mercredi 4 juin 2008

Cybercriminalité : les failles humaines (1ere partie)

Il n’y a pas que les logiciels qui présentent des failles, il y a aussi et surtout l’être humain. Michel Iwochewitsch, Directeur associé de Strateco, cabinet spécialisé dans le conseil en Intelligence stratégique et dans la sécurité informationnelle, l’a rappelé aujourd’hui (le 4 juin) lors d’une Le Symposium sur la Sécurité de l'Information et des Communications (SSTIC).

Voici la version longue d'une interview plus courte qui est publiée aujourd'hui sur 01net.com.


1-Quelles sont les principales failles humaines et celles qui sont les plus exploitées par les attaquants car elles sont les plus évidentes et faciles ?

Avant d’aborder les failles, j’aimerais préciser qui sont les prédateurs les plus courants : on parle dans les milieux de la sécurité informatique essentiellement des social engineers mais mon expérience dans les audits de sécurité me fait dire qu’il ne s’agit pas et de loin de la catégorie la plus dangereuses ! Globalement, ils sont peu formés et exploitent des failles basiques !

Nous utilisons dans notre cabinet la typologie suivante (en risque de dangerosité) :

- Social engineer : peu formé, méthode basique. Essentiellement des opérations « one-shot » (password par exemple)

- Escrocs : souvent nettement mieux formés. Plus expérimentés. Plus de ressources financières et de fait plus dangereux

- Opérateurs de renseignement industriel : en plein développement ! Exploitent de nombreuses failles en combinaison et pas seulement des failles humaines. Les cas répertoriés sont de plus en plus nombreux. Le spooke (selon la terminologie anglo-saxonne) est un opérateur redoutable et discret !

- Groupe de criminalité organisée : disposant de moyens financiers et techniques importants. Très bien formés. Exploitent souvent des opérateurs anciens des SR. Redoutables et en plein développement comme vous l’avez souligné dans votre ouvrage ! Exploitent en plus des pressions fortes sur les individus pour les intégrer dans leurs réseaux.

- Services officiels de renseignement : les mieux formés. Capable de pénétrer à peu prêt partout ! Ils ont dangereux en terme de méthodologie mais leurs objectifs sont essentiellement de « récupérer » une technologie. A l’inverse d’un concurrent peu scrupuleux, ils ne cherchent pas à endommager directement le fonctionnement de l’entreprise cible.

En ce qui concerne les failles, on peut les classer en plusieurs sous-ensembles :

- Les failles universelles résumées dans les acronymes comme MICE ou ASIE : elles existent depuis la nuit des temps ! Facilement mobilisables pour contraindre/motiver un individu. L’argent et l’Ego sont les deux facteurs sur lesquels jouent le plus souvent les prédateurs selon notre expérience. L’Ego est souvent exploité sous son angle négatif (employé frustré d’avoir raté une promotion selon lui mérité, « faire partie de ceux qui savent », etc.)

- Les failles exploitables de type heuristique et biais cognitifs : failles extrêmement courantes dans les approches des individus. Quasiment toutes les méthodes agressives reposent sur ces dernières. A titre d’exemple, l’élicitation (en direct ou par tél) d’information s’appuient dans son cœur méthodologique sur des approches cognitives destinées à limiter le passage de l’individu en mode systématique et de le « laisser » en mode heuristique (modèle ELM en psychologie de la persuasion). L’exemple type de ces failles : les grandes lois de psychologie sociale ! (cf. « le petit guide de manipulation à l’usage des honnêtes gens »). Le social engineer en a souvent une connaissance intuitive et sait créer l’illusion de la confiance, donner l’illusion de faire partie d’un groupe, etc. Les autres opérateurs sont généralement des spécialistes de l’exploitation de ces failles et les mettent en œuvre en permanence…

- Les vulnérabilités des traits de personnalités : plus rarement utilisées par les escrocs. Fréquent chez les spécialistes du rens industriel et les SR. Plusieurs cas ces dernières années prouvent qu’un « transfert de méthodologie » a permis aux groupes de criminalités organisées de disposer de ce « savoir-faire ». A ma connaissance : pas de cas connu d’exploitation par les social engineers de ce type d’approche

2-Avez-vous des exemples d’attaques reposant essentiellement sur une analyse des failles humaines ?

