Votre société aurait-elle fait mieux que Apple, Boeing, General Motors ou Disney ? Toutes ces entreprises se sont prêtées – malgré elles – à un très officiel concours de hacking un peu particulier qui s’est déroulé l’été dernier à Las Vegas. Et elles ont toutes perdu.

A l’occasion de la conférence DEF CON 21 était organisée une épreuve de « Capture the Flag » (capture du drapeau) consacrée au Social Engineering. En clair : les cibles devaient être attaquées non pas de manière technique mais uniquement par l’astuce, la malice… et une bonne dose de bagout !

Les règles d’une telle épreuve diffèrent de celles d’un concours de hacking traditionnel. Les organisateurs ont sélectionné une liste de dix sociétés américaines majeures qui seront les cibles involontaires du test. Ils ont également défini une série d’informations de valeur sur ces entreprises que les participants (dix hommes et dix femmes) devront récupérer. Avant le début des hostilités chaque binôme se voit désigner une cible au hasard parmi les dix sociétés présentes.

Chaque information ( un « flag » ) vaut un certain nombre de points. Les attaquants disposent de deux semaines avant le concours afin de faire autant de recherches qu’ils le souhaitent sur leur cible. Avec trois restrictions importantes à ce stade : ils ne peuvent obtenir que des informations de sources dites « ouvertes », c’est à dire disponibles publiquement (essentiellement sur Internet, mais pas obligatoirement), ils n’ont pas le droit de contacter la société et ils ne peuvent évidemment pas mener d’intrusion informatique pour dérober des données.

Les flags recherchés couvrent tous les domaines, du plus simple ( « la société a-t-elle un restaurant d’entreprise ? » ) aux plus incongrus ( « Qui s’occupe de sortir les poubelles ? » , « Avez-vous un contrat avec une société de dératisation ? Laquelle ? » ) , en passant par les plus personnels ( « quel est votre nom ? » , « depuis combien de temps travaillez-vous ici ? » , « Quel est la procédure lors du départ d’un collaborateur ? » ).
Toutefois le drapeau qui rapporte le plus de point n’est pas une information à collecter mais plutôt une manipulation : il s’agit de convaincre un employé de la société cible de naviguer vers une URL sous le contrôle du participant (ce qui, en situation d’attaque réelle, est évidemment la voie royale pour infecter un poste de travail dans l’entreprise).

A l’issue de ces deux semaines de collecte d’information les participants doivent fournir une série de numéros de téléphone qu’il souhaitent appeler dans l’entreprise visée, ainsi que pour chacun d’eux le (faux) numéro de téléphone qu’ils veulent imiter lors de l’appel.

La phase active du concours peut alors commencer : les participants disposent chacun de 25 minutes pour passer autant d’appels téléphoniques qu’ils le souhaitent et tenter d’obtenir un maximum d’informations complémentaires dans leur « liste de course » .

A l’issue de cette séance d’appels (passés en direct et en public, après tout c’est un show !), les comptes sont faits. Et c’est édifiant ! Tous les flags ont été capturés au moins une fois pour chacune des entreprises ciblées… et souvent à de multiples reprises !

Premier constat : la majeure partie des informations chassées pouvaient être trouvées en ligne, librement sur Internet. Selon les organisateurs il s’agit ici d’un développement inquiétant par rapport aux années précédentes, où l’appel téléphonique était encore l’arme la plus efficace du candidat. Cette année les candidats ont amassé plus de points en surfant sur Internet qu’en appelant directement leurs victimes. Et cela alors même qu’une information capturée en ligne valait la moitié seulement des points, comparée à la même obtenue par téléphone !

L’information la plus souvent récupérée concerne le système d’exploitation et le navigateur utilisés dans l’entreprise. Et sans surprise les informations les moins souvent glanées sont les plus personnelles (le nom de l’employé interrogé, le jour de la paie, les horaires dans l’entreprise).

Ensuite, les candidats ont fait usage de prétextes d’appels beaucoup plus innovants que les années précédentes, et aussi plus efficaces. Les traditionnelles excuses de l’étudiant qui prépare un devoir sur l’entreprise ou du sondage apparaissent désormais largement moins efficaces que celles – plus travaillées – de l’employé qui appelle un collègue (utilisée par 65% des participants, de loin la plus efficace) ou du vendeur.

Les organisateurs notent à ce titre que les prétextes d’appel qui s’appuient sur l’appartenance à un groupe commun, une « tribu » avec ses codes et son langage (employé de la même entreprise, vendeur dans la même industrie) fonctionnent donc largement mieux que ceux pour lesquels il n’existe aucune proximité initiale avec la victime (étudiant, sondeur).

Autre enseignement intéressant : par hasard ou a dessein, la grande majorité des participants avait à l’autre bout du fil une victime du sexe opposé. Et, bien que les organisateurs prennent soin de préciser que ces résultats n’ont aucune valeur scientifique, il en ressort malgré tout qu’une femme manipulant un homme a plus de succès que l’inverse. D’ailleurs plus généralement, lors de ce concours, les femmes ont obtenu largement plus de points que les hommes.

Au delà de l’aspect ludique, un tel concours met en lumière la vulnérabilité des entreprises à la fuite d’informations non-sensibles, majoritairement sur Internet. Ici les participants n’étaient pas des professionnels et ils n’ont eu que deux semaines pour fouiner. Et pourtant, ils ont pu collecter des informations précieuses telles que l’identité des sous-traitants qui ont accès aux locaux, les noms des réseaux WiFi dans les locaux, la version précise du lecteur de PDF installé sur les postes de travail, le type de PABX et de téléphone utilisé, etc.

Et ce n’est qu’un avant goût. Car un professionnel pourra aller beaucoup plus loin, comme l’illustre notre article consacré à la technique de repérage d’Enrico Branca, qui utilise notamment LinkedIn pour choisir ses cibles.

Evidemment, la critique est facile, l’Art difficile. Toutes ces informations sont publiques par définition et autant il est (relativement) plus simple de protéger celles clairement identifiées comme critiques, autant de telles bribes d’informations anodines sont difficilement maîtrisables. Mais cela n’est pas une excuse pour ne rien faire. Durant ce concours, un participant à découvert d’un côté un portail web réservé aux employés et de l’autre un document public mentionnant les identifiants nécessaires pour s’y connecter.

Si un non-professionnel a pu découvrir cela en deux semaines de recherches, comment expliquer que l’entreprise concernée ne l’ait pas découvert avant ?

La réponse, bien sûr, tient au fait que personne ne s’est donné la peine de regarder. Pourtant, les outils et moteurs de recherche spécialisés utilisés par les participants pour ce concours sont tous publics et souvent gratuits. Il n’y aucune excuse pour ne pas consacrer deux semaines à creuser pour découvrir la vision qu’un attaquant pourrait avoir de sa propre société, et tenter de colmater les fuites. Et si les ressources humaines manquent (non, ce n’est pas le travail d’un stagiaire !), nul doute que bon nombre de sociétés d’audit et de conseil seront ravies de fournir une telle prestation (et probablement sur une durée inférieure).

Bien sûr, cela n’exclue pas les opérations de sensibilisation à destination des employés et la mise en oeuvre de procédures spécifiques relatives aux appels entrants. Mais tant que les recherches de base continueront à être ignorées, ce serait faire preuve d’un optimisme bien mal placé…

(A noter que l’école EPITA proposera un challenge de hacking à l’occasion du FIC 2014, durant lequel une épreuve sera consacrée au social engineering)

A lire aussi : 

• Avant d’être attaqués, vous serez observés
• Kevin Mitnick : le Social Engineering ça marche à tous les coups !