jeudi 5 juin 2008

Cybercriminalité : les failles humaines (2e partie)

Suite et fin de l'interview de Michel Iwochewitsch, Directeur associé de Strateco.

Selon vous, dans le cadre des tests de pénétration réalisés dans le cadre de la sécurité, peu d'actions développent une approche des "failles humaines". Pourquoi ?

Les raisons principales selon mon expérience sont :

1. Peu d’opérateurs informatiques sont formés à l’exploitation systématique des failles humaines en dehors de leurs domaines de compétences

2. Les entreprises restent « frileuses » sur ce sujet pour ces raisons essentielles :

a. Les tests de pénétration reposant sur l’humain sont souvent déstabilisants pour les employés ! En effet, il s’agit en somme de provoquer des erreurs de ces employés pour en exploiter les résultats. Ils ne peuvent donc être réalisés que dans un cadre éthique strict comprenant au minimum l’anonymat des employés ciblés (sauf cas de détection d’un acte illégal évidemment !)

b. Les tests des failles humaines ne peuvent reproduire intégralement une séquence de recrutement de type espionnage industriel ! Il serait amoral de « provoquer » un employé au point de mettre en place une séquence de recrutement ! 1-parce que cela serait pousser à la faute un individu volontairement fragilisé ; 2-au-delà des conséquences juridiques d’un tel acte, comment l’entreprise et l’employé pourrait encore collaborer ensemble ?

c. Les croyances comme « cela n’arrive qu’aux autres » et « nous ne sommes pas un secteur sensible » qui est une hérésie pour de multiples raisons !

d. Le fait médiatique qui présente des cas extrêmes, souvent très éloignés de la réalité des opérations des prédateurs (quelques exemples présentés ci-dessus)

Maintenant, et contrairement à des images d’Épinal concernant les tests de failles humaines, il est parfaitement possible de tester les failles les plus courantes selon un protocole aussi rigoureux que pour les failles informatiques ! Une différence essentielle entre les deux familles de tests découle du fait que les tests de failles humaines restent ANONYMES pour protéger individuellement des employés provoqués, ET font l’objet de séances de sensibilisation auprès de l’ensemble des employés pour mettre en place un système de protection contre ces failles ! Il est d’ailleurs intéressant de constater que lors de ces séances de sensibilisation, de nombreux employés ont des anecdotes de coup de fils curieux mais qui n’ont JAMAIS été remontés à la direction de la sécurité.. Souvent parce qu’aucune hotline n’existe pour cela !

Là encore, et contrairement à un avis général, des contre-mesures simples - et peu coûteuses - permettent de « bloquer » la majorité des attaques via les failles humaines. Que ces dernières découlent de social engineering ou des approches plus sophistiquées mise sen œuvres par certains SR et spécialistes du renseignement industriel.

Avez-vous, néanmoins, noté une évolution (une prise de conscience des entreprises) ces dernières années ?

Il existe une nette prise de conscience des managers sur ces risques ! En particulier sur les cadres supérieurs qui sont généralement « sous microscope » officiel ou autres au cours des déplacements. Je note ainsi un fort développement des formations de « contre-elicitation » pour permettre aux cadres de détecter des actions préliminaires contre eux.

Nous notons également que certaines entreprises sont aujourd’hui demandeur de tests de failles humaines reproduisant l’action des différents prédateurs. Ces tests sont systématiquement accompagnés de mesures de formation, audit et mise en œuvre de contre-mesures permettant de mieux protéger l’entreprise cliente.

Néanmoins, je constate également que seules les entreprises dites « stratégiques » (défense, aéro, pharmacie, biotech, etc.) sont sensibilisées ! Je pense qu’il s’agit là d’une hérésie pour de multiples raisons :

- Plus l’entreprise a de concurrents plus elle a de risque qu’un individu peu scrupuleux face appel à des méthodes de renseignement industriel ;

- Une entreprise peut être « ciblée » simplement parce qu’elle est plus fragile à la pénétration et travaille en sous-traitance en N-2 N-3 pour un groupe sensible (méthodo typique des prédateurs les plus agressifs) ;

