Comment un hacker peut-il prendre le contrôle, d’abord de votre compte sur un site marchand en ligne, puis de l’ensemble de vos appareils (smartphone, tablettes, ordinateurs), à travers une technique d’ingénierie sociale ? Décryptage et analyse de ce type d’attaque.
Hacker vaillant rien d'impossible…
Les acteurs de la menace font constamment évoluer leurs méthodes
pour s'attaquer à la surface d'attaque humaine en suivant différentes
tactiques. La technique d’ingénierie sociale
permet de surmonter les obstacles techniques simplement en utilisant des
astuces psychologiques : les pirates informatiques exploitent ainsi les gens comme le maillon le plus faible de
la chaîne de sécurité informatique. Ce type d’attaque se déroule en plusieurs étapes. Naturellement, cet article a vocation à sensibiliser aux risques, et n’incite en aucun cas à transgresser les lois.
1- La collecte d’informations
Le pirate va commencer par se familiariser avec les procédures usuelles d’authentification, (et/ou de rappel de mot de passe oublié) d’un site marchand populaire et de son service clients.
Il lui suffit pour cela, avec un compte lambda, d’explorer et de tester la réaction réelle de l’entreprise de commerce en ligne, pour réhabiliter en toute légitimité un utilisateur dont les identifiants de connexion feraient défaut.
Le pirate va ensuite rechercher une potentielle victime et dresser son profil. Il va s’appuyer pour cela sur des informations que les personnes divulguent sur les réseaux sociaux : depuis des sites tels que LinkedIn, Facebook, Twitter, etc., il est généralement possible d’obtenir avec précision les centres d’intérêt, adresses e-mails, numéros de téléphone, et même les contacts du réseau de la victime.
2- L'établissement d'une relation
Pour compléter ces informations, le pirate pourra s’appuyer sur les centres d’intérêt, en envoyant par exemple des e-mails fallacieux, en approchant la victime et son réseau par téléphone, sous couvert d’une ou plusieurs fausse(s) identité(s) que les personnes pourront considérer comme une source fiable (collègue, administration, recruteur, confrère, invitation à un événement), le tout avec l’appui éventuel d’un ou plusieurs faux profil(s) en ligne, comportant photo et traces d’activité. Pour toutes ses activités le pirate se dissimulera numériquement derrière une chaîne des serveurs de relais, hébergés tantôt à l'étranger et échappant ainsi aux juridictions.
C’est à travers un travail de croisement et d’échanges dans la durée que la collecte d’informations complémentaires pourra discrètement avoir lieu.Pour le pirate, le but principal de cette étape est d’exploiter la relation et d’obtenir les informations souhaitées.
3- L'exploitation des points faibles
Muni des informations glanées sur la victime, et préparé aux questions que le site commerçant et son service clients posent habituellement, le pirate pourra alors usurper l’identité de la victime et procéder soit à des achats frauduleux (via des options de paiement différé sur facture, ou bien si la victime a pré-enregistré la carte bancaire), soit à une exfiltration de données personnelles supplémentaires (et ainsi développer une attaque plus sophistiquée, comme nous allons le voir ci-dessous).
Ayant accédé au compte de la victime depuis un site commerçant et disposant de nombreuses informations renseignées lors des commandes précédentes (par exemple, les derniers chiffres de la carte bancaire), le pirate pourra aussi abuser d’un autre compte, par exemple votre compte iCloud si vous en possédez un, ou un équivalent chez un concurrent (Google, Microsoft, etc.).
En effet, l’accès à un tel autre compte - prenons comme exemple iCloud (Apple) - donne immédiatement accès au contenu de votre iPhone, de votre MacBookAir, de votre compte Twitter et peut-être à d’autres comptes que vous auriez pu lier. Le pirate pourra donc avoir accès à vos sauvegardes (photos, vidéos, correspondances, documents privés, etc.) et les rançonner (en menaçant de divulgation non souhaitée, atteinte à la réputation sur les réseaux sociaux, destruction des informations, etc.).
Notons que, lors de la réinitialisation des identifiants d’un compte sensible, de type iCloud, la plupart des gestionnaires de services en ligne ne demandent que la confirmation de quelques informations : l’e-mail du compte, une adresse de facturation, et les quatre derniers chiffres de la carte bancaire associée au compte, etc. Rappelez-vous : le pirate a obtenu l’accès entier au compte de la victime sur le site marchand précédemment fraudé. Il a donc accès à ces informations.
4- La sortie
C’est l’étape où le pirate disparait dans la nature en effaçant, si nécessaire et au mieux, ses traces dans le monde réél et numérique : adresses de livraison, demande de fermeture du compte de la victime, destruction de journaux d'évènements, requête d’effacement des traces informatiques auprès des sociétés diverses (émises en usurpant l’identité de la victime et en s’appuyant par exemple sur le droit à l’oubli), etc.
Conclusion
Nombreuses sont les entreprises qui négligent « l'ingénierie sociale ». Il existe pourtant une variété de vecteurs d'attaque astucieux que je vous laisserai rechercher sur internet (tailgating, baiting, phishing, pretexting, quid pro quo, spear phishing, vishing, hunting, farming,etc.).
Pour tenir les pirates informatiques à distance, adopter des contre-mesures efficaces et multi-niveaux (technique, procédural et humain) peut vous aider à vous protéger et à protéger les autres. Prenez conseil auprès de professionnels.
Frédéric Merland
Cyber Security Expert
Head of Operational Excellence & PMO
Vous pensez pouvoir être victime de ce
type d’attaque ? Ou peut-être l’avez-vous déjà été ? N’hésitez pas à nous
contacter.