Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Kevin Mitnick : le Social Engineering ça marche à tous les coups !

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Exclusif SecurityVibes. « Kevin Mitnick est en mesure de déclencher la troisième guerre mondiale en sifflant dans un téléphone« . C’est faux, bien entendu, mais ça fait son petit effet. Surtout devant un tribunal.

Car cette affirmation provient d’un militaire américain de haut rang témoignant au procès de celui qui fut le pirate informatique le plus recherché de la planète. Et elle illustre parfaitement la légende qui s’est bâtie autour du personnage de Kevin Mitnick. Celle d’un hacker capable, dans l’imagerie populaire, de s’introduire dans tous les systèmes de la planète, de percer toutes les défenses et de demeurer parfaitement invisible (une légende qui contribuera notamment à lui infliger un traitement pénal considéré aujourd’hui comme étant largement disproportionné par rapport aux faits qui lui étaient reprochés).

Mais au delà de la légende, il y a les faits : alors qu’il était un fugitif aux multiples identités, traqué par le FBI pendant presque trois ans, Mitnick était effectivement en mesure de contrôler l’infrastructure téléphonique de plusieurs états ou encore de se faire faxer le permis de conduire de n’importe quel conducteur du pays. Il a également accroché à son palmarès de pirate des géants tels que Motorola, Nokia, Sun Microsystems et bien d’autres, auxquels il a dérobé le saint des saints : le code source de leur produit phare de l’époque (« des trophées« , explique-t-il, en précisant qu’il n’a jamais tiré le moindre bénéfice financier de ces exploits). Et, ironie suprême, il s’est aussi offert le luxe de placer sous surveillance les agents fédéraux qui le traquaient.

Sa recette : un habile cocktail d’attaques techniques et d’ingénierie sociale, cet Art de la manipulation humaine. « J’exploite le mensonge, la manipulation, l’influence et la politesse naturelle des gens« , résume Mitnick. Et c’est précisément cette approche de l’ingénierie sociale qui l’a rendu aussi efficace. « Le problème avec les attaques purement techniques c’est qu’elles laissent des traces dans les journaux et que l’on arrive rarement directement au coeur du réseau : il faut souvent d’abord passer par la DMZ puis ensuite travailler dur pour en sortir. Alors qu’avec un peu d’ingénierie sociale on arrive directement derrière les pare-feux, sur le réseau interne« , explique Kevin Mitnick lors d’une interview exclusive accordée à SecurityVibes.

Aujourd’hui, Kevin Mitnick continue à pirater, mais cette fois avec la bénédiction de ses cibles. Avec sa société Mitnick Security Consulting il pratique en effet des tests d’intrusion qui associent expertise technique et ingénierie sociale, et semble-t-il avec le même succès. Au point que ses clients préfèrent souvent faire l’impasse sur l’aspect social, qu’ils jugent trop efficace au point d’être « triché ».

« Aujourd’hui on me demande à 80% des prestations techniques seules. Probablement parce que évaluer la résistance de l’entreprise à l’ingénierie sociale n’est exigé par aucune réglementation« , précise Mitnick. Et il le regrette, car selon lui les pirates ne font pas cette distinction et cibleront avant tout le maillon le plus faible de la chaîne… « et c’est très souvent l’humain« , observe-t-il.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Une réponse à Kevin Mitnick : le Social Engineering ça marche à tous les coups !

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.