Tribunes

L'ingénierie sociale comme outil de piratage informatique

Le cas désormais célèbre de Hacker Croll est un bel exemple d'ingénierie sociale utilisée pour pirater sans compétence technique pointue. A méditer pour former de manière adéquate tous les utilisateurs d'un SI.

Publicité« Hacker Croll », ce nom ne vous est surement pas inconnu. Arrêté en ce mois de mars 2010 en Auvergne par les services de police français. Après plusieurs mois d'investigations conjointes avec le FBI, ce « hacker » a fait la une de l'actualité informatique. Il a réussi plusieurs intrusions sur des comptes utilisateurs et administrateurs de Twitter, ainsi que dans les boîtes mails de plusieurs employés. Il avait alors envoyé au site TechCrunch plus de 300 documents confidentiels volés lors de ces intrusions pour prouver qu'il avait bien accès à ces informations.
Pourtant, ce Français de 25 ans, sans emploi et habitant chez ses parents à Beaufort, ne possède aucune formation ou certification informatique. Il admet toutefois passer 10 heures par jour sur son ordinateur. Lors de son arrestation, il ne s'est pas défini comme un pirate informatique, ou « Black Hat », mais plutôt comme « un gentil pirate ». Il s'était même excusé auprès de la société Twitter, lors de son interview anonyme publiée par TechCrunch.
Comment ce jeune Français, sans aucune formation en informatique, a-t-il réussi à usurper l'identité de Barack Obama ou encore Britney Spears sur leurs profils Twitter respectifs ? Comment a-t-il pu voler des documents confidentiels concernant l'avenir de la société Twitter en s'introduisant dans les boîtes mails d'employés?
La réponse est pourtant simple : « Hacker Croll » a utilisé plusieurs subterfuges de l'ingénierie sociale, bien connue depuis une vingtaine d'années et théorisée depuis par le célèbre pirate américain Kevin Mitnick dans son livre « L'art de la supercherie » (L'Art de la Supercherie par Kevin Mitnick et William L. Simon, 2003. ISBN 2744015709).

L'ingénierie sociale réalisée par « Hacker Croll » lui a permis en quelques mois de retrouver la réponse à plusieurs questions secrètes. Cette fonctionnalité est offerte par la plupart des services web, et permet de récupérer l'accès et le mot de passe d'un compte en cas de perte ou d'oubli. Il est évident que lorsque la réponse à une question secrète est publique (par le biais d'Internet, des réseaux sociaux ou de tout autre média), n'importe qui peut potentiellement récupérer l'accès à votre compte, qu'il s'agisse d'une boîte mail ou d'un compte sur les réseaux sociaux. L'exemple récent de l'actrice mexicaine Salma Hayek, qui avait choisie comme question secrète « Quel est le titre de mon dernier film ? » est assez révélateur. Un simple coup d'oeil sur Wikipédia autorisait alors n'importe qui à prendre le contrôle de son compte « MobileMe ».

Publicité Plusieurs artistes et personnalités politiques ont déjà fait les frais de ce genre de technique. Sarah Palin, gouverneur d'Alaska, a subi le piratage de son compte Yahoo! Mail par la question secrète en 2008. Le contenu de sa boîte mail avait alors été publié sous forme de copies d'écrans sur « WikiLeaks », un site publiant toutes sortes d'informations volées ou obtenues frauduleusement. La technique utilisée par « Hacker Croll » n'est donc pas nouvelle !

« Hacker Croll » a utilisé cette technique pour récupérer l'accès à plusieurs boites mails Google et Yahoo! d'employés Twitter, dont celle de son CEO, Evan Williams. Une fois le premier mot de passe obtenu, « Hacker Croll » a réussi à en déduire d'autres mots de passe des mêmes employés, et ainsi accéder à l'interface d'administration du site Twitter, en plus des 310 documents confidentiels volés dans les boîtes mails. « Hacker Croll » a également réussi à accéder aux comptes « AT&T », « MobileMe », « Amazon », « Paypal » et « iTunes ». A l'aide d'une faille logicielle iTunes, il a même pu récupérer les coordonnées bancaires de certains comptes piratés. Enfin, Il a réussi à avoir accès à l'interface d'administration du nom de domaine « twitter.com », enregistré chez le registar « GoDaddy ».

