/ social engineering

J'ai "juste" cliqué sur un lien...

Alors que certaines personnes n'ont rien à cacher, d'autres ont "juste" cliqué sur un lien... Dans les deux cas, grave erreur !

Bercy teste ses fonctionnaires

En parcourant le net, aujourd'hui, je suis tombé sur une actualité expliquant (rapidement) comment Bercy piège et teste ses employés aux "cyber" menaces (je refuse d'utiliser le nouveau jargon).

Pour résumer la chose, Bercy a fait envoyer à une partie de ses employés un email leur proposant d'obtenir gratuitement une (ou plusieurs) place(s) de de cinéma. Petite boutade au passage, le nom des expéditeurs était celui d'illustres personnages.

Au final, sur 145 000 sujets testés, on apprend que 30 000 ont cédé à la tentation en cliquant sur le lien dans l'email... les redirigeant vers un site leur rappelant que ce qu'il venait de faire était dangereux.

Et effectivement, c'est dangereux !

Cliqué n'est pas joué...

En fait, le fait de "seulement" cliquer sur un lien peut vous causer un paquet d'ennuis.

Il n'est pas forcément indispensable d'installer un programme ou bien ouvrir un document pour courir un risque. Le simple fait de visiter un site web "frauduleux", pourra faire de vous une proie pour des pirates mal intentionés. Je précise "mal intentionés", car à la base beaucoup de pirates n'ont pas de mauvaises intentions... Je parlerais donc de "Black hat" pour définir ces vilains pirates.

Mais alors comment le simple fait de visiter peut-il me mettre en danger ?

Réfléchissons quelques instants à la "puissance" des navigateurs web de nos jours. Cela nous permet de lire / écrire des emails, écouter de la musique, lire des vidéos, et même jouer à des jeux vidéo ! Alors ne doutons pas du fait qu'il soit aussi possible d'"infecter" un ordinateur.

Votre navigateur web sait faire beaucoup de chose, et la plupart sans votre consentement. Avez-vous remarqué toutes ses vidéos qui se lancent toutes seules ces derniers mois ? Et bien, pour prendre le contrôle d'un PC à distance, c'est pareil... Il vous suffit d'être sur la "bonne" page

NB :

  • il s'agit d'un scénario théorique mais tout à fait plausible.
  • J'aimerais aussi attirer votre attention sur le problème des mises à jour.
    En entreprise, il faut souvent partir du principe que tous les ordinateurs des employés ne seront pas totalement à jour. En effet, il faut souvent un laps de temps entre la publication de la nouvelle version, et son installation sur le PC de chaque employé.
    Pourquoi ?
    La raison principale : une nouvelle version doit d'abord être testée sur des machines dédiées afin d'être sûr qu'elle ne casse pas le fonctionnement actuel des autres applications internes. Cette phase de test peut durer plusieurs jours ou semaines. Une fois le test terminé, la mise à jour sera déployée sur l'intégralité du parc informatique. Nous parlons ici d'un scénario assez idéal ! Car croyez-moi, en pratique les mises à jour sont rarement appliquées dans de bonnes conditions (quand elles sont appliquées), et dans des délais corrects.
    C'est à dire que dans ce cas, si une faille X qui apparaît, les méchants black hat vont rapidement (et ils sont bien souvent plus rapides que les gentils informaticiens qui doivent tester / installer les nouvelles versions) mettre au point des outils (automatisés) pour attaquer à l'aveuglette le plus de personnes / systèmes possibles.
  • Enfin, il existe des failles appelées "0day", qui ne sont pas connues des "fabricants" de logiciels. Ces failles sont donc exploitées par les black hat, sans qu'aucune mise à jour ne soit connue. Ce qui veut dire, que même le système le plus à jour pourra être vulnérable.

Un scénario catastrophe

Ce type d'attaque mise en place par Bercy est une attaque de type "social engineering", c'est à dire une attaque qui se base sur "l'humain" plutôt que sur la machine. Et la plupart du temps, les attaques dites de social engineering demandent aux victimes de cliquer sur un lien (c'est notre cas ici), puis de remplir un formulaire en ligne sur un site ressemblant se faisant passé pour un autre (on parle alors de "phishing").

Ceci-dit, rien ne nous empêche de combiner une attaque basée sur l'humain et une attaque basée sur la machine.

Imaginez ainsi, un lien qui vous envoie vers un site vous proposant une place de cinéma gratuite (comme dans l'attaque de Bercy).

Les black hat à l'origine de cette attaque vont donc mettre en place un site web pour récolter des informations afin d'envoyer les places de cinéma aux victimes. Il s'agit d'un "vrai" site. On ne parle de pas ici de phishing (on essaie pas de copier Facebook, Gmail, la sécu, ou je ne sais qui encore). Pour pousser le vice encore plus loin, les pirates peuvent même envoyer de vraies places de cinéma aux victimes et ainsi éviter encore plus la suspicion ! Je sais bien que 30 000 places à 10€ la place, ça fait beaucoup d'argent... mais avec un autre "hack" pour obtenir des places sans payer, c'est tout de suite plus confortable.

Les pirates ont donc la main sur le site, et peuvent y mettre le code source de son choix.

Ils peuvent par exemple utiliser un outil comme BEEF. Avec un petit bout de code, et en fonction des plugins installés (Java, rarement à jour et souvent installé en entreprise, par exemple), les pirates auront accès à plus ou moins d'informations sur leurs victimes.

EDIT : Afin de clarifier les choses, ce type d'attaque peut très bien arrivé sur un système parfaitement à jour et sans aucun plugin. C'est dans ce but (entre autres) qu'est organisé une fois par an, la "convention pwn2own" (lien en Anglais), qui permet systèmatiquement de découvrir des failles 0day dans nos navigateurs.

Les pirates pourront donc obtenir en temps réel :

  • des informations sur la machine locale ;
  • des informations sur le réseau ;
  • les identifiants de la "session" (donc probablement une session dans un domaine active directory) ;
  • un accès "admin" complet sur la machine, etc.

C'est extrèmement simple à mettre en oeuvre et peut donner de très très bon résultats.
Le gros inconvénient et que ce type d'attaque dépend énormément d'un système à l'autre. Système que le black hat ne connait pas à l'avance. Il y va à l'aveuglette !

Je vous propose une petite vidéo (pas de moi), illustrant mon propos :

Des risques sous-estimés

Ce scénario bien que théorique est tout à fait réalisable.

Pour les black hat, lancer une telle attaque est souvent synonyme d'un taux de réussite très très faible. Mais lorsqu'il s'agit de rentrer dans un réseau d'entreprise (pour un certain nombre de raisons possibles, je reviendrai dessus dans un autre article, celui-ci commençant déjà à être bien long), un seul compte peut suffire ! Sur ce type d'attaque, on ne cherche pas la quantité, mais la qualité. Le but est d'avoir au moins un compte afin d'avoir un pied à l'intérieur d'une entreprise.

Il est donc très important d'éduquer son personnel, et le public en général. Nous sommes en 2017, en nous commençons enfin à comprendre les risques du "phishing". C'est très bien, mais ce n'est pas trop tôt !

Il faudrait désormais aussi penser à sensibiliser aux autres risques liés au social engineering, car le phishing n'est que la partie émergée de l'iceberg. Et dans le social engineering, le maillon faible comme nous l'avons vu, c'est l'humain.

Pour conclure, pensez-y : simplement cliquer sur un lien peut être aussi dangeureux que d'installer un programme inconnu. Alors ne cliquez pas sans être sûr !