Le Social Engineering, ou comment hacker sans connaissances techniques

9 Mar

Vous avez peut-être déjà essayé de Googler certaines de vos connaissances pour recueillir des informations ? C’est quelque chose qui arrive régulièrement, soyons honnêtes, tout le monde a déjà fouiné sur le journal Facebook de quelqu’un, ami ou non. Le fait est que le web regorge d’informations, et celles-ci peuvent hélas aussi servir à alimenter la curiosité de votre entourage proche ou distant.

Voici donc un article visant à expliquer certaines des méthodes utilisées pour récupérer des informations privées sur quelqu’un, juste avec internet. L’idée n’est pas de faire de vous un détective du net, mais de vous donner les bases afin de comprendre les méthodes pour espionner quelqu’un sur le net, et ainsi mieux vous protéger.

Ouh le vilain hacker qui fait peur 🙂

Qu’est ce que Le Social Engineering ? Définition

Si l’on en croit wikipédia : « L’ingénierie sociale (ou social engineering en anglais) est une forme d’acquisition déloyale d’information et d’escroquerie, utilisée en informatique pour obtenir d’autrui, un bien, un service ou des informations clefs. Cette pratique exploite les failles humaines et sociales de la structure cible, à laquelle est lié le système informatique visé. Utilisant ses connaissances, son charisme, l’imposture ou le culot, l’attaquant abuse de la confiance, de l’ignorance ou de la crédulité des personnes possédant ce qu’il tente d’obtenir. »
En clair, nul besoin d’être un expert chevronné pour pirater un compte facebook, un google drive, ou une boite mail. Les sécurités de type « question secrète » facilitant grandement la vie des personnes mal intentionnées.

Un exemple ? La fameuse affaire Celebgate / Fappening. En septembre 2014, ce sont les photos intimes de près de 100 célébrités qui se sont retrouvés diffusées sur le web.

celebgate

Bonjour Madame Lawrence, vous ne devriez pas laisser ça dans votre iphone.

 

Comment un hacker a pu se retrouver en possession de photos de stars hollywoodiennes dénudées ? Simplement en récupérant des comptes iCloud, à l’aide de 2 méthodes :

  • La première à l’aide d’un outil de « bruteforce » : un logiciel qui va tester une multititude de mots de passe à l’aide d’un dictionnaire, ou en testant toutes les possibilités.
  • La seconde, à l’aide de la fameuse question secrète : Cette mesure qui vise à s’assurer que vous êtes bien le propriétaire du compte si vous avez oublié votre mot de passe.

Si la première méthode nécessite quelques compétences techniques (et encore…), la seconde est en revanche accessible à n’importe qui. Il vous suffira de répondre correctement à la question secrète pour vous faire passer pour le propriétaire, changer le mot de passe, et ainsi prendre possession du compte.

Comment recueillir un maximum d’informations personnelles sur une personne ?

C’est pour répondre à cette fameuse question qu’entre en jeu le social engineering. Le pirate va alors constituer son dossier :

Étape 1 : Poser toutes les informations déjà en sa possession.

Le pirate va déjà réunir toutes les informations qu’il possède sur vous.

Étape 2 : Utiliser son meilleur ami : Google

Google est un outil extrêmement puissant pour peu que l’on sache l’utiliser. En utilisant les informations déjà en sa possession, et les outils de recherches avancées de différents moteurs de recherche, le pirate pourra récupérer dans la plupart des cas beaucoup d’informations.
Il pourra également utiliser un vpn (Proxy) pour faire ses recherches depuis Google.com est ainsi passer outre un éventuel droit à l’oubli… Et voir les résultats pourtant masqués en Europe.

Étape 3 : Les réseaux sociaux.

Twitter, Facebook, Instagram, Pinterest, Youtube, Google+, et même les plus anciens comme myspace ou des blogs (Un vieux skyblog qui traine peut-être ?) peuvent être de véritables mines d’informations !

Une fois les informations rassemblées, le pirate aura alors en sa possession un joli petit dossier sur vous. Si les informations ne sont pas suffisantes pour répondre directement à une question secrète, elles peuvent l’être pour vous « attaquer » frontalement, en se faisant passer pour une personne de votre entourage ou une administration, à qui vous pourriez donner une information clé sans vous en rendre compte.

Comment se prémunir de ce type de hack ?

1. Trouvez toutes les infos disponibles sur vous.

C’est simple, menez l’enquête sur vous-même. Utilisez Google, Bing, Qwant, les réseaux sociaux, fouillez dans votre mémoire pour retrouver vos vieux comptes qui peuvent trainer sur le web.

osculteo.com
Vous pouvez également utiliser des services spécialisés comme osculteo.com : Diagnostic automatique de votre e-réputation, et module « vie privée », permettant de voir si des informations personnelles tel qu’un numéro de téléphone sont disponibles sur le web et si cette information est associée à votre nom.

2. Nettoyez vos traces !

Supprimez vos vieux comptez inutilisés, paramétrez vos options de confidentialité sur les réseaux sociaux, bref, faites le grand ménage !
Un site tiers présente des informations sur vous ? Contactez l’éditeur pour lui en demandez le retrait, ou passez par osculteo.com pour confier ce travail à des spécialistes (à partir de 49€ la suppression), et tentez un droit à l’oubli auprès de Google. (Ce n’est pas l’idéal, mais c’est toujours ça.)

En conclusion, dans bien des cas, nul besoin d’être un gros hacker avec des lunettes et un sweet à capuche pour « être un pirate », il suffit d’être fourbe et malin. Endossez le costume le temps d’un après-midi, et faites le test sur vous.

Vous pourriez être surpris par ce que vous allez trouver. Allez, au travail !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Le temps imparti est dépassé. Merci de saisir de nouveau le CAPTCHA.