Monthly Archives: juillet 2016

  • 0

Petit malin

Category : Non classé

Arne Swinnen est un pirate malin. Son idée, simple comme un coup de génie, est expliquée dans cet article de ZDNET.

Mais je vais vous résumer la chose, vous allez comprendre.

Arne Swinnen a eu l’idée de détourner des services en ligne comme ceux de Google ou Microsoft en exploitant à son profit le principe de double sécurité.

Ce procédé est de plus en plus utilisé pour vérifier les coordonnées d’un internaute lors de son inscription à un service : Après avoir rempli le formulaire où vous avez dû entrer votre numéro de téléphone, on vous propose de vous faire rappeler par un robot pour que vous validiez, par téléphone, cette inscription. Pour Arne Swinner, l’idée de génie est de donner un numéro surtaxé qui lui rapporte de l’argent. Les robots des sites internet appellent donc ce numéro, plusieurs fois le plus souvent, avant de constater que la procédure a échoué.

Certes, me diront les puristes, ce n’est pas de l’ingénierie sociale dans son expression typique. Mais la méthode s’en rapproche quand même pas mal dans le sens où elle ne nécessite pas de connaissances techniques, juste un sens aigu de l’escroquerie et une imagination très bien utilisée.

Le pire, c’est qu’au vu des techniques utilisées aujourd’hui de par le monde pour gérer les numéros surtaxés, il va être bien difficile de mettre au point des contre-mesures efficaces. Cela laisse un champ libre à pas mal de petits malins qui vont pouvoir profiter de l’obsession constante des entreprises du Net à qualifier leurs fichiers.

De plus, comment pourraient réagir les sites contre par exemple, les fonctionnalités ultra répandues de renvoi automatique ? Tout numéro valide pourrait alors être automatiquement orienté vers un numéro surtaxé, et aucun contrôle en amont ne fonctionnerait.

Quelque chose me dit que la méthode du contrôle d’authentification à double facteur va connaitre des jours sombres.


  • 0

Man in the middle

Category : Non classé

imsicatcher_0

Traduisez « l’homme au milieu » !

Vous vous souvenez de ce jeu auquel jouaient les enfants, et qu’on appelait le téléphone arabe ? Il consistait à faire transiter une phrase chuchotée aux oreilles de plusieurs intervenants puis de s’amuser de la distorsion de cette phrase après plusieurs relais.

Le Man in the middle, c’est un peu çà. Ce n’est pas à proprement parler une attaque, c’est plutôt une méthode, et elle peut être associée à l’ingénierie sociale dans la mesure où elle s’appuie beaucoup sur le comportement de l’humain cible.

Le principe : placer le hacker entre la cible et sa destination. Certaines failles DNS, par exemple, permettent de modifier la destination des messages électroniques, en substituant le serveur du pirate à celui qui devrait recevoir les messages. Pour Outlook, un serveur de messagerie en vaut un autre. Pas pour vous.

Cette méthode s’est beaucoup démocratisée ces dernières années grâce aux technologies sans fil, somme toute assez aisées à pirater. Le nomadisme des appareils favorise le man in the middle.

Un exemple : Le hacker X a été payé pour en savoir plus sur vous. Utilisant les bonnes vieilles méthodes, il commence par déterminer votre cercle professionnel proche et repère notamment votre assistant, un garçon branché, ordinaire quoique très consciencieux et surtout, connecté à toute heure.

Lorsque le temps lui permet, il a pour habitude d’aller déjeuner seul dans un petit restaurant où il peut bénéficier du Wifi gratuit mis à sa disposition.

C’est un point faible. Le wifi gratuit est peu sécurisé et surtout, il peut aisément faire l’objet d’une attaque de ce type. Il suffira pour ceci que le hacker, installé plus près de la table de sa victime que ne l’est le routeur du restaurant, lui propose son propre routeur, lui même connecté à celui du restaurant. Le routeur du hacker, bien entendu, disposera d’un identifiant sans équivoque, comme le nom du restaurant.

L’assistant choisira donc le routeur le plus disponible, avec la meilleure connectivité, et le piège se refermera. Les informations confidentielles seront gobées par le routeur piège et le risque de transmettre un logiciel malveillant sera sérieusement augmenté.

Pourtant, quelle erreur à commis cet assistant ? Il n’a fait que se connecter au wifi d’un restaurant pour lire ses mails, ce que font des millions de personnes à chaque instant sur la planète.

Smartphones, amis shakespearien

Sir William Shakespeare se serait régalé avec les Iphones et leurs clones, car ils ont le profil parfait du traître. GSM, WIFI, NFC, bluetooth, ce sont des concentrés de technologie sans fil, un vrai bac à sable pour hackers.

