articles
réactions
Jeff - 26.10.2007 | 13 réactions | #link | rss
Le site badoo est réputé pour ses mauvaises pratiques; j'ai moi-même été piégé tout au début par un mail qui est en fait envoyé automatiquement à tout le carnet d'adresses. Voici un extrait:



Salut !


Juste un petit mot pour t'inviter à venir voir ma nouvelle page sur Internet. J'ai pensé que le site pourrait te plaire alors je t'ai invité, tu n'as plus qu'à confirmer.


http://eu1.badoo.com/..../in/....


A bientôt !

Grâce à ces pratiques, le site a connu une période de gloire, même sîl semble que le nombre de membres soit maintenant en diminution. Je vous invite à aller lire ce petit article.
Jeff - 22.07.2007 | 0 réactions | #link | rss
Enfin une bonne analogie pour expliquer le social engineering à nos anciens:

C'est beau, ca donne envie (sisi), ca a l'air sain et naturel mais ATTENTION!! Cliquer dessus est le meilleur moyen de choper une bonne syphilis digitale.

Jeff - 01.11.2006 | 0 réactions | #link | rss
Un petit billet sur ce thème qui me tient à coeur, tout du moins pour l'heure qui vient...

Tout d'abord qu'est-ce donc? Le social engineering, c'est du piratage informatique avec une pointe (euphémisme) de "social", c'est-à-dire une connotation humaine qui vise à mettre la victime en confiance pour l'amener à la faute.

Pour les connaisseurs, Kevin Mitnick fut un maître incontesté de cette pratique, à l'époque où elle n'était pas encore très répandue. Son histoire fut relatée dans un film, je crois, et dans un bouquin (the art of deception, de tête). Le monsieur a aujourd'hui réussi à se recycler en capitalisant sur ses succès passés... bref.

Les techniques utilisées sont infiniment variées. Exemples:
- par téléphone: "Oui bonjour. C'est le service informatique. Nous faisons des tests; pourriez-vous nous donner votre mot de passe?"
- par téléphone: "Bonjour, je vends des aspirateurs. Mais quel type d'antivirus utilisez-vous?"
- par mail: "Bonjour, je suis étudiant dans votre ancienne université. Pourriez-vous regarder mon CV en pièce jointe et cliquer OUI partout?"
- par mail: "Bonjour c'est votre banque. Nous faisons des tests de sécurité. Merci de rentrer votre PIN de carte bancaire ci-dessous."
- par mail: "Nous avons des billets de cinéma à vous offrir, de la part de votre société. Remplissez donc le formulaire en pièce-jointe."

Etc, etc, etc. Evidemment, plus le pirate mentionnera des repères connus de la victime, plus celle-ce sera mise en confiance et commettra la faute.

Rien de bien neuf jusque-là; cependant beaucoup ignorent l'efficacité de ces techniques. En considérant un minimum de critères tel que la taille de l'entreprise (plus c'est grand, moins les gens se connaissent) et la sensibilité des personnes en charge de l'informatique ("rien à foutre de ce mail..."), je pense que les 3/4 (si ce n'est la totalité) des sociétés peuvent être pénétrées par ce biais.

Et oui, fini le temps des systèmes complexes, des applications opaques et des réseaux-labyrinthes... Il est bien plus simple d'envoyer un économiseur d'écran moisi ou un CV vérolé. Gain de temps, gain d'argent, gain d'efficacité...

Quid de l'éthique? Ouais, ok, le pirate ne cherche pas à être éthique. Mais les professionnels de la sécurité, eux, devraient pourtant en garder un minimum. D'éthique. Tout le monde sait que le maillon faible reste et restera l'humain. De là à exploiter sa crédulité pour démontrer la viabilité d'un business-model, je trouve que c'est gonflé...

Tout comme l'on joue avec la crédulité d'un employé, la démonstration de l'efficacité du social engineering repose elle-aussi sur la méconnaissance de principes de base.

Cette tendance, d'ailleurs, est plus générale et concerne toutes les nouvelles technologies. A mon avis. Peu de personnes savent encore comment fonctionnent réellement les choses: plusieurs couches d'abstraction se sont surperposées entre elles et la réalité des choses. Et ces couches sont plus ou moins déformées, subjectives et orientées, afin de d'appuyer telle ou telle théorie voir même pour créer un besoin qui n'existait pas jusqu'alors. L'adjectif virtuel prend alors tout son sens.

En conclusion, 2 choses:
- l'histoire ne s'arrete surement pas là.
- le monde appartiendra à ceux qui voient à travers la matrice, c'est-à-dire à ceux qui savent encore comment elle marche...
FutureBlogs - v.0.8.6beta - Ce site est hébergé par http://monblog.ch