Le Social Engineering ou l’art du piratage humain

Le social engineeringLe social engineering est une technique de piratage qui relève plus de la supercherie que de la connaissance en informatique. En effet, nul besoin d’être un hacker pour pirater boite e-mail, compte facebook ou twitter. L’ingénierie sociale est aussi est connue et pratiquée depuis près de 20 ans, elle a été mise en lumière par le “hacker” Kevin Mitnick dans son livre  “L’art de la supercherie“.

A quoi consiste le Social Engineering ?

Il s’agit d’obtenir un maximum d’informations sur la victime, sans exercer un quelconque acte de piratage. Vous vous mettez en relation avec la victime, directement ou indirectement et tentez d’obtenir des informations sur elle, sans éveiller les soupçons. Des informations comme :

  • Quel est son club de foot préféré ?
  • Quel est son film préféré ?
  • Quel est son chanteur ou chanteuse préféré?
  • La marque de sa voiture?
  • Son lieu de naissance ?
  • Sa date de naissance ?

Autant d’information que possible, aussi anodines soient-elles.  Il y a moins d’une dizaine d’années, obtenir ce type d’information prenez du temps et nécessitez une véritable investigation.

De nos jours les réseaux sociaux, Facebook en tête, sont une une véritable mine d’informations pour les pros de l’ingénierie sociale. Les membres de Facebook, notamment les plus jeunes d’entre eux, n’hésitent pas à publier un grand nombre d’informations :

  • passions
  • films préférés
  • sports pratiqués
  • écoles fréquentées
  • lieu d’habitation
  • numéro de téléphone
  • e-mail
  • blog / site web
  • relation amoureuse
  • photos personnelles
  • géo-localisation ( à tous moments)

Autant d’information qui permette à une personne malveillante de pirater la plupart de vos comptes mail, facebook, twitter, compte client, voire compte bancaire.

Géo-localisation, l’option qui met votre demeure en péril

une aubaine pour les cambrioleurs

La géo-localisation est également très dangereuse est je conseille fortement de ne pas l’utiliser sur les réseaux sociaux. Car elle indique  au moment précis où vous vous trouver, ce qui veut dire que si vous êtes dans un parc d’attraction, ce que vous n’êtes pas à votre domicile, ce qui est une aubaine pour les cambrioleurs qui auront été avertis  par l’un de vos contacts sur les réseaux sociaux.

Pirater un compte Gmail  ou Hotmail

Le procédé est simple, à tel point qu’il est accessible à tous. En effet, au moment de votre inscription chez Hotmail ou Gmail, vous avez dû créer une question secrète*  à laquelle normalement vous êtes le seul à avoir la réponse. Mais bien souvent les questions ne sont pas assez personnelles,  et se révèlent extrêmement facile à obtenir. Exemple de questions :

  • Quel était le nom de mon école primaire ?
  • Quel est le nom de premier animal de compagnie ?
  • Quel est le nom de jeune fille de ma mère ?
  • Dans quelle rue ai-je passé mon enfance ?
  • Quelle était la marque de première voiture?
  • Quelle était la couleur de ma première voiture ?
  • Quelle mon équipe de sport préféré ?
  • Quel est mon chanteur préféré ?

Il suffit de se rendre sur votre profil Facebook pour obtenir la moitié de ses informations.  Le chanteur préféré figurera très certainement dans vos “like” de Facebook, ainsi que votre équipe de sport préféré. Si vous avez dûment remplit votre profil, vous avez certainement renseigné la rue ou le quartier dans lequel vous avez grandi, ainsi que l’école que vous avez fréquenté. Si vous aimez votre voiture, on verra au volant de cette dernière sur l’une des photos de vos albums, ainsi que des photos de votre chien ou chat que vous trouvez tellement mignon que vous voulez le montrer à tous. Votre mère aura certainement rejoins votre réseau d’amis et vous aurez à coup sur spécifié la relation avec cette personne en indiquant aux autres qu’il s’agit de votre mère. Votre mère quant à elle, bien qu’elle est changée de nom, voudra très certainement retrouver des amis d’enfance, et indiquera donc son de jeune fille pour faciliter les recherches.