Il y a quelque temps, le grand public a fait connaissance avec ces petits équipements de poche nommé IMSI Catchers. Ces petites bêtes capturent les flux GSM de tout le voisinage avec une facilité déconcertante. Les forces de l’ordre disposent de matériels parfaitement au point dans une petite valise, mais la technologie relativement basique nécessaire à la fabrication des Catchers a permis à nombre de hackers de se créer le leur. En général, il est moins bien fini et se présente sous la forme hétéroclite d’une petite antenne, d’un module GSM et d’un Pi connectés et cachés dans un sac à dos. Mais ils sont tout aussi efficace, car il s’agit là de la quintessence du man in the middle.

Comment ça marche ?

Pour fonctionner, votre smartphone a besoin d’être borné, c’est à dire connecté à une borne, une antenne relais.  Automatiquement, il choisit la plus proche.

L’IMSI catcher est une mini antenne relais, elle même connectée au relais GSM. Lorsque le sac à dos s’approche des smartphones, ceux-ci le voient comme une antenne et s’y connectent, en toute transparence.

Tout ce qui entre et sort alors de votre téléphone par voie GSM est, dès lors, récupéré par le hacker. Si vous avez activé, comme l’immense majorité des utilisateurs, les données mobiles, même les données de type internet vont passer par le réseau GSM : mails, contacts, Facebook, web, etc. En se plaçant entre la cible, le smartphone, et la destination, l’antenne relais, l’attaque par IMSI Catcher illustre assez bien le procédé du man in the middle.


  • 0

Phishing : le filet de pêche des hackers

Category : Non classé

fishing-262496_960_720On a beau en parler de plus en plus, le succès du phishing ne se dément pas. Les mails se multiplient à mesure que se volent les adresses emails et que les spams nous envahissent. Car en la matière, il faut bien admettre que les outils de défense ont toujours un train de retard sur les pratiques des escrocs.

Le phishing de masse

Vous recevez un mail d’une veuve éplorée qui vous a choisi, vous, comme légataire de sa colossale fortune. Vous avez gagné à une loterie à laquelle vous n’avez jamais participé, mais comme vous avez joué au Monopoly dans votre enfance, la carte « erreur de la banque en votre faveur » vous revient en mémoire. Vous recevez un mail de la banque vous signifiant que votre compte est bloqué. Seule solution : le débloquer vous-même en vous connectant au compte de récupération donc l’adresse est fournie dans le message.

Les exemples de phishing de masse ne manquent pas et d’après les alarmantes statistiques des agences de sécurité, le taux de réussite des escroqueries est en net progrès. La raison : les pirates sont de plus en plus perfectionnistes. Les messages et les sites pièges sont des prouesses techniques, imitant à merveille les originaux. Du coup, de plus en plus de gens tombent dans le panneau.

Pour l’entreprise, le phishing de masse ne représente qu’un danger mineur dans la mesure où il n’attaque que la personne titulaire du mail et sa crédulité. toutefois, depuis quelque temps, les logiciels malveillants de type ransomware causent des dégâts dans les entreprises, bloquant des postes de travail et nécessitent des interventions musclées des services informatiques. Les antivirus sont de plus en plus souvent contournés et ce qui n’est à l’origine qu’une escroquerie à la personne devient vite un problème collectif.

Le phishing ciblé

Mais depuis bien longtemps, les hackers mercenaires utilisent le phishing ciblé pour parvenir à leur fin. Leurs outils :

1/ Un bon RAT (logiciel d’accès distant, le plus souvent personnalisé par l’auteur et dont le code est modifié pour échapper à la surveillance des anti-virus).

2/ L’ingénierie sociale

Et en la matière, ce qui change tout, c’est bien évidement le second élément. Si le hacker a réussi une bonne collecte d’information sur la société qu’il vise, il peut alors reconstituer la chaîne de commandement, c’est à dire, qui donne des ordres à qui, et qui reporte à qui. Ensuite, c’est la stratégie qui prime. D’évidence, votre secrétaire ne transmettra pas les tableaux de chiffre d’affaire ou l’extraction de la CRM qui lui est demandée à un email inconnu. Mais durant vos congés, elle le fera si l’email vient de vous, qu’il porte votre signature et qu’il contient quelques informations sur votre lieu de vacances. Un petit « bon courage et merci » la comblera, et les précieux documents sortiront du sacro-saint ERP à votre insu.

Vous l’avez compris, dans ce cas, le phishing est efficace car il est crédible, et c’est là tout l’enjeu de l’ingénierie sociale : savoir recueillir un maximum d’éléments pour pouvoir abuser de la confiance des collaborateurs.

Reste à savoir comment le hacker s’y prend pour obtenir toutes ces informations.

Il dispose d’un véritable arsenal, interne, externe, conscient, inconscient, direct, indirect. Mais ceci est une autre histoire …


  • 0

Bienvenue

Category : Non classé

employe-du-moisBienvenue sur Alamosoft, site dédié à la sécurité informatique et à l’ingénierie sociale.