“Social Engineering, The art of Human Hacking” de Christopher Hadnagy (en anglais) permet de découvrir ce qu'est réellement le "Social Engineering" et ainsi de mieux s'en prémunir. Sa lecture devrait être obligatoire pour tout bon RSSI.
Tout d’abord il faut noter le petit mot de Kevin Mitnick sur la page de couverture qui nous donne une idée du sérieux de l’auteur pour ceux, rares je l’espère, qui ne le connaissent pas déjà.
En quelques mots, Christopher Hadnagy participe activement à www.social-engineer.org, le premier site mondial sur le « Social Engineering ». Il a aussi collaboré avec l’équipe de www.backtrack-linux.org et est actuellement formateur pour « Offensive Security ». Impressionnant non ! Chris (je me permets cette familiarité bien amicale), Chris, disais-je, est convaincu que la sécurité passe par l’éducation. Moi aussi ! (mais ce n’est pas le sujet!)
Chris décrit les différentes méthodologies pour rassembler des informations sur une cible potentielle et les outils associés. Ses principales sources d’information sont internet bien sûr (l’émergence des réseaux sociaux facilitant grandement cette étape), l’observation directe, et également celle du contenu des poubelles. Oui, oui , j’ai bien dit « poubelles » et les informations que l’on y trouve sont toujours surprenantes (selon Chris bien sûr; cette activité est totalement illégale en France).
Selon Chris toujours, l’élicitation (activité chère à nos agents très spéciaux) est un art très difficile à maitriser. Elle consiste (entre autres choses) à user de stratagèmes comportementaux pour manipuler votre cible afin qu’elle vous donne les informations dont vous avez besoin pour mener à bien votre mission.
Mais pour établir le contact avec votre cible, il est souvent nécessaire de créer un scénario et un personnage très crédibles. C’est ce que Chris appelle le « pretexting », on pourrait dire « prétexter » en français. Cette technique nécessite une préparation très importante comportant une recherche d’informations en amont, l’intégration d’intérêts personnels pour augmenter votre propre crédibilité et de nombreuses répétitions (n’oubliez pas qu’il est obligatoire de rester dans la légalité).
Bien entendu Chris ne peut pas échapper à la description de quelques principes psychologiques fondamentaux dont la PNL (Programmation Neuro Linguistique). La sécurité rejoint la communication !
Mais pour influencer et surtout persuader, il est parfois nécessaire de manipuler (toujours avec intégrité). Pour cela Chris nous donne quelques techniques dont le « framing » permettant d’altérer la réalité. En d’autres termes le « framing » consiste à présenter des faits d’une manière légèrement différente permettant de transformer quelque chose généralement considéré comme mauvais en quelque chose de bon. Ca fait peur, non ?
Mais le « social engineer » a également besoin d’une boite à outils techniques parmi lesquels on trouve l’incontournable « Maltego » permettant de rassembler des informations via internet sur une personne ou une entreprise, et le fameux SET (Social Engineering Toolkit) pour entre autres choses créer automatiquement un site web de phishing afin de récupérer des mots de passe. Mais on y trouve aussi les bons vieux outils de « lock-picking » ou comment ouvrir une porte sans en avoir la clef, et les bonnes vielles caméras « espions ».
Chris termine son livre en disséquant ses propres études de cas et celles de Kevin Mitnick. C’est passionnant !
On échappe évidemment pas à quelques bonnes références sur l’art de la guerre de Sun Tzu qui jalonnent le livre. Un vrai régal !
Bonne lecture!
PS: vous trouverez plus d’informations sur SET dans les articles suivants:
