>< :O :o :I :! :/ L'art du social engineering :O :o :I :! :/ >< par NeurAlien Si utile contre les grosses entreprise "à la big brother", le social engineering permet d'attaquer un des points les plus faible de la société: le personnel. Je vais vous enseigner ici les choses que j'ai connue d'une pratique courante et de l'enseignement de The Dude, maitre en l'art du social engineering à Hack-Tic en Hollande. Tout d'abord, le concept. Le social engineering couremment abrevié SE est l'art de se faire passer pour quelqu'un d'autre pour avoir des informations sur n'importe quoi. Pour cela, il faut etre convaicant, réagir comme la vraie personne et surtout utiliser beaucoup de psychologie. Exemple de SE classique: Employée de FT au service exterieur: "France telecom bonjour," Hacker: "Bonjour, Monsieur Levallois du CPE d'Orléans" [Toujours essayer de placer le maximum d'acronymes dans la conversation] H: "Nous avons besoin de la liste des préfixes de numéro vert internationaux par pays car nous avons un problème avec un des carriers." FT: "Pardon? Je ne comprends pas bien. " H: "J'ai besoin de la liste des 0590 indiquant le pays selon le préfixe!" FT: "Attendez monsieur, je cherche... alors, Pour sprint....." [ Et voila, c'est gagné ! ] LA REGLE ULTIME DE CET ART Il y a une chose et une seule qui vous garantira une maitrise parfaite des correspondants lors d'une séance de SE, c'est la PRATIQUE. On peut lire tout ce que l'on voudra sur la serrurerie, si on ne pratique pas, on ne sera jamais un serrurier. Donc lisez ce G-Phile avec toute l'attention que vos cellules grises peuvent y mettre et lancez vous. Quelques règles de base: ======================= - preparez un petit papier avant d'appeler mentionnant qui vous etes, ce que vous voulez et preparant des reponses toutes prêtes pour certaines questions bateaux. Mettez au point le scenario, votre nom, ce que vous voulez. - Toujours garder l'initiative dans la conversation: c'est vous qui posez les questions. - Ne pas faire du social engineering si votre voix est celle d'un jeune garcon de 13 ans. - ne jamais s'affoler ou raccrocher brutalement quand on vous pose un question qui vous dérange. - faites le par fun si vous le voulez mais vous n'aurez jamais les meilleurs résultats si vous le faites tout le temps d'une cabine sans préparation. - plus on a d'informations pointues sur la société, plus le SE est possible. Il est des fois TRES fructueux de faire les poubelles de la société avant d'essayer le SE sur ses employés. Quelques scénarios qui marchent: =============================== vous pouvez vous faire passer pour . utilisateur/acheteur . personne connue . urgence/flic/docteur . questionnaire/enquête . pour la presse, ca marche tres souvent mais on ne recoit pas d'information détaillée. Il faut aussi jouer sur les sentiments de votre correspondant: - la peur: en cas de probleme, faites comprendre que cela peut lui attirer des ennuis: foudres du patron, (pour l'employé) fisc sur le dos, (pour le petit patron d'une PME) arrestation, (pour un individu) coupure du téléphone, coupure EDF... - plaisir: collaboration contre cadeau ex: questionnaire avec un &greedy cadeau au bout si les reponses semblent véritable en expliquant que c'est parce beaucoup de monde ne répond pas en toute honneteté. On peut aussi annoncer un FAX qui doit arriver et qui est assez confidentiel et necessitant une réponse immédiate. Les bruits de bureaux en bruit de fond ou de salle d'ordinateur sont interressant. Etre à deux peut être utile car ainsi si il y a un probleme, vous dites: "bon, je vous passe mon supérieur mais il ne va pas être satisfait" appuyez sur une touche du téléphone et envoyez une petite musique directement au telephone." Ne pas dire que vous etes de la tele: cela ne fait pas reel! Pour un questionnaire, il peut être interressant de noyer les questions interressantes dans un flot de question ininterressantes. Un bon plan pour un coup de fil est: - depart lent ou on explique bien - des que la personne cède, on accélère le rythme pour qu'elle reste dans cet état d'esprit. Un autre est d'envoyer des patchs constructeurs par la poste concernant des failles de sécurité avec des backdoor dans les patchs. On peut aussi essayer de simuler un appel de la sécurité et d'envoyer un login. Il y a aussi la possibilité de se faire passer pour la femme d'un informaticien qui lui a demandé de télécharger un fichier depuis son téléphone de voiture pour qu'il puisse aller directement à un ses rendez vous apres etre passer chez lui prendre le fichier et qui n'arrive pas a se connecter. Enfin, se faire passer marche souvent bien quand on dit qu'on a un probleme car les femmes sont généralement prises pour des burnes en informatique. Utilisez les idiots. En cas de problème lors de la conversation: ========================================== Si on vous demande "Pourquoi voulez vous ceci..." 2 règles: - toujours répondre - emphase sur le "PARCE QUE" (psycho involved) (réponse bateau : "on en a besoin pour...." ) Montrer que si ils facilitent les choses vous rendrez les choses plus faciles pour eux aussi. Si votre correspondant refuse de vous répondre, demandez leur superviseur ou supérieur. Les bonnes cibles: ================= Le SE dépend énormément de votre adaptation à la personne qui est à l'autre bout du fil. Vous devez toujours être en position de supériorité. Pour cela, il faut déja attaquer des personnes qui ont l'habitude de recevoir des ordres. Ainsi, il est préférable de ne pas parler à l'administrateur mais plutot à son assistant. Bibliographie: ============= Pr. Zuin "The first 4/5 minutes" Dale Carnegie "Hoz to win friends and influence people" Baladin Press "The private handbook"