Nous voilà donc avec un nombre d’information important,  sans même avoir fait une réelle investigation. Il ne reste plus qu’à faire une demande de nouveau mot de passe  auprès de hotmail en cliquant sur mot de passe oublié, puis de renseigner la question secrète.

Vous pourrez alors redéfinir le mot de passe, qui rendra l’accès au titulaire impossible.  Une fois dans sa boite mail, vous lancerez une recherche sur des requêtes précises :

  • mot de passe
  • password
  • mon compte
  • votre compte

Vous constaterez avec étonnement que la victime, comme la plupart des internautes utilise le même mot de passe pour tous ses comptes. Il vous sera alors très facile  de pénétrer un peu plus son intimité, en se connectant sur son compte Facebook par exemple,  ses comptes clients chez des marchands en ligne (Amazon, Pixmania, Cdiscount,…), son compte bancaire.

Cela paraît  trop simple ? Pourtant c’est bien la vérité,  j’en ai fait l’expérience avec des proches, en leur montrant sous leurs yeux qu’il me fallait moins de 10 minutes pour accéder à leur boite mail et à différents comptes clients.

Comment lutter efficacement contre le Sociale Engineering ?

La méthode la plus radicale est de ne rien publier sur sa personne,  mais cela paraît aujourd’hui difficile,  à l’heure où l’on veut tout partager en temps réel avec ses amis, rester connecté en permanence. Puisque vous voulez continuer à partager, imposez vous quand même quelques restrictions. Ne faites pas  figurer  la réponse votre question secrète sur les réseaux sociaux.

Autre point important, je vous invite  à utiliser un mot de passe différent pour chacun de vos comptes, en utilisant idéalement un mot de passe alphanumérique avec changement de casse et si vraiment vous voulez verrouiller le tout, utilisez également un caractère spéciaux @ ! ; ) = [ |

Exemple de mot de passe : FrikoGa@96 ou bien encore Jerepd789! sont des mots de passe efficaces.

Si le fait de retenir autant de mots de passe vous paraît impossible, je vous proposes deux solutions.

La première consiste à faire des variantes du mot de passe principal. Si votre mot de passe usuel est : sidney. Utilisez par exemple pour votre boite mail principale Sidney@1975 (1975 pourrait être votre année de naissance), pour votre deuxième boite mail : Sidney@1978 (1978 année de naissance de votre ami(e)),…

Enfin si la mémoire n’est décidément par votre truc, vous pouvez toujours utiliser une application comme Keepass, qui s’occupe pour vous de retenir tous vos mots passe. La seule chose que vous ayez à faire c’est de retenir le mot de passe principal qui permet d’accéder à l’application, après c’est l’application qui se charge de tout.

Autre recommandation, l’utilisation d’un mot de passe différent est un bon point, mais l’utilisation d’une boite mail différente par activité est encore mieux. Ainsi vous vous créerez une boite mail pour votre compte marchand Amazon, Pixmania, Cdiscount, Fnac… Une autre pour les réseaux sociaux, une autre pour les amis et la famille (éventuellement votre banque) seulement et enfin une boite poubelle pour toutes les inscriptions obligatoires dans les forums, pour les concours, petites annonces sur leboncoin ou vivastreet.

En dissociant vos activités par boite, votre lutter plus efficacement contre les tentatives de piratage de votre compte mais également contre le SPAM, qui sera très important sur votre boite poubelle, alors qu’il sera quasi nul sur votre boite réservée aux amis et la famille.

N’hésitez pas à partager à cet article autour de vous,  mieux les internautes seront informés, mieux ils seront protégés.

*La question secrète a tendance disparaître est à laisser place à l’e-mail de secours ou de façon plus générale au numéro de mobile. Ceci afin de lutter plus efficacement contre ce phénomène de fausse récupération de mot de passe. Le revers de la médaille ce que vous donner encore plus d’information à votre fournisseur de boite mail.

Si cet article vous a été utile, n'hésitez pas à le partager.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *