Le Social Engineering

Aujourd'hui, j'aimerai vous parler d'une pratique très utile dans le cas d'une véritable attaque ciblée : l'ingénierie sociale (Je préfère le terme anglais de social engineering). On parlera certes de social, mais surtout de sécurité !

Je ne suis pas du tout un expert en Social Engineering, je trouve juste ces "méthodes" très intéressantes et beaucoup de personne pensent être à l’abri.

Déjà, qu'est-ce que c'est ?
Je vous laisse la définition Wikipédia ( https://fr.wikipedia.org/wiki/Ing%C3%A9nierie_sociale_%28s%C3%A9curit%C3%A9_de_l%27information%29 ) et je vais tenter de l'expliquer avec mes propres mots.
Le social engineering c'est le principe de "hacker" les gens. C'est à dire profiter d'eux pour récupérer des données, mots de passe, accès, ... Mais c'est aussi le fait de récupérer un maximum d'information et de comprendre le fonctionnement de ces gens pour pouvoir deviner (par exemple) leur mot de passe.

On peut décliner le social engineering sous plusieurs méthodes allant de :
- La plus vicieuse, devenir "ami" avec quelqu'un dans le but d'être une personne de confiance pour lui et donc de pouvoir lui voler un maximum d'infos.
- La plus simple, faire les poubelles... On retrouve beaucoup de documents plus ou moins "secrets" dans les poubelles (utilisez un destructeur de documents...).
- La plus "agent secret", où il suffit tout simplement d'espionner la personne (va souvent de pair avec la méthode précédente).
- La plus connue, le phishing (ou hameçonnage) où on vous envoie un mail, ou un site falsifié pour que vous donniez vous-même vos identifiants, données ou cartes bancaires.
- La plus outillée, où le principe est d'utiliser des outils de recherche et internet.

Et il y en a d'autre...

On va juste s'arrêter un petit peu sur la dernière méthode, parce que c'est la plus utilisée. On appelle ça l'OSINT (Open Source INTelligence) !
Comme je l'ai décrit, le principe est de récupérer toutes les informations à notre disposition sur internet. Généralement on utilise Google et les réseaux sociaux, mais on peut facilement les coupler avec certains sites. Je vais essayer de donner un exemple :

Vous détestez votre collègue Jean-Mouloud et vous voulez donc accéder à son compte facebook pour pouvoir mettre des messages contre l'indépendance de la Bretagne.
Vous allez donc chercher son nom sur Google et vous trouvez son adresse mail : [email protected] !
Une fois son mail en poche, vous regardez sur https://haveibeenpwned.com/ si ce mail apparaît déjà dans une base de données de comptes "hackés". Et là, miracle il est dans une fuite dropbox.
Vous avez plus qu'à récupérer le mot de passe de ce compte (disponible avec un peu de recherche) et à espérer qu'il ai utilisé le même mot de passe pour son compte Facebook.

Jusqu'à la connexion sur le compte Facebook, les outils utilisés sont légaux (rien n'interdit de télécharger un txt sur internet, même s'il contient des mots de passe). Ici le principe était simple mais on peut facilement partir sur du social engineering plus compliqué.



Bon, c'est beau tout ça, on récupère plein d'informations mais comment on peut se "protéger" des autre gens ?
Eh bien, juste en faisant attention !
- Verrouillez bien votre PC quand vous êtes au travail ou dans un lieu public et que vous bougez (c'est dingue le nombre de PC pro allumé dans un train).
- Ne divulguez pas les données "sensibles" à l'oral mais sur un moyen "effaçable" et chiffré (un mail), ou sur quelque chose de destructible (Un papier, si on prend soin de pas le laisser trainer). Ou alors faites ça dans un endroit sûr et privé.
- Ne faites surtout pas "trop" confiance à quelqu'un. C'est une mauvaise idée que de dire "Je te connais, je peux bien te dire des secrets mais les répète pas"
- Essayez d'utiliser un générateur de mot de passe et un coffre-fort numérique (comme keyPass). Vos mots de passe ne pourront plus être "devinés".
- Ne laissez pas les comptes et mots de passe par défaut (ouais je sais, c'est pas vraiment du Social Engineering)
- Évitez de laisser un maximum d'info qui peuvent relier votre identité "publique" (typiquement, votre identité de choual où vous faites des csb) et votre identité "privée" (Jean-Luc Asseque, comptable à Montcuq).

Même si la dernière est moins facile à mettre en place, surtout si on utilise toujours le même pseudonyme depuis longtemps... Et qu'on est sur internet depuis son plus jeune âge.


Si le sujet de l'OSINT vous intéresse, je vous propose de regarder ce site :
https://www.sourcing.games/

Il s'agit d'un "jeu" où le principe est juste de récupérer des informations grâce à internet.