Piratage du fichier STIC : l’alarmante efficacité des attaques par ingénierie sociale

Les attaques informatiques par ingénierie sociale, une des plus grandes menaces pour la sécurité informatique, comme vient le rappeler opportunément le piratage du fichier STIC.

Par Jérôme Saiz(*).¨

« Le Social Engineering ça marche à tous les coups », nous déclarait encore récemment Kevin Mitnick, l’un des pirates emblématiques de l’âge d’or du hacking. Et comme s’il fallait lui donner raison, quelques pirates téléphoniques viennent de suivre la même approche afin d’accéder frauduleusement au fichier STIC de la Police Nationale.

Ce Système de Traitement des Infractions Constatées rassemble des informations sur un peu plus de 36 millions de citoyens, soit parce qu’ils sont victimes, soit parce qu’ils sont mis en cause (mais pas nécessairement condamnés) dans une affaire de police. Il s’agit donc, bien entendu, d’informations dont l’accès est contrôlé. Pour déjouer ces contrôles, les pirates se sont fait passer, par téléphone, pour des policiers afin de se faire transmettre les données STIC relatives à plusieurs chanteurs de rap français.

Comment ? Là encore, ils n’ont rien inventé : Kevin Mitnick disait déjà exploiter « le mensonge, la manipulation, l’influence et la politesse naturelle des gens ». Les pirates du STIC ont ainsi appelé plusieurs postes de police et soumis les fonctionnaires qu’ils ont eus en ligne aux ingrédients traditionnels de l’ingénierie sociale : ils ont d’abord cajolé et créé une certaine proximité avec leur victime (« bonjour collègue »), puis menacé lorsque celle-ci se méfiait fort naturellement (« je vais en parler à ton supérieur »), tout en créant un sentiment d’urgence (« on vient de procéder à une interpellation sur l’A86 »).

L’affaire vient d’être révélée par le site PC INpact, mais il ne s’agit pas d’un cas isolé. Les enquêteurs privés procèdent eux aussi régulièrement de la sorte afin d’obtenir des informations similaires dans le cadre de leurs enquêtes (ce qui est évidemment illégal).

Si des plaisantins ont pu accéder ainsi à un fichier officiel de la Police Nationale, il est facile d’imaginer ce qu’un attaquant pourrait obtenir en exploitant les mêmes techniques face à une entreprise, et cela même si celle-ci estime avoir parfaitement protégé son réseau et ses systèmes… « À ce jour, j’ai obtenu 100 % de réussite avec l’ingénierie sociale. Lors de ma dernière prestation, j’ai obtenu 70 % d’obéissance de la part de mes victimes au premier appel téléphonique avec une confirmation par email », poursuit Kevin Mitnick, devenu consultant spécialiste des tests d’intrusion « sociaux ».

Et ce n’est pas une légende. La plupart des sociétés font régulièrement l’objet de campagnes d’appels téléphoniques malveillants visant à révéler leur organigramme ou d’autres informations internes. Les correspondants se présentent alors souvent comme des employés (fictifs) d’une filiale quelconque. Nous sommes d’ailleurs bien placés pour le savoir : cela arrive notamment plusieurs fois par an à Qualys.

Les conséquences d’une telle attaque peuvent être sévères. Après tout, ces techniques ont permis à Kevin Mitnick d’échapper pendant près de trois ans à la traque du FBI, et même de s’offrir le luxe de placer sous surveillance les agents fédéraux chargés de sa capture.

Face à une entreprise, l’ingénierie sociale offre à l’attaquant l’opportunité de contourner toutes les mesures techniques mises en place, en usurpant l’accès d’un collaborateur autorisé. « Le problème avec les attaques purement techniques c’est qu’elles laissent des traces dans les journaux et que l’on arrive rarement directement au cœur du réseau : il faut souvent d’abord passer par la DMZ puis ensuite travailler dur pour en sortir. Alors qu’avec un peu d’ingénierie sociale on arrive directement derrière les pare-feux, sur le réseau interne », explique Kevin Mitnick.

Comment se protéger face à de telles attaques ? D’abord en acceptant que l’on ne puisse jamais s’en protéger entièrement. Ensuite en mettant en place des processus et de la sensibilisation. Car l’ingénierie sociale repose sur le maillon le plus faible de la chaîne sécuritaire : l’humain. Et pour « sécuriser » l’humain, les seuls outils réellement efficaces dans la boîte à outils de la SSI sont des processus stricts et de la sensibilisation.

Du côté des processus, l’entreprise doit mettre en place des validations simples et obligatoires destinées à s’assurer de l’identité de tout interlocuteur réclamant des informations internes (rappel à un numéro existant dans l’annuaire de l’entreprise, vérifications auprès de son supérieur, etc.).

Et enfin des séances de sensibilisation régulières viendront rappeler aux collaborateurs qu’ils sont des cibles potentielles, que tout ceci n’arrive pas qu’au cinéma et que toutes les mesures techniques sont inutiles s’ils se laissent abuser. Il est notamment utile de leur rappeler que tout interlocuteur cherchant à les faire culpabiliser, à les presser ou les menaçant d’en référer à leur supérieur doit automatiquement être considéré comme suspect.

(*)Jérôme Saiz est expert en sécurité informatique chez Qualys

Lire aussi :

• Keccak : le nouveau standard pour les signatures digitales
• notre dossier Internet

—

Article paru initialement sur Le Cercle Les Echos, republié avec l’autorisation de l’auteur