Kevin Mitnick sonde malgré tout la société à distance et découvre que le serveur principal fonctionne sous VMS, son système de prédilection. A cette époque une vulnérabilité critique venait d’être rendue publique pour certaines versions de VMS, mais le système en vue n’en faisait pas partie. Qu’à cela ne tienne : Mitnick commande malgré tout les bandes magnétiques avec le correctif officiel directement chez DEC. Il modifie ensuite le patch afin d’inclure un Cheval de Troie, remballe le tout sous un film plastique à l’aide de la machine à emballer d’un ami et s’en va louer… un uniforme de livreur UPS !

« Nous sommes à Los Angeles, la ville du cinéma : on y trouve n’importe quel costume !« , s’amuse Mitnick. Il lui a alors suffit de sonner à la porte du développeur, d’entrer suffisamment rapidement pour que celui-ci ne réalise pas qu’il n’y a aucun camion UPS garé devant chez lui, et de remettre – contre une signature, bien entendu – le colis. Quelques jours plus tard le vrai-faux patch était installé et Mitnick pouvait copier le sniffer tant désiré.

L’exemple montre combien il est difficile pour une entreprise de se protéger face à un assaillant motivé et disponible. Et il n’y a pas de distinction en terme de domaine d’activité, même si selon Mitnick les opérateurs téléphoniques et les fournisseurs d’énergie commencent à être mieux rodés que les autres. La seule différence éventuelle serait d’ordre culturel : « les japonais sont les plus faciles à abuser à cause de la politesse et de la confiance inhérente à leur culture. A l’inverse, les russes sont les plus difficiles à berner car ils n’accordent pas facilement leur confiance« , révèle Kevin Mitnick.

S’il est aussi difficile de se protéger contre l’ingénierie sociale, comment au moins limiter la casse ? En retirant au maximum l’humain de l’équation. « On ne peut pas demander aux employés d’évaluer eux-mêmes le risque associé à l’ouverture de tel document ou à communiquer telle information par téléphone. Donc lorsque c’est possible il vaudra mieux dédier cette tâche à de la technologie« , conseille Kevin Mitnick.

Il cite comme exemple les systèmes où un opérateur demande le sésame de son correspondant et y accède à l’écran afin de le valider. « Ce ne doit pas être à l’opérateur de décider si le mot de passe communiqué est le bon en le comparant à celui qui apparaît à l’écran. Il vaut mieux qu’il n’ait qu’à le saisir au clavier et le système lui répond simplement oui ou non« , poursuit le consultant. Car cela évite bien entendu toute négociation au téléphone.

Parmi ses autres conseils, Mitnick préconise de favoriser l’ouverture des documents reçus par email à l’aide de Google Doc ou de Quick View (sous Mac) et de procéder à ce qu’il appelle des « inoculations » régulières : des campagnes de phishing « officielles » qui permettent d’identifier les collaborateurs susceptibles de tomber dans le panneau régulièrement, afin de mieux les sensibiliser. C’est par exemple ce que propose une société comme PhishMe.

Et bien sûr, des pentests incluant le social engineering, qui permettront là aussi d’identifier les collaborateurs les plus polis et les plus aidants… afin de leur expliquer combien ces qualités humaines parfaitement nobles peuvent devenir de tragiques défauts pour l’entreprise face à un attaquant motivé !

Et vous, avez-vous déjà intégré le social engineering dans vos audits ? Quels étaient les résultats ?