L’ingénierie sociale, mise en lumière avec un piratage massif de Twitter, est définie comme « l’art d’utiliser la tromperie et le mensonge pour arriver à ses fins » par Kevin Mitnick en 2006, utilise les failles humaines pour aboutir à des vols de données ou des arnaques. L’informatique sert de parfait théâtre pour cette pratique.
Durant quelques heures le mercredi 15 juillet, Twitter a dû affronter une crise comme il n'en avait jamais vécu. Le réseau social au petit oiseau bleu a vu 45 de ses comptes les plus populaires être piratées, pour finalement aboutir à une arnaque au Bitcoin. Les individus qui ont mené cette attaque ont plus eu à être imaginatifs et patients qu’à être des cadors de la cybercriminalité.
Grâce au social engineering, ou ingénierie sociale, et à une bonne dose de harponnage (une variante du phishing qui fait appel à l’ingénierie sociale), ils ont pu obtenir les identifiants de plusieurs employés ou sous-traitant de la plateforme, ce qui leur a permis, ensuite, de prendre le contrôle d’autorisations auxquelles d’autres salariés avaient accès, puis de prendre possession des comptes Twitter de célèbres personnalités et donc de récolter environ 120 000 dollars (mais pas que, nous y reviendrons) grâce à l’arnaque au Bitcoin.
Le social engineering, à l’origine de l’incident qui a heurté Twitter
C’est donc le social engineering, une sorte de manipulation psychologique destinée à obtenir des informations, qui a offert la possibilité aux individus malveillants de sévir et de réaliser le casse du siècle sur les réseaux sociaux, au sens symbolique du terme, même si on ignore encore la portée future des actions menées.
Mais qu’est-ce que l’ingénierie sociale ? Peut-on l’assimiler à du hacking, et si oui, à quelles formes de hacking ? Où ce phénomène trouve-t-il son origine ? Que sait-on exactement, aujourd’hui, sur l’incident qui a frappé Twitter et ses utilisateurs ? Et surtout, comment s’en prémunir ? Voilà des questions auxquelles nous tentons d’apporter des réponses avec, notamment, l’expertise de Fred Raynal, patron et fondateur de Quarkslab, entreprise française spécialisée dans le développement de logiciels en sécurité de l’information.
Qu’est-ce que l’ingénierie sociale ? Ses origines et évolutions dans le temps
Si le social engineering au sens moderne du terme a été popularisé par le célèbre Kevin Mitnick il y a une quarantaine d’années, le phénomène qui consiste en de la manipulation psychologique dans un but d’aboutir à une escroquerie est loin d’être nouveau, comme nous l’explique Fred Raynal.
« Le social engineering est quelque chose qui existe depuis longtemps, bien avant l’informatique, depuis que le commerce existe même, depuis que l’espionnage a été créé, sauf que selon les époques et les mondes, cela porte des noms différents », nous explique le fondateur de Quarkslab, avant de nous rafraîchir la mémoire sur la naissance du phénomène au sens informatique du terme.
"L'individu va établir une relation de confiance et de stress pour essayer d'abuser de la personne qu'il a à l'autre bout du téléphone, de façon à pouvoir accéder aux réseaux internes et aux données privées"
« En informatique, il a été popularisé à la fin des années 70 et au début des années 80 notamment par Kevin Mitnick, un hacker qui fut suivi par le FBI pendant plusieurs années et qui allait fouiller dans les poubelles d’organismes publics pour récolter des informations qui lui permettaient d’entrer dans le réseau interne », explique-t-il.
Une fois les informations nécessaires récoltées, l’individu ou le groupe se charge de créer une relation de confiance et de stress, pour essayer d’abuser de la personne qu’il a à l’autre bout du téléphone, de façon à pouvoir accéder à des réseaux internes puis à des données privées.
