Sécurité - Petit scénario de social enginering

, par  Genma , popularité : 1%

Imaginons le scénario suivant, fictif mais plausible, que j’ai imaginé. Je le soumets à votre analyse.

Dans le TGV, un attaquant repère un PC sur lequel on a un signe distinctif sous la forme d’un gros stickers collé sur le dos du PC. Le sticker étant le logo d’une entreprise. Cela donne une information précieuse, un moteur de recherche permettant de très rapidement d’avoir des informations complémentaires sur la dite société et l’intérêt potentiel que peuvent avoir les données confidentielles du PC (si il y a).

Le PC portable n’a pas d’écran de confidentialité, son utilisateur se connecte. On a donc son identifiant / nom. Autre solution, attendre que la personne aille aux toilettes en laissant son PC verrouillé (qu’il se verrouille de façon automatique ou qu’il soit vérouillé de façon manuelle par l’utilisateur sensibilisé aux problématiques de confidentialité) et bouger la souris : l’identifiant apparaît. Une bonne mémoire ou un appareil photo sur smartphone peuvent aider à retenir l’information.

A la voiture bar, un complice discute avec la personne "j’ai vu que vous étiez de l’entreprise X, cf les logos sur votre PC... Je suis intéressé". Échange de cartes de visite, on récupère le nom et le numéro professionnel de la personne, le login confirme qu’on a bien à faire à la bonne personne. Avec sa carte de visite, on a la position dans la hiérarchie de la personne.

On vole le PC. Ce PC est peut être chiffré et bien protégé (on peut espérer), il faut donc aller plus loin. On fait alors intervenir des méthodes de social engineering / ingénieure sociale classique

Vu que l’on a le numéro de portable professionnel de la personne, on l’appelle et on tient le discours suivant "C’est le service informatique. Votre PC a été retrouvé aux objets trouvés de la SNCF et nous a a été remis. On a besoin de changer votre mot de passe car il a été forcé sans succès et ça a verrouillé le PC, on doit mettre un différent, c’était quoi votre mot de passe avant ? Vous inquiétez pas comme on l’a retrouvé rapidement, pas besoin de déclaration ou on fera annulé les procédures en cours... " On joue sur l’urgence et le stress de la personne, l’affect / la compassion... On joue selon les réactions de la personne, qui après avoir vu son PC volé voit son PC retrouvé et est probablement contente...

Et on accède aux données / on a un point d’entrée sur le réseau de l’entreprise (via le VPN) pendant quelques heures le temps que la personne s’aperçoivent que finalement l’appel n’était pas un véritable appel du vrai service informatique.

Moralité et ce que nous apprend ce scénario fictif :
 chiffrement du PC en mobilité obligatoire ;
 sensibilisation du personnel au social engineering ;
 pas de signe distinctif sur le PC ;
 PC dédié pour les voyages avec le minimum de documents ou une façon autre de les récupérer (nécessite alors d’avoir des accès sécurisés aux services Cloud de l’entreprise, mais c’est un autre histoire).