Le rendez-vous mensuel du chapitre français de l’Information Systems Security Association (ISSA) s’ouvrait hier sur la présentation d’une méthode de reconnaissance complète et particulièrement efficace.

Le principe de la reconnaissance est bien connu, et il n’est d’ailleurs pas réservé aux attaques cyber. Avant toute opération, du piratage au kidnapping, l’attaquant compétent procède à une phase d’observation de sa cible. Et selon Enrico Branca, membre de l’ISSA, la différence entre l’amateur et le professionnel tient à la qualité de cette reconnaissance.

La méthode proposée par Branca est à la limite de la business intelligence, dans le sens d’une collecte d’informations issues de sources diverses avec un objectif unique d’aide à la décision (ici, attaquer ou pas, quand et comment). Mais lui-même parle plutôt de « competitive intelligence » et de « metatdata intelligence« . Son objectif est de profiler l’entreprise afin de déterminer ses faiblesses et le meilleur moment pour mener l’attaque. Elle identifie aussi le vocabulaire propre à sa victime, ce qui lui permettra d’être plus crédible lors de la phase de social engineering propre à toute attaque ciblée.

La première étape consiste en une analyse syntaxique du site web de la cible. Pour cela le site est aspiré, indexé et une mesure statistique (fréquence d’usage des mots) et qualitative (complexité de lecture, spécificité du contenu, etc…) est faite.

L’attaquant en tire alors deux informations capitales :

• Plus le site web emploie des mots complexes et très spécifiques meilleure est la chance que l’un de ces mots soit utilisé comme mot de passe par certains de ses salariés
• Moins le site web est clair, plus grande est la probabilité qu’il ait été bâclé aussi du point de vue technique, et qu’il présente donc des vulnérabilités exploitables.

L’étape suivante se penche sur les collaborateurs. Pour cela l’attaquant se tourne vers LinkedIn afin d’analyser les profils d’une centaine d’employés de l’entreprise ciblée. Il en extrait des ratios particulièrement instructifs, dont le rapport entre managers et opérationnels et l’expérience moyenne pour chacun de ces deux groupes. Dans l’exemple qui sert sa démonstration (une société de conseil existante), il en conclue que l’entreprise suit une stratégie d’embauche massive de jeunes diplômés et de MBAs, et que l’essentiel de ses consultants manquent d’expérience tandis qu’un noyau de cadres très expérimentés maintient l’ensemble. Il en déduit alors que la société manque de salariés compétents et techniques : elle est donc particulièrement vulnérable à une attaque par social engineering.

• Une répartition binaire de l’expérience (une majorité d’employés dotés d’un an ou moins, et à l’autre extrémité un fort groupe de cadres dotés de plus de dix ans d’expérience) est un signe de faiblesse face aux attaques par social engineering. Car le groupe des « bleus » sera particulièrement impressionné par un interlocuteur usurpant l’identité de l’un des cadres senior.

Toujours grâce à LinkedIn, Enrico Branca s’intéresse ensuite au rythme des promotions chez les consultants et les cadres. Dans la société étudiée, les promotions sont, pour les deux groupes, concentrées sur la première et la quatrième année, avec une traversée du désert entre les deux. L’attaquant sait désormais qu’il pourra facilement cibler des employés justifiant de trois ans d’expérience et déçus de l’absence de promotion (il observe notamment que les employés qui n’ont pas été promus dans la première année quittent l’entreprise, à 27% pour les managers et à 42% pour les consultants), ce qui constitue également un vivier d’ex-employés à exploiter.

• Une répartition inégale des promotions génère de la frustration parmi les salariés, qui pourra être exploitée par un attaquant.

Enrico Branca observe ensuite la fréquence de publication des documents par l’entreprise. Là aussi, il s’agit d’un travail de collecte via Google et de mise en chiffres. Rapportés sur une année, ces derniers indiquent clairement les périodes de grande activité (publication de résultats financiers, d’études, participation à des conférences…). En rapportant la fréquence de ces publications à celle de market leaders sur le même créneau, Branca en déduit que l’entreprise suit plutôt le marché au lieu de l’anticiper (elle est en mode réactif), probablement en raison d’un manque de ressources. Une attaque lancée durant les pics d’activité (prévisibles, puisque l’entreprise est en mode réactif) aura donc plus de chance de passer inaperçue dans la panique générale.

• Des pics d’activité trop prévisibles constituent des indicateurs précieux pour l’attaquant. En suivant les annonces des leaders du marché, l’attaquant saura qu’une panique à bord se prépare chez les suiveurs et pourra mieux coordonner son attaque.

Dernière étape, Branca utilise l’outil FOCA pour collecter et analyser les méta-données des documents publiés par l’entreprise et disponibles via Google. Cela lui permet, entre autres choses, de collecter une série de noms d’utilisateurs. Ces derniers, associés aux mots spécifiques identifiés lors de la première étape, lui donnent un bon point de départ pour tester des combinaisons login / mots de passe sur les systèmes externes de sa cible.

• Les méta-données présentent dans les documents publics disponibles sur Internet révèlent des noms d’utilisateurs, des noms d’imprimantes, de machines ou de services. Autant d’informations particulièrement utiles à un attaquant.

A l’issue de sa phase d’observation, l’attaquant saura alors exactement comment rédiger ses courriers de social engineering, quelles identités usurper, sur quelles peurs appuyer (une hiérarchie très marquée) et quand les envoyer. Il aura également un base de login et mots de passe à essayer, juste au cas où.

C’est plutôt bien payé pour une approche totalement passive et indécelable, non ?