- Une entreprise peut être ciblée car elle donne accès à des informations sensibles sur des individus qui intéressent le prédateur ! Quelques exemples simples loin d’être exhaustifs :

o Le conseiller clientèle dans une banque qui dispose d’informations concernant l’utilisation des CB des individus cibles et de leurs trains de vie,

o La CPAM qui permet d’identifier certaines pathologies, des frais élevés de santé pour des enfants, etc.

o L’opérateur d’une agence de voyage qui sait ou et quand un individu se déplace ;

o Des PME ayant un produit outdaté mais pouvant intéresser les SR d’un pays du tiers-monde ;

o Des PME vendant des produits pouvant être exploités par des prédateurs pour de la collecte agressive. Par exemple :

§ Des systèmes de visioconférence,

§ Des installations téléphoniques en PABX,

§ L’outsourcing de la maintenance des PC,

§ Des produits événementiels (voilure et stand) : un exemple que j’ai personnellement audité a été celui d’une société fabriquant des stands et qui avait été ciblé simplement car le degré d’activité de production et le nom des clients permettaient de connaitre en « avance de phase » les manifestations d’un concurrent sensible,

§ Les pizzaiolos devenus célèbres lors de la guerre du Golfe car les journalistes analysaient l’augmentation des commandes de pizzas nocturnes vers le Pentagone et la Maison-Blanche, etc.

Les sociétés anglo-saxonnes sont-elles plus sensibilisées par ce genre d’attaque que les entreprises françaises ?

Oui parce qu’il existe plusieurs opérateurs privés organisant des tests dédiés de social engineering et ou de failles humaines. Non en ce qui concerne les entreprises n’entrant pas dans le champ jugé stratégique (Défense, Biotech, Aéronautique, etc.).

En France : les cadres sont sensibilisés à ces risques compte tenu du nombre de menaces dans ce domaine qui les concernent directement ! Ainsi, comme je le soulignais, de plus en plus de sociétés nous demandent de protéger les cadres en les éveillant aux méthodes des prédateurs. L’objectif numéro 1 est de les aider à détecter ces tentatives. Le second objectif est de les doter d’un corps de techniques de contre-elicitation les rendant nettement moins vulnérables tout en pouvant – ce qui est essentiel – maintenir des relations business. La discrétion dans la détection et la contre-élicitation est donc essentielle !

Rechercher et exploiter les failles humaines impliquent une importante organisation logistique (dans MISC 36, vous parlez de « l’agent acquisition process ») et beaucoup de temps (six mois environ). Mais, rechercher et exploiter des failles de logiciels prend moins de temps et le résultat peut être aussi efficace ?

Oui et non ! En effet, les failles logicielles et de réseaux peuvent être plus simples à exploiter ! Mais :

1-l’humain sait beaucoup plus de choses que les informations formalisées sur des supports électroniques ;

2-une source humaine dans le cadre du renseignement industriel est plus longue à développer mais permet d’obtenir un flux permanent de données à analyser !

3-l’avantage d’une approche humaine est sa redoutable discrétion ! Très peu de cas finissent par être connus ! Voir sont volontairement étouffés par l’entreprise par peur d’un risque d’image (ex : très peu de détournements de fonds dans le milieu financier font l’objet de déclaration sous ce nom ! Les établissements préfèrent généralement les considérer comme des « misdirections » plutôt que d’admettre une fragilité auprès de la clientèle.

Par ailleurs, attention à l’exemple du AAP présenté dans l’article : il s’agit d’un cas d’école (réel inspiré de 2-3 cas sur le terrain) démontrant la méthodologie habituelle de ces prédateurs ! La durée indiquée est une durée moyenne. Il est évident que dans un cas simple, une seule source aurait suffit !
De plus, il s’agit d’un process de recrutement sur le long terme de sources humaines au sein d’une entreprise. Ce process est celui utilisé par les SR, les groupes transnationaux de criminalités organisés, et les spécialistes du renseignement industriel LORSQUE le « jeu en vaut la chandelle » !

Accéder au password d’un individu, récupérer un numéro de carte bleue pour « suivre » les déplacements d’un individu, ou encore obtenir la copie d’un mémo interne, sont des actions de collecte qui ne nécessitent que peu de temps de préparation et d’exécution ! C’est par exemple, la spécificité du social engineering ou des approches d’élicitation des SR. Quelques jours à peine sont nécessaires pour ces genre d’opération « one-shot ».

Maintenant, à titre d’anecdote, il est considéré dans les milieux spécialisés que les opérateurs du SVR et du GRU (très actifs dans les entreprises), considèrent qu’un seul individu dans une grande société est suffisant pour compromettre l’ensemble des informations de celle-ci s’il est bien formé ! Par ailleurs, on considère que ces deux SR « possèdent » une source dans chaque grande entreprise transnationale …

Et ne parlons pas des SR chinois ! Ou de ceux de nos alliés politiques très actifs également …

Pour finir sur ce point, il me semble utile de rappeler que pour un prédateur informationnel, le support des données n’a aucune espèce d’importance ! Prenons un exemple simple ; le password du PC d’un employé peut-être :

· « piraté » à partir du PC et/ou du réseau,

· Récupérer par un opérateur humain (de multiples méthodes existent allant de la technique de l’éléphant des SR, à une analyse de fréquence des touches)

· Lu sur un post-it à côté du dit-PC (semble inconcevable et pourtant encore si fréquent : l’’exemple type est le password du cadre sur le bureau ou dans l’agenda de la secrétaire ! Sic !)

· Eliciter auprès de l’individu lors d’une virée dans un bar (parce que ce dernier utilise le même password pour tous ses comptes privés et pro)

· Eliciter auprès des membres de sa famille

· « Deviner » en créant une liste de mots clés concernant la biographie de l’individu et ensuite passer dans un outil de génération de password,

· Reconstruit à partir des touches et retrouver avec l’aide de générateur d’anagrammes,

· Etc .

En clair : la forme de l’information n’intéresse pas le prédateur ! ce qui l’intéresse c’est l’équation risque/ROI de son opération et de fait : « quel est le point le plus fragile pour porter mon action avec le maximum de chance de réussite et en respectant la règle numéro 1 : ne pas me faire prendre !»

- Selon vous, dans le cadre des tests de pénétration réalisés dans le

cadre de la sécurité, peu d'actions développent une approche des "failles humaines". Pourquoi ?

Les raisons principales selon mon expérience sont :

1. Peu d’opérateurs informatiques sont formés à l’exploitation systématique des failles humaines en dehors de leurs domaines de compétences

2. Les entreprises restent « frileuses » sur ce sujet pour ces raisons essentielles :

a. Les tests de pénétration reposant sur l’humain sont souvent déstabilisants pour les employés ! En effet, il s’agit en somme de provoquer des erreurs de ces employés pour en exploiter les résultats. Ils ne peuvent donc être réalisés que dans un cadre éthique strict comprenant au minimum l’anonymat des employés ciblés (sauf cas de détection d’un acte illégal évidemment !)

b. Les tests des failles humaines ne peuvent reproduire intégralement une séquence de recrutement de type espionnage industriel ! Il serait amoral de « provoquer » un employé au point de mettre en place une séquence de recrutement ! 1-parce que cela serait pousser à la faute un individu volontairement fragilisé ; 2-au-delà des conséquences juridiques d’un tel acte, comment l’entreprise et l’employé pourrait encore collaborer ensemble ?

c. Les croyances comme « cela n’arrive qu’aux autres » et « nous ne sommes pas un secteur sensible » qui est une hérésie pour de multiples raisons ! (je détaille dans la question 4)

d. Le fait médiatique qui présente des cas extrêmes, souvent très éloignés de la réalité des opérations des prédateurs (quelques exemples présentés ci-dessus)

Maintenant, et contrairement à des images d’Épinal concernant les tests de failles humaines, il est parfaitement possible de tester les failles les plus courantes selon un protocole aussi rigoureux que pour les failles informatiques ! Une différence essentielle entre les deux familles de tests découle du fait que les tests de failles humaines restent ANONYMES pour protéger individuellement des employés provoqués, ET font l’objet de séances de sensibilisation auprès de l’ensemble des employés pour mettre en place un système de protection contre ces failles ! Il est d’ailleurs intéressant de constater que lors de ces séances de sensibilisation, de nombreux employés ont des anecdotes de coup de fils curieux mais qui n’ont JAMAIS été remontés à la direction de la sécurité.. Souvent parce qu’aucune hotline n’existe pour cela !

Là encore, et contrairement à un avis général, des contre-mesures simples - et peu coûteuses - permettent de « bloquer » la majorité des attaques via les failles humaines. Que ces dernières découlent de social engineering ou des approches plus sophistiquées mise sen œuvres par certains SR et spécialistes du renseignement industriel.

mercredi 4 juin 2008

Cybercriminalité : les failles humaines (1ere partie)

Il n’y a pas que les logiciels qui présentent des failles, il y a aussi et surtout l’être humain. Michel Iwochewitsch, Directeur associé de Strateco, cabinet spécialisé dans le conseil en Intelligence stratégique et dans la sécurité informationnelle, l’a rappelé aujourd’hui (le 4 juin) lors d’une Le Symposium sur la Sécurité de l'Information et des Communications (SSTIC).

Voici la version longue d'une interview plus courte qui est publiée aujourd'hui sur 01net.com.


1-Quelles sont les principales failles humaines et celles qui sont les plus exploitées par les attaquants car elles sont les plus évidentes et faciles ?

Avant d’aborder les failles, j’aimerais préciser qui sont les prédateurs les plus courants : on parle dans les milieux de la sécurité informatique essentiellement des social engineers mais mon expérience dans les audits de sécurité me fait dire qu’il ne s’agit pas et de loin de la catégorie la plus dangereuses ! Globalement, ils sont peu formés et exploitent des failles basiques !

Nous utilisons dans notre cabinet la typologie suivante (en risque de dangerosité) :

- Social engineer : peu formé, méthode basique. Essentiellement des opérations « one-shot » (password par exemple)

- Escrocs : souvent nettement mieux formés. Plus expérimentés. Plus de ressources financières et de fait plus dangereux

- Opérateurs de renseignement industriel : en plein développement ! Exploitent de nombreuses failles en combinaison et pas seulement des failles humaines. Les cas répertoriés sont de plus en plus nombreux. Le spooke (selon la terminologie anglo-saxonne) est un opérateur redoutable et discret !

- Groupe de criminalité organisée : disposant de moyens financiers et techniques importants. Très bien formés. Exploitent souvent des opérateurs anciens des SR. Redoutables et en plein développement comme vous l’avez souligné dans votre ouvrage ! Exploitent en plus des pressions fortes sur les individus pour les intégrer dans leurs réseaux.

- Services officiels de renseignement : les mieux formés. Capable de pénétrer à peu prêt partout ! Ils ont dangereux en terme de méthodologie mais leurs objectifs sont essentiellement de « récupérer » une technologie. A l’inverse d’un concurrent peu scrupuleux, ils ne cherchent pas à endommager directement le fonctionnement de l’entreprise cible.

En ce qui concerne les failles, on peut les classer en plusieurs sous-ensembles :

- Les failles universelles résumées dans les acronymes comme MICE ou ASIE : elles existent depuis la nuit des temps ! Facilement mobilisables pour contraindre/motiver un individu. L’argent et l’Ego sont les deux facteurs sur lesquels jouent le plus souvent les prédateurs selon notre expérience. L’Ego est souvent exploité sous son angle négatif (employé frustré d’avoir raté une promotion selon lui mérité, « faire partie de ceux qui savent », etc.)

- Les failles exploitables de type heuristique et biais cognitifs : failles extrêmement courantes dans les approches des individus. Quasiment toutes les méthodes agressives reposent sur ces dernières. A titre d’exemple, l’élicitation (en direct ou par tél) d’information s’appuient dans son cœur méthodologique sur des approches cognitives destinées à limiter le passage de l’individu en mode systématique et de le « laisser » en mode heuristique (modèle ELM en psychologie de la persuasion). L’exemple type de ces failles : les grandes lois de psychologie sociale ! (cf. « le petit guide de manipulation à l’usage des honnêtes gens »). Le social engineer en a souvent une connaissance intuitive et sait créer l’illusion de la confiance, donner l’illusion de faire partie d’un groupe, etc. Les autres opérateurs sont généralement des spécialistes de l’exploitation de ces failles et les mettent en œuvre en permanence…

- Les vulnérabilités des traits de personnalités : plus rarement utilisées par les escrocs. Fréquent chez les spécialistes du rens industriel et les SR. Plusieurs cas ces dernières années prouvent qu’un « transfert de méthodologie » a permis aux groupes de criminalités organisées de disposer de ce « savoir-faire ». A ma connaissance : pas de cas connu d’exploitation par les social engineers de ce type d’approche

2-Avez-vous des exemples d’attaques reposant essentiellement sur une analyse des failles humaines ?

Oui ! Pour d’évidentes raisons de sécurité, je démarquerais ces exemples à l’exception de ceux ayant fait l’objet d’articles de presse. Et je classerais ces exemples en fonctions de la typologie d’attaques possibles :

En déplacement de cadres à l’étranger et/ ou sur « points d’eau » :

- Élicitation de la banque de la cible lors d’une discussion dans un salon pro. Achat des relevés CB à la banque auprès d’un « agent d’accès » recruté pour cette fonction précise (ex : un conseiller de banque). Analyse des localisation des factures avec la proximité de clients – actuels et futurs – de la cible.

- Groupe spécialisés de copie du contenu des portables dans les hôtels agissant sur le S de ASIE en mettant des prostituées dans les bars d’hôtels de certaines villes d’Asie du Sud-Est. Ces groupes sont fortement organisés et proches de la criminalité organisée

- Utilisation d’une call-girl pour tamponner des cadres cibles dans une ville étrangère sur la base du S et de l’habitude des cadres commerciaux de « profiter » des occasions. Une fois le cadre endormi dans la chambre d’hôtel, la call-girl accepte les SMS d’enregistrement d’un système de suivi du tél portable sur Internet réalisé par un autre opérateur. Une simple connexion sur le site internet permet ensuite de savoir avec précision les déplacements de la cible lorsqu’il visite des clients/fournisseurs.

Dans les « réseaux sociaux » de la cible :

- En jouant sur le A de ASIE = proposer à une cible dans un réseau social quelconque d’obtenir à très bas prix des portables téléphoniques dernière génération, sous Symbian qui contiennent des pisteurs d’appels, de sms, etc.

- Le cas d’un agent d’accès : une jeune femme qui travaille dans une agence de voyage rencontre un soir un JH étudiant bien sous tout rapport. Elle sort avec lui et tombe amoureuse. Le JH lui annonce plus tard, qu’il doit quitter la ville et abandonner ses études par manque d’argent ! (technique dite du chaud-froid), quelques jours plus tard, il lui propose un marché en lui faisant rencontrer le spooke qui propose de l’argent contre la liste des déplacements d’individus précis au sein du système de réservation SABRE…

- Une opération de collecte par élicitation est montée contre le service R&D d’une PME. L’opération se divise en 1-collecte de l’organigramme par social engineering (multiples méthodes) et identification des cadres clés sur les projets intéressants le client du spooke. 2-shell-company fait passer une annonce de recrutement dans un journal spécialisé. L’annonce correspond précisément aux caractéristiques des cadres identifiés. 3-réception des CV des ingénieurs intéressés. 4-Relance des ingénieurs n’ayant pas réagit par une « chasseuse de tête » du faux cabinets. 4-une salle est louée dans un Regus pour la semaine, les ingénieurs sont convoqués. 5-les entretiens permettent d’éliciter les informations nécessaires sur les projets intéressants le client, ils ont également filmés discrètement. 6-une offre financière « optimale » est proposée aux cadres les plus intéressants et les plus fragiles. Plusieurs débriefings sont réalisés sur les cibles les plus fragiles. 7-l’offre est annulée au bout de quelques temps car le poste est dans une société qui travaille sur un rachat de l’entreprise cible et que c’est incompatible avec les normes éthiques de recruter sur cette société. 8-Pour les plus fragiles, il leur est proposé d’aider le futur acheteur en donnant des informations sensibles en échange d’un contrat de consulting !

Au sein de l’entreprise par sources humaines :

- Le cas le plus célèbre est celui des SR russes avec Erickson : la documentation représentait environ l’équivalent papier de 10 camions 32T

- Le cas GM-Volskwagen par le recrutement de Lopez

- Un cas dans une PME disposant d’un bureau d’étude à Cuba. Le responsable de la R&D a été tamponné sur place et profilé. Une fois fait, le groupe local (jamais déterminé à ce jour), a « alimenté » ses besoins en filles et luxe (casino, etc.). Une fois pris dans l’engrenage (divorce, situation financière catastrophique), la cible s’est vu offrir une « porte de sortie » en validant des factures d’un montant important vers le bureau d’étude ! Résultats = la PME a failli couler. Plusieurs licenciements pour la maintenir à flot. Un commissaire aux comptes refusant de valider les comptes. Une rupture des contrats de couverture d’assurances crédits alors que la PME faisait 80% de son CA à l’international …

En one-shot via des attaques de type social engineering :

- Il existe des dizaines d’anecdotes sur le SE. D’un point de vue technique, toutes passent par une discrétisation des recherches (split en petits éléments d’information permettant de reconstituer la grande image), l’identification de la « surface utile » (en clair = les lieux/flux de l’entreprise les plus logiques pour trouver l’information ET les plus fragiles), et la mise en place d’un « rôle » permettant d’arriver à ses fins (comptable, jeune embauché, services techniques, de sécurité, etc.). Un simple exemple : le SE sait que la cible utilise le logisticien Alpha pour ses expéditions clients. Il va personnifier un comptable nouvellement arrivé chez le logisticien qui reprend des dossiers et ne retrouve pas les dernières factures. Il obtient les copies de ces dernières par fax ou email. Il réalise la même opération dans l’autre sens sur le logisticien.

- Pour l’anecdote – et parce que les méchants ne gagnent pas toujours lol - le NYPD a réalisé une opération de ce type il y a quelques années, en envoyant sous couvert d’un shell-company des lettres à des individus sous mandat d’arrêt. La lettre dans le pur style SE précisait que les individus avaient gagné un prix quelconque (voiture par ex.). Un bureau était loué au nom de la société fictive. Le prix devait être cherché en personne. Les arrestations avaient lieu dans la rue.

Typique de la criminalité organisée :

- Opération d’élicitation via téléphone et en direct des informations nécessaires pour comprendre le cheminement interne de validation des factures (limite en montant, signature autorisée, etc.). Intégration dans une phase II de fausses factures au nom d’un cabinet de consulting d’un montant sous la limite de vérification des autorisations. Reproduction des factures à un rythme élevé dans les sociétés ayant créé le compte fournisseurs dans les services comptables… Résultats = plusieurs centaines de milliers d’euros escroqués en respectant les procédures !

- Recrutement d’agents au sein de la CPAM de ce pays pour disposer d’un accès aux fichiers. Le recrutement se faisait soit par proposition d’argent (A), soit par coercition (C de MICE), etc.

- Il existe de multiples autres anecdotes sur le sujet de la criminalité organisée et des entreprises. Mais elles sont trop longues à développer ici

Mixte avec exploitation de failles techniques (communications, informatique, etc.) :

- Un détective privé US est recruté en Californie sous un faux prétexte (contrefaçons). Il équipe les camions du logisticien de la société cible de transpondeur GPS pour suivre les déplacements de ces derniers. Les stop des camions correspondent aux déchargements. Par recoupement, la liste des clients est identifiés. (illégal dans beaucoup de pays, autorisé en Californie)

- Le placement de tél portable sous symbian est aussi une opération mixte (cf. ci-dessus).

- Une opération de désinformation qui a désorganisé une filiale d’un grand cabinet de conseil : collecte par élicitation des numéros de tél portable des associés. Collecte des habitudes de communication de ces derniers. Collecte des portables des juniors et seniors. Sélection des individus utilisant les SMS. Faux SMS envoyés aux différentes personnes en changeant des lieux de réunions, des dates, des ordres, en mettant des messages personnels (liaison, personne se détestant, licenciement, démission), etc. Énorme pagaille durant plusieurs semaines au sein du cabinet !

- Par élicitation ou SE, le spooke identifie le nom de la société en charge de la gestion des ordinateurs auprès de la société cible. Cette société est située dans une zone industrielle. Il recrute ensuite au sein de la société de gestion une source en proposant de l’argent sous un prétexte quelconque. L’agent installe sur tous les PC, un keylogger et/ou un autre dispositif technique ou physique. Les PC sont livrés au fil du temps. La collecte d’information est lancée. Je connais un cas où le spooke a en plus recruté des jeunes casseurs pour forcer les bureaux et voler les PC non infectés… Afin d’accélérer la procédure de renouvellement des PC !

La deuxième partie de cette interview sera publiée jeudi 5 juin. En attendant, vous pouvez aussi lire les récents numéros de la revue MISC dans lesquels Michel Iwochewitsch a écrits de très bons articles.