

L’ingénierie sociale

L’ingénierie sociale ("social engineering") est une technique qui vise à accéder à des informations confidentielles ou à certains actifs par la manipulation de personnes qui y ont accès directement ou indirectement. Le « phishing » (hameçonage) est un exemple d’ingénierie sociale.

Je ne m’attarderai pas plus sur le concept, on trouve des tas d’informations sur le sujet et quand on est à minima sensibilisé à la sécurité en informatique, le concept d’ingénierie sociale est quelque chose que l’on connaît. Dans le présent billet je voudrais relater une aventure que j’ai eu dans laquelle j’ai, comme le dit le titre de ce billet de blog, fait du social engineering... inconsciemment.

Mon anecdote

Dans le cadre de mon travail, j’avais besoin d’un accès à une plateforme particulière. Fin de journée, journée difficile. La seule personne qui a le compte d’accès est partie et est dans les transports en commun. Je l’appelle. La personne estime que la création d’un compte pour moi peut attendre son arrivée chez elle d’ici une heure, quand elle aura accès à un ordinateur.

Journée difficile pour moi, j’ai un stress communicatif et je mets donc la personne en situation de stress. Elle insiste sur le fait que cela puisse attendre ; j’insiste sur l’urgence et la nécessité de pouvoir me connecter. Je demande son identifiant et mot de passe pour pouvoir me connecter et faire la manipulation de création de compte.... La personne a fini par m’envoyer dans l’urgence via un canal sécurisé (un sms via Silence avec action du chiffrement) son identifiant et mot de passe. J’ai pu accéder au site web, m’ajouter un compte administrateur (avec un mot de passe issu de Keepass).

Le lendemain, j’ai fait une sensibilisation à l’hygiène numérique au collaborateur. En effet, étant désormais en possession de son mot de passe, même si elle peut avoir confiance en moi, cette confiance doit rester relative. Je l’ai donc inviter à changer son mot de passe et surtout à vérifier que le mot de passe donné était utilisé uniquement pour ce compte là et non un mot de passe générique que la personne utiliserait partout / pour tous ses comptes (règle d’hygiène numérique de base : avoir un coffre-fort numérique de mot de passe comme Keepaas).

En quoi est-ce de l’ingénierie sociale ? Et ce qu’il faut retenir de tout ça

Dans mon cas, le stress communicatif a fait que j’ai obtenu le mot de passe. Je ne l’ai pas fait volontairement, mais j’ai agi en utilisant une technique bien connue de l’ingénierie sociale : mettre la personne en situation de stress, avoir un ton direct et autoritaire, jouer sur l’autorité, l’urgence. Trouver le levier qui fait que la personne cède. On peut aller loin juste en parole : "tu ne veux pas que j’appelle ton supérieur qui alors va te faire des remontrances..." par exemple.

Cette expérience montre donc qu’il est très simple de faire de l’ingénierie sociale. Dans mon cas la personne me connaissait et j’avais une relation de hiérarchie indirecte sur elle. Mais si cela avait été un attaquant, sûr de lui, sachant pertinemment ce qu’il faisait avec un collaborateur ayant accès à des données plus sensibles ?

Nous avons eu une formation de sensibilisation à la sécurité. Je prévois de moi-même en faire d’autres. Nous avons et nous continuons sans cesse (dans le cadre de l’amélioration continue) améliorer notre politique de gestions des comptes et des mots de passe (je dois faire un billet dédié sur le sujet).

Mais on constate que malgré tout ça, il reste encore des services qui ont un seul accès maître détenu par une seule personne, ce qui est un point de fragilité, comme le montre mon histoire (quid d’une personne en congés etc...). Et que l’on a beau mettre en place toutes les mesures de sécurité que l’on veut, la faille de l’humain reste encore la plus facile à exploiter...

Il faut dès que possible favoriser une double authentification car dès lors que l’on a un identifiant et un mot de passe