Les femmes mieux préparées aux attaques ?

Sécurité - L’être humain, maillon faible de la sécurité, plus encore s’il s’agit d’un homme d’après un concours d’attaques de social engineering organisé lors de la DefCon. Sur 135 salariés visés, seuls 5 n’ont pas divulgué les informations recherchées par les hackers. Les 5 étaient des femmes.

Les résultats d'un concours réalisé en août à l'occasion de la conférence DefCon ont été présentés aux agents fédéraux du FBI. Et ils soulignent une très grande vulnérabilité des salariés à des attaques de type social engineering.

Les femmes mieux préparées que les hommes aux attaques en "social engineering" ?

Durant les épreuves, les hackers devaient non pas réaliser une intrusion informatique mais obtenir des données potentiellement exploitables lors d'attaques ou encore de pousser un tiers à effectuer une action, comme d'ouvrir une page Web.

16 des 17 entreprises visées ont échoué

Les méthodes utilisées pour recueillir ces informations sont regroupées sous la dénomination de social engineering. En tout, ce sont ainsi 135 salariés de 17 grandes entreprises (dont Google, Wal-Mart, Symantec, Cisco et Microsoft) qui ont été contactés, par téléphone, par les hackers.

Selon un des organisateurs du concours, Chris Hadnagy, cité par Network World, seule une entreprise n'a pas divulgué les secrets que les participants étaient chargés de récupérer. Le mérite de cette société est toutefois à relativiser. Son inviolabilité tient avant tout à l'incapacité des hackers à joindre un employé.

Pour les autres entreprises, les participants ont réussi à obtenir les informations, non confidentielles, recherchées, comme le système d'exploitation, l'antivirus et le navigateur (IE6 pour la moitié des entreprises visées) utilisés par les personnes ciblées.

Les hackers ont même réussi à manipuler des salariés de façon à ce qu'elle ouvre une page Internet précise (qui en cas de véritable attaque aurait pu contenir du code malveillant, par exemple).

100% de réussite pour les hackers face à des hommes


Geek Girl


Christopher Burgess, ingénieur sécurité chez Cisco, explique à Network World qu'il est important que les salariés soient sensibilisés à ces menaces et formés afin d'adopter les comportements appropriés. D'après une enquête du Clusif, peu de moyens sont attribués en entreprise à la sensibilisation.

Précision : selon les organisateurs du concours, les femmes seraient généralement moins vulnérables à ces attaques en social engineering.

Lors de la Defcon, sur les 135 salariés (dont moins de la moitié étaient des femmes) ciblés, seuls 5 ont opposé une fin de non recevoir aux hackers. Tous étaient des femmes. Toutefois, toutes n'ont pas réagi de manière similaire. Mais chez les hommes, le taux de réussite a été de 100%.

Selon le consultant en sécurité Jonathan Ham, qui réalise des tests de social engineering dans le secteur de la finance, les femmes, plus encore lorsqu'elles ont des responsabilités de manager, sont plus difficiles à abuser car souvent plus suspicieuses.

Supercherie, Force de Persuasion, technique du caméléon

Art de la supercherie, force de persuasion, technique du caméléon,...tels sont les maîtres mots qui font la force du social engineering aujourd’hui. Cette technique qui consiste à se faire passer pour quelqu’un d’autre est en pleine expansion dans le domaine du piratage informatique, quoi de plus facile pour un pirate que de faire appel à la générosité et à la naïveté humaine pour parvenir à ces fins ? Devons-nous devenir un peu plus « paranoïaques » pour nous sentir protégés ?

Protéger ses informations

Voici en tout cas les différents aspects du social engineering. Ce type d’attaque n’est autre que le fait de « faire réaliser à une personne une action dont elle n’aurait pas pris l’initiative seule ». Aucun terme français ne correspond exactement au social engineering. On parle d’ingénierie sociale, de subversion psychologique, de psychologie sociale,… Cependant ce phénomène ne date pas d’hier et encore moins de l’informatique. Cette technique existe, en effet, depuis bien longtemps déjà.

Pour l’attaquant, cette méthode ne coûte pas cher, toutefois l’investissement en temps de recherche d’informations, de psychologie, est important. De plus, c’est une science humaine donc les résultats ne sont aucunement garantis, cependant elle ne sera que rarement détectée. Les objectifs d’une attaque de social engineering ne diffèrent pas des autres attaques : il s’agit de gagner de l’argent, de saboter,… et pour cela l’attaquant peut soit aller très vite, soit prendre son temps.