La démonstration réalisée par ce « Hacker Croll » n'est qu'une facette des multiples techniques de l'ingénierie sociale. Malgré le grand bruit fait autour de cette affaire et de l'arrestation de « Hacker Croll », il n'a semble-t-il pas oeuvré pour une organisation de malfaiteurs ou pour l'argent. Il n'a pas non plus pratiqué de modifications techniques pouvant porter préjudice au bon fonctionnement du service Twitter, ce qui en fait une affaire insolite. Le procureur de Clermont Ferrand a même déclaré, lors de son arrestation, qu'il n'était pas un pirate au sens strict du mot, mais qu' « il était entré dans une maison dont la porte était ouverte ».

Cette remarque du procureur symbolise bien toute la problématique de ces fonctionnalités de récupération de mot de passe par question secrète. Aujourd'hui, les réseaux sociaux, et plus particulièrement Facebook, possèdent plus de 400 Millions d'utilisateurs dont à peine 40% ont modifié les paramètres de sécurité de leur profil (laissant ainsi près de 250 Millions de profils totalement publics). Cette problématique de sécurisation et de contrôle des informations privées appartient aux utilisateurs de ces réseaux, les sociétés responsables de ces réseaux ayant avant tout une vision mercantile de leurs bases utilisateurs. Les options de contrôle de confidentialité offertes par un service web mais surtout leur accessibilité peuvent jouer en faveur ou en défaveur de la vie privée de l'utilisateur. Mais quand bien même la sécurisation est possible et accessible, l'ingénierie sociale reste un risque élevé par l'usage même de ces réseaux sociaux. Une étude récente révélait que sur 100 invitations envoyées depuis un compte Facebook factice, 46% des destinataires ont acceptés l'invitation, exposant alors sans difficulté leur adresse mail (100%), leur date de naissance (89%), leur lieu de travail ou leur école (74%) et des informations relatives à leur famille et à leurs amis (46%) à un inconnu. Preuve en est que les options de contrôle de confidentialité ne défont pas l'ingénierie sociale.

La vie privée est basée avant tout sur la confiance entre humains. Cette confiance, d'ordinaire physique, ne peut se traduire « techniquement » dans le monde virtuel qu'est Internet. Elle est réservée à une « élite » informatique, mais en aucun cas adaptée à l'ensemble des utilisateurs de ces services.

Souvent la première marche d'un piratage informatique technique ou de l'exploitation de vulnérabilités logicielles, l'ingénierie sociale se révèle être une escroquerie fiable pour obtenir des informations sur le système informatique visé ou les moyens humains permettant de le pénétrer. Basée théoriquement sur la persuasion et la confiance, l'ingénierie sociale redevient progressivement un axe d'attaque, grâce à l'abondance d'informations publiques « offertes » par les utilisateurs de réseaux sociaux. Elle bénéficie également de la généralisation des services « dans les nuages » (cloud computing), car l'attaquant devient difficilement repérable parmi les millions d'utilisateurs d'un service.

Dans un avenir proche, l'intégration de fonctionnalités telles que la géo-localisation des messages sur les services Twitter, Facebook et Google Buzz [11], ou encore le rachat et l'intégration récente du moteur de recherche 123People par la société Pages Jaunes, créeront des sources d'informations privilégiées de milliers de pirates pratiquant l'ingénierie sociale. Une chose est sûre : vous n'en entendrez pas parler autant que de « Hacker Croll ». D'une part parce que vous n'êtes pas le CEO de Twitter, et d'autre part parce que votre compte bancaire, et les moyens de parvenir à une intrusion sur celui-ci, intéresse bien plus les « Black Hats » que votre popularité.

Ces moyens techniques ne peuvent cependant protéger d'une ingénierie sociale seule, celle-ci étant fondée sur une composante humaine. Une charte informatique et le blocage ou contrôle de ces réseaux sociaux peuvent aider l'entreprise à contrôler le risque, mais la seule réponse d'un point de vue utilisateur tient dans leur formation, car il n'existe aucune certification ou norme dans ce domaine. La prise de conscience des éléments de l'ingénierie sociale et de ses différentes formes peuvent permettre à vos utilisateurs de comprendre les possibilités de sécurisation offertes par un service, et surtout les dangers de ces réseaux sociaux au regard de faits comme le piratage de Twitter par « HackerCroll ».