Kevin Mitnick, de la pratique à la théorie
Kevin Mitnick, aka Le Condor, est tout simplement l’un des plus célèbres pirates informatiques de l’histoire. Il fut le premier à voir son nom inscrit sur la liste des dix personnes les plus recherchées par le FBI à la fin des années 80. Son pedigree ? Avoir été capable de pirater les bases de données de géants comme Nokia, Motorola, Fujitsu, Pacific Bell ou Sun Microsystems. Il était également parvenu à pénétrer dans un ordinateur du Pentagone, sans toutefois atteindre une base de données.
L’ingénieur en sécurité informatique américain, aujourd’hui âgé de 56 ans, a su démontrer que pour obtenir une information, il était plus simple de manipuler les gens que de pirater des systèmes informatiques.
Le social engineering n’est pas véritablement une attaque informatique au sens propre, même aujourd’hui. Elle est plutôt un moyen d’obtenir des informations, des données sur un système à l’accès restreint, ou des identifiants qui permettent d’y accéder.
"Le social engineering est favorisé par la présence des personnes ciblées sur les réseaux sociaux ou sur des sites communautaires, ce qui facilite l’hameçonnage"
« Elle consiste surtout à se faire passer pour quelqu’un que l’on n’est pas (en général un des administrateurs du serveur que l’on veut pirater) et de demander des informations personnelles (login, mots de passe, accès, numéros, données…) en inventant un quelconque motif (plantage du réseau, modification de celui-ci…). Elle se fait soit au moyen d’une simple communication téléphonique ou par courriel », expliquait dans le détail et dès 2003 Stéphane Gill, enseignant chevronné rattaché depuis plus de 20 ans au département informatique du Collège Ahuntsic de Montréal.
Aujourd’hui, le social engineering est favorisé, facilité même par la présence des personnes ciblées sur les réseaux sociaux ou sur des sites communautaires, ce qui facilite l’hameçonnage. Car l’ingénierie sociale va être un outil supplémentaire au phishing dans un processus de piratage. Les deux sont à dissocier. « Le social engineering ne s'appuie pas sur des techniques informatiques. Le phishing, c'est autre chose : on crée quelque chose qui est un leurre, qui est bien fait, et qui piège quelqu’un qui ne fera pas attention. Le social engineering, c’est un peu plus évolué », précise Fred Raynal.
Le social engineering, les dangers du télétravail
Le télétravail, c'est bien, et sa popularité n'arrête pas de grandir plusieurs mois après le début du confinement dans de nombreuses parties du globe. Mais malgré la prévention, qui a été faite dans de nombreuse sociétés, petites ou grandes, le travail à domicile constitue un véritable risque, une faille ouverte presque chez certains utilisateurs.
On ignore pour l'heure si le premier employé piégé par les attaquants du scandale Twitter était en train d'opérer depuis chez lui ou depuis son bureau. Mais l'action a entraîné une perturbation des rangs, sensibles à ces assauts. "Tout le monde est devenu vulnérable à ce moment-là", témoigne dans les colonnes de CNN Business Anu Bourgeois, professeur d'information à la Georgia State University.
Le domicile, en période de confinement ou au plus fort de la crise sanitaire (et celle vécue aux États-Unis est particulièrement violente, comme chacun le sait) fut souvent occupé en famille, avec des enfants qui peuvent par exemple utiliser le même matériel que l'employé(e) du réseau social. Et sans une sensibilisation et des protocoles adaptés, les risques deviennent vite importants en télétravail pour les entreprises, surtout pour celles qui n'ont pas les moyens humains de gérer tout un parc d'ordinateurs à distance, aussi petit soit-il.
L’ingénierie sociale peut prendre de nombreuses formes. L’une des plus connues reste la fraude au président, qui a touché une majorité d’entreprises ces dix dernières années, et qui reste bien d’actualité. Pour l’attaquant, l’arnaque au président débute en se renseignant sur des organisations, des sociétés, sur leur organigramme de façon à savoir qui est en vacances où, qui est marié avec qui etc.
« Les individus récupèrent des données en vente sur le dark web ou sur les réseaux sociaux. Une fois qu’ils détiennent les informations, le jour où le président est en vacances, ou absent, ou injoignable, ils appellent un membre de l’entreprise, un ou une assistant(e), comptable ou autre en se faisant passer pour le président, en faisant croire que c’est lui au bout du fil et en ordonnant de faire un virement vers des pays ou des comptes d’où l’argent ne revient évidemment jamais », nous décrit Fred Raynal, qui insiste sur un grand nombre d’attaques de ce type ces cinq-six dernières années.
"Le social engineering : peu coûteux, ne nécessite pas de gros moyens matériels, s'appuie sur la psychologie et les ressorts cognitifs"
Ici, l’aspect psychologique est éminemment important, puisque les individus malveillants vont d’abord se faire passer pour le président à deux, trois ou quatre reprises, afin de créer une relation de confiance et en ayant connaissance de tous les biais cognitifs. « La perception du risque agit sur le comportement et joue un rôle prépondérant sur le processus de décision de l’individu. Considérant que le risque est faible, un individu ne procédera pas au traitement de l’information de manière aussi rigoureuse que s’il considérait le risque élevé », explique David Castonguay, de l’Université de Montréal. « Nous ne sommes pas du tout sur de la technique au sens informatique, mais bien sur un domaine des neurosciences. Le marketing, les grandes surfaces utilisent les neurosciences également. Les applications ne manquent pas », détaille le président de Quarkslab.
Et ce dernier est dans le vrai. Si le social engineering peut évidemment être l’outil d’une cyberattaque, le célèbre sociologue Pierre Bourdieu estimait dans ses Questions de Sociologie en 1981 (Editions de Minuit, 1984, page 27) que « les gouvernants ont aujourd'hui besoin d'une science capable de rationaliser, au double sens, la domination, capable à la fois de renforcer les mécanismes qui l'assurent et de la légitimer. Il va de soi que cette science trouve ses limites dans ses fonctions pratiques, aussi bien chez les ingénieurs sociaux que chez les dirigeants de l'économie. Elle ne peut jamais proférer de mise en question radicale. »
L’ingénierie sociale est aujourd’hui devenue, pour les hackers, un moyen d’obtenir de la part d’employés ou anciens employés d’une entreprise des informations qui permettent de contourner les systèmes de sécurité et les robots. Peu coûteuse, ne nécessitant pas de gros moyens matériels et s’appuyant sur la psychologie et des ressorts cognitifs, en profitant des erreurs du cerveau humain dans son traitement de l’information (parce que l’humain est manipulable et influençable), cette technique, basée donc sur cette influence d’humain à humain, peut créer de lourds dégâts. Ce fut le cas très récemment, sur le réseau Twitter.
Le social engineering, remis au goût du jour avec « l’affaire Twitter »
Depuis le piratage des comptes survenu à la mi-juillet, Twitter a officiellement communiqué à plusieurs reprises de façon plus ou moins détaillée pour informer ses clients et utilisateurs sur l’incident de sécurité du 15 juillet 2020. Le 18 juillet par exemple, le réseau social affirmait que plusieurs employés avaient été victimes d’un programme d’ingénierie sociale, et manipulés pour accéder aux systèmes internes de Twitter, ce qui comprend l’identification à deux facteurs. Nous ne rentrerons pas plus dans les détails, car Twitter a apporté de nouvelles informations, plus précises cette fois, le jeudi 30 juillet. Et ce sont celles-ci qui nous aident à comprendre comment les hackers ont réussi leur coup.
"L'affaire Twitter ? Un harponnage, une technique de phishing qui fait appel à l'ingénierie sociale"
À la toute fin du mois de juillet, Twitter a bien confirmé qu’un « petit nombre » d’employés a été la cible d’une attaque de phishing par téléphone, ce que l’on appelle du phone spear phishing. Plus exactement, il s’agit d’un harponnage, une technique de phishing qui fait appel à l’ingénierie sociale. Les hackers avaient ciblé plusieurs employés du réseau social, et ont réussi à leur soutirer, en les joignant à plusieurs reprises par téléphone et en se faisant passer pour le service informatique de l'entreprise, les informations nécessaires (comprenez donc leurs identifiants) pour pouvoir pénétrer dans le réseau, et ainsi accéder aux outils de support internes.
Sauf qu’il y a eu un hic, car les employés ciblés par ce harponnage ne jouissaient pas des autorisations qui auraient permis aux individus malveillants d’atteindre leur but. Il leur a fallu être plus malin que la sécurité de Twitter. C’est ainsi que les individus ont utilisé les identifiants dérobés grâce à l’ingénierie sociale pour viser d’autres responsables qui, eux, avaient bien accès aux outils de contrôle.
Avec un accès aux outils de modération, les attaquants ont pu cibler 130 comptes Twitter dont plusieurs rassemblent des millions de followers, ce qui pouvait assurer une certaine portée à l’arnaque. Les pirates ont pu tweeter à partir de 45 comptes, et ils ont pu accéder à la messagerie privée de 36 d’entre eux. Plus problématique encore, 7 comptes ont vu leur historique de données être téléchargé, une option qui permet d’obtenir un résumé des détails de l’activité de son compte Twitter. Parmi les principales personnalités ou entreprises ciblées, on retrouve Apple, Uber, Barak Obama, Bill Gates, Jeff Bezos, Elon Musk, Joe Biden, Mike Bloomberg, Warren Buffett, Kim Kardashian, Kaney West etc.
Les individus malveillants se sont temporairement emparés des comptes grâce à l’outil de modération. Dans le détail, celui-ci offrait la possibilité de modifier l’adresse mail associée au compte. Grâce à cela, les pirates ont pu modifier le mail lié, puis procéder ensuite à la réinitialisation du mot de passe, pour définitivement prendre possession du compte Twitter ciblé.
Une fois qu’il fut possible de sévir sur le réseau social, les hackers ont écrit un message pour chaque compte promettant, en l’échange de 1 000 dollars en Bitcoin envoyés, de renvoyer le double, soit l’équivalent de 2 000 dollars de la cryptomonnaie. Le tout accompagné d’une suite de caractères qui correspondait à l’adresse d’un porte-monnaie de Bitcoin. Les tweets de personnalités ont rapidement été likés et retweetés par des centaines, voire des milliers de personnes. Plus d’une centaine a pu tomber dans le piège, les pirates ayant récupéré autour de 120 000 dollars en environ deux heures.
"Le piratage de Twitter révèle un autre problème, et d’une manière générale, c’est celui de qui a accès à nos données ? Nous n’avons aucun moyen de le savoir"
On sait désormais qu’entre 1 000 et 1 500 salariés et sous-traitants (rattachés à l’entreprise Cognizant) ont pu potentiellement avoir les accès nécessaires permettant aux cybercriminels de s’emparer des comptes Twitter. « C’est quand même beaucoup », nous fait remarquer Fred Raynal. Le dirigeant de voir plus loin que cette seule carence. « Cela révèle d’ailleurs un autre problème, et d’une manière générale, c’est celui de qui a accès à nos données ? Nous n’avons aucun moyen de le savoir. Il y a un autre problème : technologiquement aujourd’hui, on sait stocker des données chiffrées. On peut le faire sans souci dans le Cloud. Mais tant qu’elles sont chiffrées, on ne peut pas les déchiffrer. Donc à un moment, il faut que ces données soient déchiffrées, et la question, c’est qui les déchiffre, et où les déchiffre-t-on ? Est-ce sur les serveurs de Twitter, Salesforce ou Doctolib par exemple ? »
S’agissant des femmes et/ou des hommes derrière cette attaque, certaines informations commencent à remonter. Les autorités américaines soupçonnent notamment Graham Clark, originaire de Tampa en Floride et âgé de seulement 17 ans, d'être le cerveau de la violation. Plusieurs autres personnes, âgées autour de 20 ans, auraient aidé le jeune homme en convaincant un employé de Twitter qu'il travaillait dans le service informatique de l'entreprise. Quoi qu’il en soit, l’attaque « est l’œuvre d’individus malins, qui ne répondaient pas qu’à des considérations techniques. Ils ont dû se demander quel était le meilleur moyen de faire une arnaque au Bitcoin, et se dire ensuite que c’était en s’emparant de gros comptes. Ils ont tout simplement été pragmatiques », pour Fred Raynal.
Le profil des attaquants, lui, reste clairement à déterminer. Rien ne prouve qu’il s’agissait d’un individu esseulé, comme d’un gouvernement, d’un État ou d’une société. « Ça peut être simplement un groupe d'arnaque au Bitcoin désireux de revendre les données d’un Elon Musk à des tiers, ou des gouvernements qui veulent accéder à des données de personnalités parce qu’ils les jugent d’intérêt et veulent les suivre d’un peu plus près car, plus on a d’informations sur une personne, plus c’est facile de l’attaquer », s’interroge le fondateur de Quarkslab.
« Si c'est un gouvernement qui a fait ça, le fait de mettre des Bitcoin peut avoir servi de leurre pour masquer d'où cela vient. On peut imaginer aussi une société ou un ensemble de sociétés privées qui veulent accéder à des choses et veulent cacher le but de leur opération », surenchérit-il. Et avec raison. Après tout, se livrer à une pratique que l’on ne soupçonnerait jamais pour tel ou tel acteur reviendrait à éloigner les soupçons envers l’auteur potentiel. Et cela correspond bien avec l’esprit de celui qui se livre à de l’ingénierie sociale : la tromperie. On peut donc tout imaginer, même à ce que ce piratage soit lié à la future élection présidentielle américaine.
Comment se protéger du social engineering ? Les conseils utiles
Plusieurs bons réflexes permettent de limiter le risque de fraude par ingénierie sociale. En amont même de toute tentative de tromperie, mieux vaut s’assurer de limiter les informations pouvant être diffusées via les réseaux sociaux ou autres sites communautaires qui peuvent gratuitement fournir de précieuses informations à des individus malveillants. Au sein d’une entreprise, il est bon de mettre en place certaines procédures, comme le double contrôle, la limitation d’accès à des données sensibles et la sensibilisation des collaborateurs, surtout ceux issus des services les plus sensibles, comme la comptabilité.
"Pour se protéger, il y a un mélange entre DE l'intuition et de la paranoïa à avoir. Il faut s'écouter quand on sent qu'un petit truc est bizarre…"
Toute demande urgente ou inhabituelle par exemple de virement doit être prise avec des pincettes et doit nécessiter une nouvelle confirmation. Un interlocuteur trop pressant est censé mettre la puce à l’oreille du salarié. « D'une manière générale, ça va être la même chose de ce qui peut nous protéger des arnaqueurs ou des voleurs. La première impression qu'on laisse est très importante », explique Fred Raynal. « Quand on veut négocier quelque chose, mieux vaut être le premier à donner un prix, parce que c'est ce qui va cadrer la négociation. Il y a un mélange entre de l’intuition et de la paranoïa à avoir. Il faut s’écouter quand on sent qu’un petit truc est bizarre, en essayant de regarder le plus objectivement possible la situation. C’est prendre le temps de lutter contre ses propres biais quelque part. »
Twitter, de son côté, nous indique qu’avant même l’attaque, l’entreprise prônait la tolérance zéro en cas d’utilisation abusive d’informations : surveillance des abus, vérifications régulières des autorisations, sanction immédiate au moindre dérapage etc. Et pourtant, cela n’a pas empêché le petit oiseau bleu d’être prisonnier de son propre nid. Sur le social engineering, la firme californienne évoque « un rappel frappant de l’importance de chaque membre de notre équipe dans la protection de notre service. »
Depuis l’attaque, Twitter a limité l’accès à ses outils et systèmes internes, le temps d’améliorer ses méthodes de détection de prévention des accès inappropriés aux systèmes.