Pénétrer les failles humaines

C’est l’été, il règne une chaleur étouffante. Dans le tas de courrier, la secrétaire d’une société trouve une lettre de la Ville l’informant que, pour des raisons sanitaires, tous les climatiseurs doivent être révisés. Elle ne s’étonne donc pas de recevoir, peu après, l’appel d’une entreprise de climatisation. Et le jour du rendez-vous, le technicien a carte blanche pour réaliser son intervention. Faisant mine de triturer les climatiseurs, l’homme en bleu de travail s’introduit dans la salle des ordinateurs et y soustrait des informations cruciales sur l’entreprise…

Ce scénario digne d’un James Bond n’est pas le fruit de la Warner Bros. Company, mais d’une entreprise de sécurité informatique genevoise du nom de DFI Service SA. Jérémy Voisin et sa petite équipe d’ingénierie sociale l’ont d’ailleurs mis à exécution pour un client désirant éprouver la sécurité de son organisation. Et dans le rôle du soi-disant technicien en climatisation se cachait un hacker. Mais qu’on ne se méprenne pas sur son compte: ce hacker-là, appelé pentester, agit «du bon côté» tout en maîtrisant les ruses des escrocs qu’il empêche d’agir. Et le but d’une intervention telle que celle-ci n’est pas de piéger l’entreprise, mais de lui montrer ses failles et de lui apprendre à les combler.

Hacker l’humain

L’ingénierie sociale ou l’art d’utiliser la crédulité des futures victimes dans le dessein de réaliser des profits financiers. Ce courrier électronique émanant prétendument de Paypal, Apple ou DHL vous demandant de fournir vos coordonnées bancaires? Ingénierie sociale. Ou, très en vogue actuellement, ces menaces de dévoiler des images de vous en train de visionner un film X sur votre ordinateur. Une pratique de chantage pécuniaire nommée sextorsion qui est également du ressort de l’ingénierie sociale. «Ces attaques par e-mail exploitent quatre émotions naturelles: la peur (sextorsion), l’avidité (typiquement les promesses de gain), l’urgence (“Attention, vite, votre mot de passe va expirer!”) et la curiosité (“Clique sur ce lien pour voir la vidéo de chats trop mignons!”)». Mais l’ingénierie sociale ne se limite pas aux contacts virtuels, elle fait également des miracles dans la vraie vie. Pour Jean Lejeune, expert en sécurité informatique chez Immunit à Nyon, tout acte faisant appel à la créativité, l’agilité, la force de persuasion et visant à abuser d’autrui est du domaine de l’ingénierie sociale. «On pourrait imaginer qu’un jour, vous vous fassiez voler votre vélo, puis qu’il réapparaîtrait accompagné d’un mot d’excuse et de places de concert. Lorsque vous revenez de votre soirée… vous trouvez votre appartement vidé par un cambriolage», illustre-t-il.

Savants bricolages

Revenons au soi-disant réparateur de climatisation. «C’est un exemple de mission assez atypique, car nous n’effectuons pas fréquemment d’intrusion physique. Mais c’est un domaine, appelé redteaming, que nous souhaiterions développer.» Et comment les missions se mettent-elles en place? «Le client doit approuver tous les tests que nous lui proposons. Avant d’attaquer, nous entreprenons un long travail de préparation afin de baliser au maximum le terrain. Pour limiter le risque de nous faire repérer, nous espaçons nos interventions, ce qui fait qu’un mandat dure généralement au moins deux mois.» En montrant un T-shirt apparemment banal, il poursuit: «Ça, c’est l’uniforme que notre collègue portait durant la mission. Comme l’entreprise dans laquelle il était censé travailler existe vraiment, nous avons fait fabriquer ce vêtement en y imprimant simplement le logo de la société. Son rôle, il se l’est approprié en répétant comme un véritable acteur, anticipant chaque question possible.» Et le courrier officiel annonçant la révision des climatiseurs, c’était un faux également, que la bande d’ingénieurs a bricolé elle-même.

Malchance non programmée

Il arrive malgré tout que les multiples et longs préparatifs ne suffisent pas. «Un jour, un collègue a appelé la réception de l’entreprise testée en se faisant passer pour un technicien de la société de maintenance informatique. Son but était de convaincre la réceptionniste de prendre la main sur son ordinateur, chose qu’elle aurait dû refuser en l’absence d’une directive émanant de ses supérieurs. Et là est arrivé ce que nous n’avions pas prévu, la réceptionniste lui a répondu que, justement, un de nos collègues se trouvait à côté d’elle et qu’elle allait lui passer le combiné pour simplifier le travail. Le véritable technicien informatique lui a demandé son nom et a rapidement compris que quelque chose clochait. Mon collègue a tenté de rattraper le coup en lui demandant à quel numéro il pouvait le rappeler pour lui parler en privé. Il s’est vu répondre un peu discret «Au numéro que vous être en train d’usurper!» Deux semaines de préparation réduites à néant par un coup du sort, c’est aussi ça le quotidien d’un pentester.

«Ma foi, ça fait partie du jeu, mais c’est quand même difficile à vivre», sourit le jeune homme. Et de relever les sentiments schizophrènes que leur inspirent leurs démarches: «Lorsque personne ne clique sur l’e-mail frauduleux qu’on a mis tant de soin à produire, on se sent à la fois frustré et content de constater que les employés sont bien conscients des dangers.» A l’issue d’un mandat de sécurité, le but étant que les problèmes aient été pointés, mais aussi résolus. DFI Service propose d’ailleurs des formations en petits groupes d’une dizaine de personnes pour mieux sensibiliser les participants aux risques qu’ils encourent.

Usurpations en tous genres

Car les risques ne manquent pas. Jean Lejeune: «Grâce à des recherches sur les sites internet, les réseaux sociaux et les journaux, l’escroc va étudier la compagnie et ses prestataires externes. Il va ensuite cibler ses attaques sur le service qui fait le lien entre les deux. Parmi les techniques utilisées, on trouve celle dite de “l’arnaque au président“. L’attaquant profite des vacances du PDG de l’entreprise, une information qu’il aura par exemple glânée sur son profil Facebook, pour prendre contact avec son adjoint. Et pour instaurer la confiance, il se déclare au courant de l’absence du directeur en donnant le maximum de détails, comme la destination du voyage. Evidemment, pour appeler, il utilise un des nombreux services disponibles sur internet pour usurper le numéro de téléphone de sa prétendue société.» Ce scénario paraît farfelu? Il ne l’est pourtant pas. Des entreprises renommées se sont fait avoir, comme les cinémas Pathé qui ont perdu l’an dernier 19 millions d’euros à cause d’e-mails frauduleux. En Suisse, dans un contexte où les escroqueries sont en hausse, la cybercriminalité, elle, explose. La police vaudoise l’a bien compris en publiant sur internet une vidéo instructive mettant en garde contre les attaques utilisant l’ingénierie sociale*.

Paranoïa de rigueur

Faut-il devenir parano pour autant? Pour Jean Lejeune, cela ne fait aucun doute: «Contrairement à ce que 90% des gens pensent, internet n’est pas magique! Dès qu’on monte en compétence et qu’on se rend compte de tout ce qu’on est capable de faire, on devient parano, bien sûr. Mais je dirais que c’est une paranoïa saine.» Reste que certaines mesures préconisées sont très contraignantes et chronophages, donc difficiles à appliquer (voir encadré). «C’est évident qu’il faut faire des choix pour que la sécurité n’empêche pas de travailler. A certains moments, on peut décider de déplacer le curseur plus vers l’un ou l’autre», nuance son confrère.

Néanmoins, certains principes de base sont à appliquer impérativement. Pour preuve, la démonstration éclatante que m’a proposée Jérémy Voisin. Lorsque j’ai contacté son entreprise, la réception a pris note de mon nom, ma fonction et mon numéro de téléphone. Lui ne m’a rappelée qu’après avoir vérifié que j’étais bien la journaliste que je prétendais être. Et lorsque je me suis présentée à notre rendez-vous, il m’a montré le fruit de ses recherches: en cinq minutes, il avait pêché sur internet mes coordonnées complètes, mon adresse e-mail et mes mots de passe (en vérité, inutilisés depuis longtemps, mais quand même!). Tout cela alors que je ne possède de compte sur aucun réseau social. Moralité: je me suis empressée de me désinscrire d’un annuaire en ligne et me suis fait la promesse solennelle de ne jamais, au grand jamais, ressortir mes vieux mots de passe…

*Le social engineering, comment ça marche? Une courte vidéo explicative de la police vaudoise