« faire réaliser à une personne une action dont elle n’aurait pas pris l’initiative seule »

Le social engineering nécessite un investissement en apprentissage :

  • aspects de psychologie, surtout sociale dont fait partie la manipulation (comment les gens réagissent à un stimulus donné ?)
  • connaissances techniques : en général, l’attaquant provient du domaine du hacking, donc le côté technique ne lui pose pas de problème. La plupart du temps, il a de bonnes connaissances sur le piratage classique, puisque bien souvent le social engineering n’est que l’une des étapes d’une attaque technique
  • documentation sur la cible et le contexte de l’attaque qu’il va mener. Il doit, en effet, trouver des informations sur la vie privée, sociale et professionnelle de la personne attaquée.

L’humain représente la cible du social engineering. Tout utilisateur dispose d’une information et toute information est bonne à prendre. Différentes cibles sont toutefois privilégiées :

  • Le support informatique car on l’appelle pour lui demander de l’aide, souvent en cas de perte de mot de passe. Cette cible est souvent utilisée par les employés, les prestataires de l’entreprise
  • Les utilisateurs de services en ligne car ils sont peu sensibilisés. Ils ont, en général, une mauvaise connaissance des habitudes des sociétés
  • Les utilisateurs réguliers du SI car ils connaissent l’organisation d’une société, les procédures. Cette cible permet à l’attaquant d’assembler un annuaire bien renseigné
  • Les nouveaux utilisateurs ou utilisateurs occasionnels (nouveaux employés, stagiaires) car ils ne connaissent pas le fonctionnement de la société. Leur sensibilisation s’avère inexistante ou naissante
  • Les administrateurs car ils connaissent parfaitement le SI. Ils ont de très bonnes connaissances et sont fortement sensibilisés. Ce type de cible est difficile et exigeant mais des attaques spécifiques existent. Les bénéfices sont très élevés.

Tout utilisateur dispose d’une information et toute information est bonne à prendre


Le social engineering est une technique qui fonctionne car elle fait appel à des caractéristiques humaines telles l’entraide ou la confiance. Pour arriver à ses fins, l’attaquant soulève différents leviers d’attaque :

  • Amitié et coopération : l’empathie, la sympathie, la détresse, la culpabilité. Il faut pour cela connaître le contexte de la cible, ainsi que certains aspects personnels du sujet. Cette méthode est relativement discrète mais nécessite souvent plusieurs tentatives
  • Usurpation d’identité et intimidation : pouvoir et soumission, diffusion de responsabilités. Cette méthode est un peu plus risquée que la précédente. Il faut disposer d’un annuaire bien renseigné sur la société, de son organigramme. Cette méthode est plus rapide puisque dans la mesure où cette méthode est agressive, un seul essai est possible
  • Sabotage : vise les administrateurs. Il s’agit de se faire connaître comme l’interlocuteur adéquat en cas de problème du SI. L’attaquant profite alors de la confiance instaurée. Cette méthode est peu discrète mais efficace
  • Techniques associées : le « trash recovering » qui n’est autre que de la récupération de poubelles, le « shoulder surfing », qui pourrait se traduire par de la navigation au-dessus de l’épaule de la cible.

De plus, la vitesse du média utilisé est très importante : le téléphone est le plus efficace ; le mail reste encore peu utilisé contrairement au courrier papier en qui les gens ont une grande confiance.

Quels sont les moyens de lutte ? La sensibilisation est très importante. Elle est coûteuse en temps et en ressources mais elle peut se réaliser. Cependant, la sensibilisation n’est rien sans des directives de sécurité qui doivent prendre en compte la menace de social engineering. Stéphane Jourdois conseille également le confinement et la classification. Il faut retirer l’information à l’utilisateur, la classifier, à travers un système d’authentification physique (token, biométrie).

Les entreprises en parlent très peu et ne rentrent pas dans les détails

Une attaque est plus ou moins discrète, donc détectable. A partir du moment où c’est une attaque qui cible l’humain, elle a beaucoup d’avenir. Le social engineering est d’ailleurs actuellement en forte progression. Cependant, pour le moment très peu d’informations concrètes, de cas d’attaques, sont disponibles, car les entreprises en parlent très peu et ne rentrent pas dans les détails.

Pour le Commissaire Yves Crespin, directeur de la BEFTI (Brigade d’Enquêtes sur les Fraudes aux Technologies de l’Information), le social engineering est l’art de sous tirer les informations à quelqu’un par l’intermédiaire de ruses. L’escroquerie permet de tromper une personne et de la pousser à remettre quelque chose à quelqu’un. Elle est punissable en droit français de 5 ans d’emprisonnement et de 375 000 d’amendes.

La BEFTI a eu la main mise sur la première affaire de phishing recensée en France, celle du Crédit Lyonnais. Le phishing repose sur l’envoi d’emails incitant les victimes à cliquer sur un lien les entraînant sur un site infecté. Deux techniques font le succès de ce type d’attaque. En effet, elle s’appuie sur deux moyens psychologiques : la peur et l’appât du gain. La manipulation d’individus a désormais un surnom : M.I.C.E.

  • M comme Money (corruption, petits cadeaux)
  • I comme Idéologie (idéologie, idéaux)
  • C comme Constraint (chantage, contrainte)
  • E comme Ego (flatterie, rétribution)

« Nous nous faisons tout le temps arnaquer, mais c’est parce qu’on le veut bien. Il faut être plus paranoïaque quand on surfe sur Internet »

Le scam, par exemple, provient généralement de Côte d’Ivoire. On vous fait espérer un gain en aidant quelqu’un. Le scam repose sur un envoi de mails visant à faire croire à la victime qu’elle peut venir en aide à quelqu’un ou obtenir un bénéfice. C’est pourquoi cette technique marche énormément ; elle fait appel à l’empathie. Cependant ces mails sont reconnaissables. Ils se ressemblent tous.

Pour Yves Crespin, il ne faut pas oublier que le voyou est une crapule ; il n’a pas de sentiments. Son objectif est de faire de l’argent. « Nous nous faisons tout le temps arnaquer, mais c’est parce qu’on le veut bien. Il faut être plus paranoïaque quand on surfe sur Internet » conclut-il.

Protéger son intimité

Danielle Kaminsky dresse, quant à elle, un panorama des principales recherches en psychologie sociale, qui ont été faites ces 40 dernières années pour tenter de comprendre les mécanismes de l’influence, de la soumission ou encore de la manipulation.

La soumission à l’autorité

Les travaux de Stanley Milgram dans les années 1960 à l’université de Yale. Cette étude visant à estimer à quel point un individu peut se plier aux ordres d’une autorité qu’il accepte, mais qui entre en contradiction avec sa conscience, fut publiée en 1963 et a donné suite à de nombreuses variantes. Un petit rappel de l’expérience : une quarantaine de personnes entre 20 et 40 ans provenant de différents milieux socioculturels ont été contactées pour effectuer un test « de mémorisation ». Les sujets ont le rôle de « professeur » devant infliger en cas de mauvaise réponse des « élèves » une décharge électrique, dont l’intensité ne cesse de croître au fur et à mesure. Les résultats sont effrayants : 100% des sujets sont allés jusqu’à infliger 285 volts et 65% d’entre eux jusqu’à la décharge maximale, soit 450 volts. Par contre, dans le cas où on laisse le choix de l’intensité au sujet, 80% s’arrêtent à 120 volts.

Nous avons été socialisés pour être soumis à l’autorité

D’autres expériences, comme celle réalisée par Hofling, Brotzman, Dalrymple, Graves& Pierce en 1966, ou encore celle accomplie en 2000 par Howery et Dobbs, montrent à quel point la soumission à l’autorité est perçue comme légitime, surtout quand elle provient de « figures d’autorité », telles le médecin, le professeur, la police, le père,… Depuis que nous sommes tout petits nous avons appris à obéir à des règles ; nous avons intégré de plus ces « figures d’autorité ». Certains attributs font autorité (uniformes, blouses, voitures, badges,…). Néanmoins, ces attributs sont très faciles à contrefaire, d’où le problème du social engineering.

La soumission librement consentie : expression de Joule et Beauvois

La soumission librement consentie se définit comme le fait d’amener quelqu’un à un comportement tout en lui laissant le sentiment qu’il a eu ce comportement en toute liberté.

Le technique du pied dans la porte, par exemple, s’effectue par requêtes successives. Dans un premier temps, il faut demander quelque chose de très bref, simple, puis aller vers quelque chose de plus important. Cette évolution est nécessaire car si on demande directement quelque chose d’important à quelqu’un, on observera beaucoup plus de refus. Il faut que la première requête soit toujours faisable. Les requêtes ont toujours un caractère pro social.

Pied dans la porte ou porte au nez ?

La technique de la porte au nez est l’inverse du pied dans la porte. En effet, avec cette technique, c’est la première requête qui est exorbitante, tandis que la deuxième est accessible. Selon une étude de Cialdini, Vincent, Lewis,..., réalisée en 1975, 98% des sujets testés refusent la première requête, mais 50% acceptent la deuxième. Dans le cas où la première requête a été mise de côté, seulement 25% répondent de manière affirmative à la deuxième requête.

La simple évocation de la liberté prédispose à la soumission. Le sentiment de liberté rend plus acceptable de répondre à la demande. Cette technique ne fonctionne cependant pas à 100%, il existe toujours une minorité de personnes qui n’obéissent pas. De plus, l’individu est imprévisible. Quelqu’un qui accepte une fois peut très bien être amené à refuser un autre jour car le contexte n’est pas le même.

Paul Grassart : comment amener les gens à adopter librement de bons comportements de sécurité ? Ne pourrait-on pas utiliser ces techniques mais dans le bon sens ? Comment marche la théorie de l’engagement ?

On remarque des faiblesses comportementales classiques. Il existe une grande différence entre ce que l’on montre, ce que l’on dit, ce que l’on fait. Le principal problème réside dans le fait que même si on arrive à convaincre les gens, ils ne changent pas forcément leur comportement.
  • Stratégies de persuasion : campagnes de sensibilisation, formation, tracts, envoi d’emails pour que les gens soient convaincus
  • Stratégies de sensibilisation : il s’agit ici de faire en sorte que les gens le comprennent par eux-mêmes.

Même si on arrive à convaincre les gens, ils ne changent pas forcément leur comportement


Toutefois, l’écart trop souvent constaté entre l’attitude d’une personne et son comportement pose problème. En appliquant la théorie de l’engagement, on va jouer directement sur un comportement qui fera lui-même changer les autres comportements. L’objectif est d’agir sur les comportements pour faire évoluer les attitudes. Il faut lutter contre l’effet de gel (quand on prend une décision, souvent on gèle les choix, car on souhaite la tenir). L’effet pervers repose donc sur la persévérance même si l’on sait que c’est déraisonnable. Ne pas tomber dans des pièges abscons n’est pas toujours chose simple : engagement dans un processus de dépense dont le gain n’est pas certain et où chaque dépense laisse croire qu’on se rapproche du gain. C’est une technique d’automanipulation.

Paul Grassart conseille d’utiliser les techniques du « pied dans la porte » ou encore de la « porte au nez ». Il ne faut pas hésiter, selon lui, à combiner les techniques. En psychologie sociale, la théorie de l’engagement, c’est un lien qui unit l’individu à ses actes comportementaux. Selon lui, pour qu’une personne s’engage, il faut :
  • lui garantir qu’elle est libre ou non d’accomplir l’acte
  • mettre en relief les conséquences de l’acte
  • que l’acte soit public ; si elle s’engage en public, elle ne reviendra pas en arrière
  • éviter toute justification d’ordre externe
  • amener progressivement la personne vers la médiation de l’acte engageant.

Il faut mettre les gens en situation de liberté


L’objectif est de faire venir la personne aux séances de sensibilisation à la sécurité. L’employé doit penser venir librement à la séance. On peut, par exemple, le solliciter par email ou téléphone. Il aura ainsi l’impression de décider de venir ou non. Il faut donc mettre les gens en situation de liberté. Pendant la séance, il est nécessaire de leur faire croire qu’ils prennent part aux décisions. Il faut, de plus, les laisser s’exprimer et trouver des idées. A la din d’une séance, la personne doit s’être engagée sur un point de son choix. Ce phénomène permet de renforcer le lien entre la personne et ses comportements.

Auteur : Emmanuelle Lamandé - Mag Securs - juin 2007

Ingénierie sociale et sécurité de l'information

L'ingénierie sociale (social engineering en anglais) est une forme d'escroquerie utilisée en informatique pour obtenir un bien ou une information. Cette pratique exploite l'aspect humain et social de la structure à laquelle est lié le système informatique visé. Utilisant ses connaissances, son charisme, l'imposture ou le culot, le pirate abuse de la confiance, l'ignorance ou la crédulité de personnes possédant ce qu'il tente d'obtenir. Dans son ouvrage L'art de la supercherie, Kevin Mitnick a théorisé et popularisé cette pratique qui vise le facteur humain d'un système informatique pour briser sa sécurité.
Le terme de Social Engineering est surtout utilisé en jargon informatique pour définir les méthodes des pirates informatiques (catégorie des hackers Black hat), qui usent d'ingénierie sociale pour obtenir un accès à un système informatique ou simplement pour satisfaire leur curiosité.

Ingénierie sociale et sécurité de l'information


De nos jours, un effort de formation et de prévention des utilisateurs de systèmes informatisés sécurisés est fourni. Les départements de gestion informatique font circuler des documents décrivant les règles de sécurité de base : la façon de choisir un mot de passe long et ne se trouvant pas dans le dictionnaire, ne jamais donner son mot de passe à quelqu'un, pas même à un employé du département informatique, etc.

Des conférences invitant des spécialistes du renseignement ou de la sécurité informatique sont parfois organisées au sein des plus grandes structures, afin de sensibiliser davantage les utilisateurs à cette menace. Ces formations visent à prévenir les employés de ne pas divulguer accidentellement des informations sensibles, et de donner l'alerte en cas de tentative détectée.
 
Copyright 2007- Social Engineering