Le blog de Genma
Vous êtes ici : Accueil » Blog » Sécurité - Petit scénario de social enginering

Sécurité - Petit scénario de social enginering

D 25 avril 2019     H 09:00     A Genma     C 2 messages   Logo Tipee

Imaginons le scénario suivant, fictif mais plausible, que j’ai imaginé. Je le soumets à votre analyse.

Dans le TGV, un attaquant repère un PC sur lequel on a un signe distinctif sous la forme d’un gros stickers collé sur le dos du PC. Le sticker étant le logo d’une entreprise. Cela donne une information précieuse, un moteur de recherche permettant de très rapidement d’avoir des informations complémentaires sur la dite société et l’intérêt potentiel que peuvent avoir les données confidentielles du PC (si il y a).

Le PC portable n’a pas d’écran de confidentialité, son utilisateur se connecte. On a donc son identifiant / nom. Autre solution, attendre que la personne aille aux toilettes en laissant son PC verrouillé (qu’il se verrouille de façon automatique ou qu’il soit vérouillé de façon manuelle par l’utilisateur sensibilisé aux problématiques de confidentialité) et bouger la souris : l’identifiant apparaît. Une bonne mémoire ou un appareil photo sur smartphone peuvent aider à retenir l’information.

A la voiture bar, un complice discute avec la personne "j’ai vu que vous étiez de l’entreprise X, cf les logos sur votre PC... Je suis intéressé". Échange de cartes de visite, on récupère le nom et le numéro professionnel de la personne, le login confirme qu’on a bien à faire à la bonne personne. Avec sa carte de visite, on a la position dans la hiérarchie de la personne.

On vole le PC. Ce PC est peut être chiffré et bien protégé (on peut espérer), il faut donc aller plus loin. On fait alors intervenir des méthodes de social engineering / ingénieure sociale classique

Vu que l’on a le numéro de portable professionnel de la personne, on l’appelle et on tient le discours suivant "C’est le service informatique. Votre PC a été retrouvé aux objets trouvés de la SNCF et nous a a été remis. On a besoin de changer votre mot de passe car il a été forcé sans succès et ça a verrouillé le PC, on doit mettre un différent, c’était quoi votre mot de passe avant ? Vous inquiétez pas comme on l’a retrouvé rapidement, pas besoin de déclaration ou on fera annulé les procédures en cours... " On joue sur l’urgence et le stress de la personne, l’affect / la compassion... On joue selon les réactions de la personne, qui après avoir vu son PC volé voit son PC retrouvé et est probablement contente...

Et on accède aux données / on a un point d’entrée sur le réseau de l’entreprise (via le VPN) pendant quelques heures le temps que la personne s’aperçoivent que finalement l’appel n’était pas un véritable appel du vrai service informatique.

Moralité et ce que nous apprend ce scénario fictif :
 chiffrement du PC en mobilité obligatoire ;
 sensibilisation du personnel au social engineering ;
 pas de signe distinctif sur le PC ;
 PC dédié pour les voyages avec le minimum de documents ou une façon autre de les récupérer (nécessite alors d’avoir des accès sécurisés aux services Cloud de l’entreprise, mais c’est un autre histoire).

2 Messages

  • Hello Genma,

    Si PC non chiffre, modification du mot de passe avec un LiveUSB ( via SAM ) pour pouvoir utiliser la session.
    Si PC toujours non chiffre, aspiration des données dessus pour avoir les contacts, les documents de la personne, la il y a fort potentiel de chantage.

    PC Chiffre :
    Souvent PC professionnel = Lenovo T440 ou ce genre, si on en a un identitque, on peut changer le nom de sa session et mettre celui vu precedemment, mettre le meme theme, recuperer le sticker et le coller, et laisser la personne taper le mot de passe ( prealablement un keylogger doit tourner ) comme ca on a son MDP pour dechiffrer le disque ? (ce scenario la est certe pousse, mais ca me parait pas fou si on cible quelqu’un ).
    Si TER, des fois il y a des miroirs au plafond donc si la personne tape son mot de passe on peut peut être l’enregistrer ^^


  • Hum, je ne suis pas expert·e mais, si la session a été ouverte, c’est que le disque est déchiffré. Voler le PC, sans l’éteindre, puis faire une copie à chaud, ça devrait être jouable, non ? Voire juste faire la copie à chaud pendant que læ complice tient la jambe de la victime. Ni vu ni connu et la personne ne se doute de rien.