Comment préparer un scénario d’ingénierie sociale ?

La recherche d’informations sur la cible est l’étape préliminaire indispensable à tout scénario d’ingénierie sociale. Pour le cas des particuliers où les actions d’ingénierie sociale se résument souvent à des campagnes d’envoi massif de courriers électroniques il ne sera pas nécessaire d’avoir une connaissance précise et détaillée de la vie personnelle de la cible. Pour une entreprise les recherches pourront porter sur ses employés ou encore ses partenaires commerciaux.

« J’adore qu’un plan se déroule sans accroc ! »

Dans un second temps l’assaillant mettra en place des éléments de décor adaptés à la cible. Il pourra s’agir de sites internet imitant celui d’un grand groupe ou de façades d’honorabilité lui donnant une apparence légitime.

Comment préparer un scénario d'ingénierie sociale ?

Les particuliers

Les attaques à base d’ingénierie sociale sont rarement ciblées contre un particulier spécifique. Les campagnes à destination des individus ciblent avant tout les clients d’une entreprise incontournable dans son secteur et une région géographique.

Ingénierie sociale : EDF et phishing

Illustration d’un phishing EDF

Prenons l’exemple de la société française EDF qui voit régulièrement surgir des campagnes de phishing s’attaquant à ses clients. EDF est le principal fournisseur d’électricité auprès des ménages français avec une part de marché en 2009 supérieure à 95%. En 2010 l’INSEE a déterminé qu’il y avait 27,8 millions de ménages français et que 64% d’entre eux disposaient d’une connexion internet à domicile. On peut donc évaluer à 17 millions le nombre de ménages potentiellement destinataires d’une telle campagne de spam. Ces chiffres montrent que, concernant les particuliers, il est préférable de miser sur un effet de masse que sur un ciblage trop restrictif.

Les entreprises

Les attaques d’ingénierie sociale visant les entreprises ont deux mobiles principaux. Le premier est le vol des informations stratégiques de l’entreprise dans le cadre d’opérations d’intelligence économique. Le second vise l’obtention frauduleuse de fonds ou de biens quelconques. Nous nous intéresserons à ce dernier.

La préparation d’une attaque d’ingénierie sociale sur des entreprises nécessitera la recherche d’informations préalables sur le secteur d’activité visé.

Il faudra mener une enquête minutieuse sur la société, son organigramme, ses filiales et ses partenaires commerciaux. Le recueil de la documentation publique de l’entreprise, procès-verbaux d’assemblée générales, communications internes ou externes, sera la première source d’information. Dans un deuxième temps, il faudra rechercher les documents officiels diffusés sans contrôle comme les relevés d’identité bancaire, les rapports des sociétés de notation, etc. Le KBIS d’une société est par exemple disponible auprès du Tribunal de commerce contre quelques euros payables en espèce sans vérification d’identité.

Ingénierie sociale : Robin Sage

Robin Sage

Dans le même temps des investigations peuvent être réalisées sur les principaux cadres de l’entreprise. Pour cela les réseaux sociaux personnels, tel que Facebook, ou professionnels, à l’image de LinkedIn ou Viadeo en France, peuvent permettre d’obtenir nombre d’informations sur la vie privée de ces personnes. La mise en place de faux profils sur les réseaux sociaux peut également contribuer à renforcer la crédibilité du costume de l’assaillant et à obtenir davantage d’informations. Une expérience en ce sens a été menée par Thomas Ryan, un spécialiste américain en sécurité. Cette expérience a consisté en la mise en place sur Internet d’une identité fictive, celle de Robin Sage. Robin Sage se présentait comme une analyste en cyber-menace diplômée du MIT (Massachusetts Institute of Technology). Elle est entrée en contact à travers les réseaux sociaux avec de nombreux experts en sécurité et militaires. Elle a pu de cette manière recueillir des informations personnelles qui lui ont permis par la suite de prendre le contrôle des comptes de certains de ses contacts en retrouvant les réponses aux questions secrètes mises en place pour récupérer un mot de passe perdu.

Cette phase de recherche du renseignement peut être complétée par une opération de camouflage qui consistera à disséminer des informations falsifiées, comme les numéros de téléphone et de fax qui seront utilisés par les assaillants. Ces informations pourront être placées sur des sites de confiance utilisés dans le secteur professionnel visé.

Une fois bien renseigné, trouvons les outils numériques pour appuyer une démarche d’ingénierie sociale

La mise en place d’un scénario d’ingénierie sociale va ensuite nécessiter l’utilisation d’outils numériques. Ces outils seront utilisés pour mettre en place de faux sites internet, pour envoyer des courriers électroniques ou bien encore pour communiquer avec la cible avec des moyens plus traditionnels tels que le téléphone ou le fax.

L’article suivant nous plongera dans la boite à outils numérique utilisée en ingénierie sociale. Vous découvrirez par vous-même qu’il n’y a rien de bien technique !