Monthly Archives: janvier 2017

  • 1

Une PME florissante pillée par un hacker

Category : Non classé

Voici la mésaventure qui est arrivée à une petite société de services il y a quelques années. Les noms ont été changés pour des raisons de confidentialité.

Bien décidé à arrondir ses fins de mois, un hacker, que nous appellerons Kevin, avait choisi de lancer une attaque ingénierie sociale. Dans ce cas de figure, il s’agit d’un hacker de type Mercenaire (voir page Et vous ?), mais dans la sous-catégorie des hackers financiers, ceux qui s’en prennent directement à votre argent.

Au préalable, notre hacker avait pensé à assurer son récipient, le compte en banque qui au final, devait recevoir l’argent. Aucun problème, lord d’un voyage à Hong Kong, il a ouvert un compte en banque. Les autorités ne sont pas très regardantes tant que le client dispose d’une passeport en règle et d’une somme d’argent rondelette pour ouvrir ce compte. En échange, il reçoit une carte bancaire et un numéro d’IBAN, c’est bien plus qu’il n’en faut.

Ensuite, Kevin se met en recherche de sa cible potentielle. Après quelques recherches sur le Web, il déniche sa proie, une société de services en PACA. Elle a le profil parfait. Moins de 100 employés, une trentaine de personnes au siège, et une activité internationale basée sur la délégation de personnel.

Ce dernier point n’est pas indispensable mais il est pratique, car dès lors qu’une société possède des activités internationales, sa banque ne sera pas surprise si des transferts d’argent sont effectués vers des comptes à l’étranger.

Dans une attaque d’ingénierie sociale, le hacker commence par définir l’objectif. Si c’est un mercenaire pur, l’objectif est défini par le client (par exemple, des informations sur un produit, un prototype, la base client, la base fournisseurs, la base partenaires, des contrats, …). Si c’est un mercenaire financier, l’objectif est défini par la stratégie qu’il compte employer pour détourner les fonds. Souvent, l’usurpation permet de donner un faux ordre de règlement à la comptabilité, c’est l’arnaque dite « du président ». Mais nous allons voir qu’il y en a une autre, bien plus redoutable encore.

Kevin, notre hacker, a donc défini son objectif, qui est de placer un RAT dans l’ordinateur du chef comptable qui, dans une société de cette taille, effectue les virements via son logiciel de transfert bancaire procuré par la banque.

Ce type de logiciel permet, de façon très sécurisée, d’effectuer des virement de compte à compte, d’IBAN à IBAN. Seule la machine sur laquelle est dûment installé le logiciel permet d’effectuer ces transactions, charge à l’entreprise de sécuriser ce poste. Tout le monde ne met pas les mains sur l’ordi du comptable.

Le RAT (Remote Administration tool) est un logiciel qui permet de prendre le contrôle, à distance, d’une machine. Il permet au hacker, en toute tranquillité, d’utiliser la machine distante à sa guise.

Pour ceux qui ne connaissent pas cette technologie, sachez qu’elle est pourtant très ancienne. De nombreux logiciels l’utilisent et les sources de ce type de produit sont disponibles depuis longtemps, ce qui a permis aux hackers de décliner une impressionnante collection de variantes adaptées à leur usage. Il n’est même pas nécessaire d’être développeur pour en utiliser un à sa convenance. Par ailleurs, les sociétés de maintenance l’utilisent largement et une version simplifiée est même installée de base sous Windows depuis des années.

Après avoir défini l’objectif, Kevin doit réfléchir à la stratégie, c’est à dire, le moyen permettant d’atteindre l’objectif.

Enfin, il aura besoin de passer à la phase suivante de son attaque, la récolte. Il lui faut obtenir un maximum de renseignements pour piéger la cible. Plus le hacker dispose d’informations, moins la victime se méfiera.

Voici comment il s’y est pris.

Un matin, Kevin appelle la société au standard. la standardiste lui répond. Il se présente comme étant Mathieu Richard de la société de recouvrement transco, société agissant pour le compte de l’éditeur de logiciel Compta +. Il expose son problème.

– Un de nos techniciens est intervenu chez vous il y a deux mois. Il se trouve que la facture correspondant à son intervention est impayée. Puis-je parler à un responsable ? demande-t-il.

Pour des affaires de ce genre, la standardiste lui passe le service comptabilité sans se faire prier.

Après s’être présenté de nouveau, le hacker explique à celle qui est, de toute évidence, la responsable du service comptabilité, qu’un technicien est venu effectuer une intervention sur site et que la facture demeure impayée. Il donne la référence de la facture, qui évidement est introuvable dans le système d’information de l’entreprise puisque la facture n’existe que dans l’imagination du hacker.

La comptable demande alors de quel type d’intervention il s’agissait. Kevin répond qu’il s’agissait d’une réparation sur les postes équipés du logiciel Compta plus.

– Alors, il doit y avoir un problème, car nous n’utilisons pas Compta plus, lui répond la comptable.
– Pourtant votre société est référencée dans la base client avec un contrat de maintenance actif.
– C’est impossible, monsieur, répond la comptable, nous utilisons GSD compta depuis au moins trois ans.
– Voila qui est étrange. Ça ne vous ennuie pas si je vérifie les informations avec vous ?
– Non, répond la comptable.

A la demande de Kevin, elle donne les informations souhaitée, qui ne sont pas confidentielles, le nom, l’adresse, le téléphone et le numéro de SIRET.

Kevin lui dit alors ceci :

– Je vous propose la chose suivante. Je met la procédure de recouvrement en attente et je vais vérifier ce qui cloche. Si j’ai un souci, je vous rappelle. Puis-je savoir votre nom ?
– Mathilde Couraud, répond la comptable.
– Parfait. Si je ne vous rappelle pas, c’est que le problème a été identifié et la procédure abandonnée.

Kevin remercie poliment, souhaite une bonne journée, et raccroche. Il a sa effectué sa collecte. Il détient désormais les deux informations qui l’intéressent : le nom de la comptable et le logiciel qu’elle utilise quotidiennement.

A ce stade, on peut légitimement se poser une question : pourquoi la comptable lui a donné ces informations ?

En réalité, dès lors qu’elle ne soupçonne pas une tentative d’escroquerie, et rien dans le propos de Kevin ne lui indique qu’il s’agit d’un tel cas de figure, elle n’a aucune raison de ne pas l’informer.

Par contre, elle a deux facteurs inconscients qui l’encouragent à le faire.

1/ Ces informations ne sont pas, à priori, confidentielles.
2/ En tant que responsable comptable, une procédure de recouvrement est une source de stresse, car il s’agit, potentiellement, d’une erreur de son service. Elle fait donc de son mieux pour que cette source de stress professionnel disparaisse et collabore de bonne grâce avec celui qui peut la supprimer, même si en réalité, lui seul en est à l’origine.

Une fois sa récole terminée, Kevin va devoir patienter plusieurs mois afin que le souvenir de cet incident s’éloigne des pensées de la comptable. cela va lui laisser le temps de préparer son attaque.

Il va donc utiliser un RAT commun qu’il va personnaliser. Il va surtout s’appliquer à réaliser un programme d’installation des plus crédibles.

Pour ceci, il va télécharger une version de démonstration du logiciel GSD Compta et capturer les écrans d’installation. Rien de plus simple ensuite, grâce aux outils d’installation de logiciels connus de tous les développeurs, que de créer un module de setup en tous points identique à celui de GSD compta dernière version.

A un détail près : ce programme d’installation n’installera que son RAT.

Ensuite, il va réaliser une page web imitant parfaitement la présentation de GSD compta (police du site officiel, logo, entête). Là encore, c’est un jeu d’enfant, surtout lorsqu’on dispose de tant de temps pour le faire.

Sur cette page, il n’oubliera pas de faire saisir le numéro de licence, nécessaire à la crédibilité.

Puis il va préparer une courrier directement au nom de la comptable.

Dans cette lettre, l’éditeur signale l’impérative nécessité de corriger une faille de sécurité du logiciel en effectuant une mise à jour exceptionnelle.

Ce document est la clé. Plus il contiendra d’éléments dits sécurisants, moins la victime pourra avoir de doutes sur son origine.

Le document soit donc s’accompagner d’une procédure pas à pas, écrite sans faute et ponctuée de copies d’écran, indiquant notamment la façon d’obtenir le numéro de licence du logiciel disponible dans la fenêtre a propos.

Pour accentuer la crédibilité, le hacker ajoute que les clients qui disposent d’une version inférieure à la version 2 (trop ancienne pour pouvoir être utilisée par cette entreprise) ou disposant déjà de la version 5.4 (pas encore sortie) ne sont pas concernés par cette mise à jour. Il conseille aussi vivement de réaliser une sauvegarde avant mise à jour pour éviter tout désagrément.

Enfin, la lettre est signée du nom du président de GSD compta, dont le nom est disponible an deux secondes sur Google. Une fausse signature et une enveloppe imprimée au logo de la société GSD Compta assurent l’illusion.

Pourquoi Mathilde Couraud ne mettra pas en doute ce courrier ?

Parce qu’elle a son cerveau contre elle. Le cerveau humain traite des milliers d’informations quotidiennes. Seulement 10% de ces informations sont conscientes. Consciemment, la comptable ne tiendra pas compte de tous les petits détails qui confortent la vraisemblance de la lettre, le fait qu’elle lui soit adressée personnellement, l’absence de fautes, le logo, le pied de page, le nom du PDG et l’enveloppe siglée qui, à elle seule, fait tomber la moitié de la suspicion. Mais inconsciemment, ces informations sont traitées par son cerveau et lui réservent un verdict sans appel : ce document est authentique.

Dès lors, après sa journée et sa sauvegarde quotidienne, Mathilde Couraud va aller sur le site web indiqué, elle va inscrire son numéro de licence et elle va télécharger le module de sécurité. Elle va l’installer, toujours inconsciemment rassurée par l’effort de design fait par Kevin qui conforte toujours l’illusion d’être dans l’univers GSD compta en respectant à la lettre la charte graphique de l’éditeur.

Une fois installé, le RAT donnera accès à l’ordinateur de la comptable. Il permettra de connaitre avec précision le contenu de ses mails. Kevin les lira, connaîtra ses périodes de congé et profitera tranquillement des prochaines vacances de Mathilde Couraud pour se livrer à des transferts bancaires vers son compte à Hong Kong. La comptable ne s’apercevra de l’arnaque qu’à son retour, en consultant le relevé bancaire. Mais il sera alors trop tard pour agir.

Cet exemple illustre combien l’ingénierie sociale est dangereuse. Les attaques d’IS à grande échelle, en mode opportuniste alimentent les discussions de cafétéria, on commence à les connaitre. Mais les attaques ciblées sont, pour les personnels non formés, quasiment imparables.

Comme l’explique Kevin Mitnick, LA référence en matière d’ingénierie sociale et auteur de « l’art de la supercherie », l’être humain occidental n’est pas programmé pour douter. Dès qu’une communication s’établit avec un autre être humain, sans message inconscient trouble fête, c’est la confiance qui est de mise. Personne ne met en doute, d’emblée, l’identité de celui qui vous contacte. Par la suite, la richesse et la crédibilité du message transmis renforce cette intuition de confiance.

Contre l’ingénierie sociale, il n’y a qu’une parade : la formation. Aussi, si vous êtes entrepreneur, contactez-nous (vous disposez d’un formulaire contact à cet effet sur le site).

Si vous connaissez des entrepreneurs, des responsables de la formation ou des RSSI, transmettez-leur cet article.

Et comme la formation commence tôt, j’encourage les universités et écoles supérieures à nous contacter. Nous pouvons, là encore, proposer des conférences ou des cours adaptés pour préparer les étudiants à ce qui sera assurément un fléau majeur des décennies à venir.

L’auteur

Alain Monfort est consultant informatique et analyste du comportement. Depuis 2016, il propose des conférences et des formations dédiées à l’ingénierie sociale, la premier danger en matière de cyber-sécurité.