Le social engineering par l'exemple

Le social engineering est un type d'attaque informatique. Avec l'amélioration des technologies, pénétrer un système informatique est de plus en plus complexe. La solution est donc de passer par le maillon de la chaîne de sécurité trop souvent oublié : l'humain. L'objectif est de manipuler un interlocuteur pour pouvoir effectuer à notre place une action qu'on ne peut pas faire soi-même, ou donner des droits ou informations qu'on ne devrait pas avoir.

J'ai eu l'occasion de pratiquer ce type d'attaque pour une petite blague sur le site du Bureau des Élèves de mon école, voici un petit résumé de tout ça :

Important

Les attaques sur les systèmes informatiques sont illégales et sévèrement punies par la loi. Dans mon cas, j'ai signalé aux responsables la modification et la méthode utilisée pour la corriger, et la modification ne perturbait pas l'utilisation du site ni ne nuisait à l'image de qui que ce soit. C'est pas légal pour autant, mais bon. Bref, cet article a un but de sensibilisation, et n'est en aucun cas un mode d'emploi. Si vous avez des ennuis c'pas mon problème, vous êtes prévenus !

Le contexte

Ça part d'une blague, ou plutôt d'un pari stupide : modifier le logo sur le site du BDE de l'école. Je n'ai pas d'accès particulier au site, donc pas de moyen conventionnel de faire ça a priori. Il va donc falloir être plus ingénieux.

Première approche

Je vais sur le site en question, monsitebidon.com. Le logo d'origine est là, il me nargue. Bon, je fais quelques essais, des fois qu'il y ait un truc évident, mais rien. Je modifie l'adresse pour me rendre sur monsitebidon.com/admin. Bingo, formulaire de connexion. Encore mieux, formulaire d'inscription. Bah écoute, je tente. Je m'inscris en tant qu'asso bidon de l'école, et donne une adresse mail jetable (yopmail par exemple).

Je reçois sur l'adresse yopmail un mail confirmant ma demande d'inscription, qui va être vérifiée blablabla. Et je remarque un détail intéressant : l'expéditeur du mail, dont l'adresse mail est martin@entreprise.com. Et entreprise est un prestataire qui fabrique des sites. Intéressant. Donc on a une entrée possible.

Contact

Je le tente au culot. Depuis mon adresse mail de l'école (prenom.nom@monecole.fr) j'envoie un mail à martin@entreprise.com :

Bonjour,
Je suis membre de la vie associative [Ecole], et, dans le cadre de l'activité de mon association, nous souhaiterions que le logo principal du site du BDE (page d'accueil) soit remplacé par celui en pièce jointe durant un temps limité (24h).
Le BDE m'a dit qu'il n'avait pas les accès pour faire cela, et de vous contacter directement pour que vous le fassiez ou pour avoir les accès pour le faire.
Il s'agirait de remplacer le logo [petite description succinte du logo] par celui en pièce jointe entre mercredi 22 avril à 16h et jeudi 23 avril à 16h, puis de remettre l'original.
Toutes mes excuses pour cette solicitation tardive, nous avons eu des problème de d'organisation. Pouvez-vous me confirmer si cela est possible pour vous ?
Merci d'avance,
Cordialement,

Suivi de ma signature avec mon nom, élève en Xe année au département bidule, président de l'association truc (que je suis réellement pour le coup, mais rien ne le garantit), blabla.

Un peu de psychologie

Je suis certainement pas psychologue, je laisse ça a des gens plus intelligents que moi, mais certains détails de ce mail ont peut-être permis le succès de la manoeuvre (roh le spoil !).

• Le mail vient d'une adresse @monecole.fr : techniquement ça ne vaut rien, c'est facile à usurper. Mais à vue de nez, pas de soucis, pas de raison de se méfier.
• Un mail poli, bien écrit : un truc écrit à l'arrache ne marchera pas. Une faute de frappe ou deux, ça passe (j'en ai fait une d'ailleurs) mais un mail en google translate ou en langage SMS c'est même pas la peine.
• Le BDE m'a dit que : j'ai eu leur contact de manière tout à fait régulière, c'est carré.
• La durée est limitée : boarf, au pire c'est que 24h
• Désolé pour le retard : un mec qui s'excuse poliment, ok, bon, sympa
• La signature, propre, petit logo, président de l'asso truc, ça roule

Un autre détail est l'heure : 16h. Le mail a été envoyé a 20h43 le mardi. Si je lui demande trop tôt, le mec aura pas le temps et voudra probablement pas. Si je le mets un jour plus tard, le mec aura éventuellement le temps de confirmer la demande avec le BDE.

L'objectif est de faire comprendre au mec qu'on a la pression, pour l'encourager gentiment à se dépécher, sans transférer la pression sur lui auquel cas il m'enverrait voir ailleurs.

Résultat

A 16h, le logo était là, et j'ai même reçu un mail d'un supérieur de Martin pour me dire qu'il l'avait fait gratuitement parce que j'étais gentil mais que normalement le contrat était fini. Je lui ai répondu en m'excusant, je savais pas que le contrat était fini et merci bien d'avoir fait la modif, bisous, paix sur ta famille pour les 3 générations à venir. C'est un succès !

Conclusion

Après avoir fait valider la réussite du pari (Kévin, tu dois m'offrir TESO), j'ai signalé la blague au BDE, qui a contacté le presta par téléphone pour l'engueuler et lui faire remettre le bon logo. Notons au passage que le presta n'a absolument pas vérifié l'identité de la personne qui était au téléphone.

Alors premier point sur la sécurité : oui, il ne s'agissait que d'une image, et pendant 24h. Mais ça peut ouvrir la porte à d'autres modifications plus inquiétantes. De plus, j'ai fait ça sur un coup de tête à 20h entre deux bières. Le plus long a été de modifier le logo. Ça en dit long sur les possibilités pour une équipe spécialisée avec du temps et des ressources.

Où est la faille ? La faille, c'est Martin, qui est sympa, qui bosse avec des étudiants et donc c'est pas louche si c'est un peu à l'arrache. Du coup Martin n'a pas vérifié les infos que je lui ai envoyées par mail auprès de l'interlocuteur habituel du client. Vilain Martin. Martin (et son supérieur) ont voulu être sympas. Manque de bol, je le suis pas. En plus, ils sont probablement au courant qu'il y a une filière sécurité informatique pleine de petits malins dans l'école en question (et si ils l'étaient pas, maintenant ils le sont).

La conclusion est simple : VERIFIEZ LES INFORMATIONS. Martin aurait passé un coup de fil ce matin au numéro indiqué dans la base client, ça n'aurait pas fonctionné. Je pense que Martin fera gaffe maintenant. La bonne question à vous posez, c'est êtes vous Martin ? Et dans votre boîte, combien de Martins vous entourent ? Ce nouveau sympa qui discute avec vous à la machine à café, quelles informations lui donnez vous ? Est-il censé les avoir ?

Cette attaque n'a nécessité aucune connaissance particulière en informatique. Juste un peu de psychologie de base et de la rédaction pour le mail.

Vous vous seriez fait avoir ?