Oui ! Pour d’évidentes raisons de sécurité, je démarquerais ces exemples à l’exception de ceux ayant fait l’objet d’articles de presse. Et je classerais ces exemples en fonctions de la typologie d’attaques possibles :

En déplacement de cadres à l’étranger et/ ou sur « points d’eau » :

- Élicitation de la banque de la cible lors d’une discussion dans un salon pro. Achat des relevés CB à la banque auprès d’un « agent d’accès » recruté pour cette fonction précise (ex : un conseiller de banque). Analyse des localisation des factures avec la proximité de clients – actuels et futurs – de la cible.

- Groupe spécialisés de copie du contenu des portables dans les hôtels agissant sur le S de ASIE en mettant des prostituées dans les bars d’hôtels de certaines villes d’Asie du Sud-Est. Ces groupes sont fortement organisés et proches de la criminalité organisée

- Utilisation d’une call-girl pour tamponner des cadres cibles dans une ville étrangère sur la base du S et de l’habitude des cadres commerciaux de « profiter » des occasions. Une fois le cadre endormi dans la chambre d’hôtel, la call-girl accepte les SMS d’enregistrement d’un système de suivi du tél portable sur Internet réalisé par un autre opérateur. Une simple connexion sur le site internet permet ensuite de savoir avec précision les déplacements de la cible lorsqu’il visite des clients/fournisseurs.

Dans les « réseaux sociaux » de la cible :

- En jouant sur le A de ASIE = proposer à une cible dans un réseau social quelconque d’obtenir à très bas prix des portables téléphoniques dernière génération, sous Symbian qui contiennent des pisteurs d’appels, de sms, etc.

- Le cas d’un agent d’accès : une jeune femme qui travaille dans une agence de voyage rencontre un soir un JH étudiant bien sous tout rapport. Elle sort avec lui et tombe amoureuse. Le JH lui annonce plus tard, qu’il doit quitter la ville et abandonner ses études par manque d’argent ! (technique dite du chaud-froid), quelques jours plus tard, il lui propose un marché en lui faisant rencontrer le spooke qui propose de l’argent contre la liste des déplacements d’individus précis au sein du système de réservation SABRE…

- Une opération de collecte par élicitation est montée contre le service R&D d’une PME. L’opération se divise en 1-collecte de l’organigramme par social engineering (multiples méthodes) et identification des cadres clés sur les projets intéressants le client du spooke. 2-shell-company fait passer une annonce de recrutement dans un journal spécialisé. L’annonce correspond précisément aux caractéristiques des cadres identifiés. 3-réception des CV des ingénieurs intéressés. 4-Relance des ingénieurs n’ayant pas réagit par une « chasseuse de tête » du faux cabinets. 4-une salle est louée dans un Regus pour la semaine, les ingénieurs sont convoqués. 5-les entretiens permettent d’éliciter les informations nécessaires sur les projets intéressants le client, ils ont également filmés discrètement. 6-une offre financière « optimale » est proposée aux cadres les plus intéressants et les plus fragiles. Plusieurs débriefings sont réalisés sur les cibles les plus fragiles. 7-l’offre est annulée au bout de quelques temps car le poste est dans une société qui travaille sur un rachat de l’entreprise cible et que c’est incompatible avec les normes éthiques de recruter sur cette société. 8-Pour les plus fragiles, il leur est proposé d’aider le futur acheteur en donnant des informations sensibles en échange d’un contrat de consulting !

Au sein de l’entreprise par sources humaines :

- Le cas le plus célèbre est celui des SR russes avec Erickson : la documentation représentait environ l’équivalent papier de 10 camions 32T

- Le cas GM-Volskwagen par le recrutement de Lopez

- Un cas dans une PME disposant d’un bureau d’étude à Cuba. Le responsable de la R&D a été tamponné sur place et profilé. Une fois fait, le groupe local (jamais déterminé à ce jour), a « alimenté » ses besoins en filles et luxe (casino, etc.). Une fois pris dans l’engrenage (divorce, situation financière catastrophique), la cible s’est vu offrir une « porte de sortie » en validant des factures d’un montant important vers le bureau d’étude ! Résultats = la PME a failli couler. Plusieurs licenciements pour la maintenir à flot. Un commissaire aux comptes refusant de valider les comptes. Une rupture des contrats de couverture d’assurances crédits alors que la PME faisait 80% de son CA à l’international …

En one-shot via des attaques de type social engineering :

- Il existe des dizaines d’anecdotes sur le SE. D’un point de vue technique, toutes passent par une discrétisation des recherches (split en petits éléments d’information permettant de reconstituer la grande image), l’identification de la « surface utile » (en clair = les lieux/flux de l’entreprise les plus logiques pour trouver l’information ET les plus fragiles), et la mise en place d’un « rôle » permettant d’arriver à ses fins (comptable, jeune embauché, services techniques, de sécurité, etc.). Un simple exemple : le SE sait que la cible utilise le logisticien Alpha pour ses expéditions clients. Il va personnifier un comptable nouvellement arrivé chez le logisticien qui reprend des dossiers et ne retrouve pas les dernières factures. Il obtient les copies de ces dernières par fax ou email. Il réalise la même opération dans l’autre sens sur le logisticien.

- Pour l’anecdote – et parce que les méchants ne gagnent pas toujours lol - le NYPD a réalisé une opération de ce type il y a quelques années, en envoyant sous couvert d’un shell-company des lettres à des individus sous mandat d’arrêt. La lettre dans le pur style SE précisait que les individus avaient gagné un prix quelconque (voiture par ex.). Un bureau était loué au nom de la société fictive. Le prix devait être cherché en personne. Les arrestations avaient lieu dans la rue.

Typique de la criminalité organisée :

- Opération d’élicitation via téléphone et en direct des informations nécessaires pour comprendre le cheminement interne de validation des factures (limite en montant, signature autorisée, etc.). Intégration dans une phase II de fausses factures au nom d’un cabinet de consulting d’un montant sous la limite de vérification des autorisations. Reproduction des factures à un rythme élevé dans les sociétés ayant créé le compte fournisseurs dans les services comptables… Résultats = plusieurs centaines de milliers d’euros escroqués en respectant les procédures !

- Recrutement d’agents au sein de la CPAM de ce pays pour disposer d’un accès aux fichiers. Le recrutement se faisait soit par proposition d’argent (A), soit par coercition (C de MICE), etc.

- Il existe de multiples autres anecdotes sur le sujet de la criminalité organisée et des entreprises. Mais elles sont trop longues à développer ici

Mixte avec exploitation de failles techniques (communications, informatique, etc.) :

- Un détective privé US est recruté en Californie sous un faux prétexte (contrefaçons). Il équipe les camions du logisticien de la société cible de transpondeur GPS pour suivre les déplacements de ces derniers. Les stop des camions correspondent aux déchargements. Par recoupement, la liste des clients est identifiés. (illégal dans beaucoup de pays, autorisé en Californie)

- Le placement de tél portable sous symbian est aussi une opération mixte (cf. ci-dessus).

- Une opération de désinformation qui a désorganisé une filiale d’un grand cabinet de conseil : collecte par élicitation des numéros de tél portable des associés. Collecte des habitudes de communication de ces derniers. Collecte des portables des juniors et seniors. Sélection des individus utilisant les SMS. Faux SMS envoyés aux différentes personnes en changeant des lieux de réunions, des dates, des ordres, en mettant des messages personnels (liaison, personne se détestant, licenciement, démission), etc. Énorme pagaille durant plusieurs semaines au sein du cabinet !

- Par élicitation ou SE, le spooke identifie le nom de la société en charge de la gestion des ordinateurs auprès de la société cible. Cette société est située dans une zone industrielle. Il recrute ensuite au sein de la société de gestion une source en proposant de l’argent sous un prétexte quelconque. L’agent installe sur tous les PC, un keylogger et/ou un autre dispositif technique ou physique. Les PC sont livrés au fil du temps. La collecte d’information est lancée. Je connais un cas où le spooke a en plus recruté des jeunes casseurs pour forcer les bureaux et voler les PC non infectés… Afin d’accélérer la procédure de renouvellement des PC !

La deuxième partie de cette interview sera publiée jeudi 5 juin. En attendant, vous pouvez aussi lire les récents numéros de la revue MISC dans lesquels Michel Iwochewitsch a écrits de très bons articles.

Aucun commentaire: