social engineering

Le Social Engineering : quand le pirate ne compte que sur la ruse

Quel peut donc être le point commun entre un aquarium géant du Nord de la France, un pirate informatique Israélien, des commissariats Français, Nestlé, Coca-Cola ou encore 55% des entreprises Françaises ? A première vue, rien. Sauf que tout ce petit monde s’est retrouvé à un moment confronté à la plus vielle technique de piratage, le Social engineering. Enquête !

Vous avez certainement du en entendre parler, un pirate franco-israélien baptisé sur la toile Ulcan, est en train de faire tourner bourrique la justice Française… et la sécurité des informations contenues dans le fichier STIC (Système de traitement des infractions constatées). L’homme de 32 ans, un hacktiviste pro israélien qui indique sur son Twitter être un militant sioniste, a lancé une opération de social engineering et de piratages en soutien aux militaires de Tsahal, ainsi que des attaques informatiques à l’encontre la presse qu’il qualifie de partisane et pro palestinienne. Nous ne reviendrons pas sur l’aspect politique des actes d’Ulcan mais sur l’une des méthodes d’action utilisée par ce pirate informatique : le social engineering. L’homme réussi à piéger des policiers via de simples coups de téléphones passés à des commissariats.

Allô, salut collègue !

Ulcan a décidé de manifester à sa manière, via des piratages de blogs (npafranchecomte, belkacem.net, rougemidi.fr, …). Il lance aussi des attaques DDoS qui ont bloqué, quelques heures, Rue89, Reporters Sans Frontières, … Ces dernières cibles ont été visées en raison d’articles rappelant les méthodes, parfois très douteuses, de l’hacktiviste israélien. A note que l’internaute met à disposition des outils de piratage, comme ce code permettant de lancer des attaques de Déni de Service (UDP Flood). Une autre méthode utilisée, faire envoyer la police aux domiciles des cibles, ou des proches des personnes visaient par Ulcan.

Pour ce cyber manifestants, une méthode comme une autre de faire passer son message. Des méthodes simples de piratage. Chaque jour dans le monde, des milliers de sites tombent via ce genre de techniques informatiques. Ce qui différencie Ulcan, ses attaques en mode social engineering auprès des commissariats de police. Pour rappel, le Social engineering est une étude d’une cible a attaquer via des petits à côté qui ne concernent pas directement l’informatique. Une étude sociale et environnementale par la ruse. Et de la ruse, l’Ulcan en use. Il est clairement, que cela plaise ou non, un efficace Kévin Mitnick 2.0 (Kévin Mitnick, alias le Condor, pirate des années 90 à qui l’on doit les premiers faits importants en ingénierie sociale, NDLR). Si dans la fond il y aurait beaucoup à débattre des motivations d’Ulcan, dans la forme, le petit frère d’Analyzer (Ehud Tenenbaum, un autre pirate informatique israélien des années 90, NDLR zataz.com) manipule le Système de traitement des infractions constatées d’une manière qui laisse pantois. Via de simples appels téléphoniques à des commissariats, il a réussi à extraire les Casiers Judiciaires (TAJ – Traitement d’Antécédents Judiciaires) de Dieudonné, Alain Soral, Tariq Ramadan, Hervé Ryssen, Pierre Haski , etc.

Un Social Engineering d’autant plus efficace que le pirate use de mots de vocabulaires professionnels (TAJ, nom d’une brigade, …) qui piègent rapidement les policiers contactés par téléphone. A noter qu’Ulcan semble utiliser un outil qui permet d’usurper le numéro de téléphone lors d’un appel. Détail repéré lors de contact avec les pompiers et un rappeur parisien ou encore avec le commissariat d’Aubenas. Bref, un exemple intéressant qui démontre que les protocoles de sécurité ne sont pas encore bien au point dans certains commissariats français. Le Ministère de l’Intérieur a alerté les préfectures afin de renforcer les procédures de contrôle. De son côté, la brigade de lutte contre la délinquance astucieuse et de la cybercriminalité a été saisie par le parquet. En France, un jeune internaute, sans bagage technique et informatique va réussir en 2009 à mettre la main sur les informations sensibles et très privées des fondateurs de Twitter.


Pendant ce temps…

Le Social Engineering rapporte aussi des millions à d’autres pirates informatiques. Un piratage baptisé l’escroquerie au Président (Faux ordres de virement). Dernier cas en date, celui vécu par Le Centre national de la mer Nausicaa de Boulogne-sur-Mer. Ce sublime aquarium a été ciblé par une escroquerie qui lui a coûté 520.000 euros. Comment des escrocs ont-ils pu réussir à faire réaliser 4 virements bancaires ? Du social engineering et des appels téléphoniques biens placés. Une arnaque aux faux ordres de virement qui font de gros dégâts dans les entreprises françaises. Les pirates, pour réussir leurs coups, étudient leurs cibles, font un environnement total et global des personnels (mails, fonctions, …) ; des différents corps de métiers ; du vocabulaire employé ; des prochaines acquisitions ; des travaux à venir ; des messages diffusés sur les réseaux sociaux, etc. L’Office central pour la répression de la grande délinquance financière (OCRGDF) rappelle qu’il y a jusqu’à deux tentatives par jour de ce type d’escroquerie. Les grands groupes français sont visés, mais aussi les PME. 700 escroqueries de ce genre ont été référencées entre 2010 et 2014, dont 360 en 2013. Sans compter celles qui n’ont jamais été déposées devant un juge. Les sommes qui peuvent être détournées après un social engineering peuvent atteindre des sommets : le cabinet KPMG, 7.6 millions d’euros ; le groupe Wolseley : 14 millions d’euros. Coca-Cola, Eurocopter, le groupe hôtelier Hilton, la marque de vêtements Zannier (Ikks,Levis, Kenzo, Lili gaufrette), le géant du chocolat Valrhona, Vinci, Saint-Gobain, Nestlé ont tous été piégés pour un préjudice annoncé de 156 millions d’euros.

Certains de ces pirates trouvent aussi le moyen de rentrer dans les ordinateurs de leurs cibles. Via le piratage d’un site Internet appartenant à l’entreprise. Des sites satellites, comme ceux des syndicats, du CE, sont des pistes particulièrement usitées par les malveillants. Une fois dans la place, des virements tests sont effectués. Une autre variante de l’escroquerie, celle des « faux loyers ». L’escroc se fait passer pour le bailleur de la société visée. Cette dernière  loue des locaux, le pirate le sait et a récupéré toutes les informations sur ce sujet (Téléphone, poubelle, conversation au restaurant, dans le TGV). Les ordinateurs des hôtels sont très intéressants pour les escrocs, tout comme les ordinateurs embarqués dans les valises pour les vacances !

Avec toutes les informations en main, le voleur n’a aucun mal à indiquer un changement de banque, classique lors d’une cession. Ici aussi, le compte en banque est situé à l’étranger. Autant dire que l’argent, qui est dirigé vers des Pays de l’EST ou des banques Européennes, pour rebondir ensuite en Asie (Hong-Kong, Chine…), ne revient jamais. Dans certains cas, l’argent est récupéré après l’intervention d’Interpol et d’autorités locales.

Modus operandi

Le fraudeur contacte le service comptable de la société cible en se faisant passer pour le Président de la société ou de sa société mère (Parfois un cabinet d’avocat supposé agir en son nom). Du crédit est apporté à ce «scénario» par l’intervention, peu de temps après, de personnes se faisant passer pour des prestataires de confiance (avocats, notaires, commissaires aux comptes, experts comptables,..). Le contact peut se faire par mail (y compris en imitant techniquement l’adresse du dirigeant) ou par téléphone, via le standard. Après quelques échanges d’environnement avec son correspondant, le fraudeur va demander que soit réalisé en urgence un virement à destination d’un pays étranger.

Devant l’urgence, il sera parfois invoqué une opération d’acquisition très confidentielle. Une clause «contrat de confidentialité» à remplir par le salarié est même parfois demandé. Les coordonnées téléphoniques figurant sur les mails des faux comptables ou avocats laissent à penser qu’il s’agit de numéros français, mais il s’agit en réalité de série de numéros de téléphone acquis par des hébergeurs bien souvent à l’étranger, depuis l’ouverture du marché de la téléphonie.

Face au pouvoir de persuasion de son interlocuteur, le comptable sollicité va s’exécuter après avoir reçu les références bancaires du compte étranger à créditer. Il arrive que la demande de virement adressé au salarié supporte la fausse signature du Président. Plusieurs demandes de cette nature peuvent se succéder sur plusieurs jours. Nausicaa a envoyé 4 virements à ses pirates avant de se rendre compte de la supercherie.

Si le comptable hésite ou devient réticent après une ou plusieurs opérations, une variante connue récemment consiste pour les fraudeurs à se faire passer pour des Policiers. En effet, ils n’hésitent pas à demander que le virement soit réalisé pour piéger à l’étranger les malfaiteurs. Le salarié étant contacté par les enquêteurs puisque les escrocs se trouvent alors «sur écoutes». Forcément….. (les noms de «BRDA Paris», «Brigade Financière Paris» reviennent souvent, Capitaine ou Commandant «Elie», …)

Ce type d’escroquerie est l’œuvre d’organisations criminelles particulièrement bien organisées qui préparent minutieusement leur approche auprès des entreprises. Les fraudeurs connaissent bien la société ciblée, son activité, ses projets grâce aux informations ouvertes qui sont disponibles sur internet (informations légales et statuts de sociétés, sur les sites comme Societe.com, Infogreffe, site internet de l’entreprise, presse économique, etc..). Jusque très récemment, les demandes de virements concernaient la Chine, mais une tendance se dessine à destination de banques Européennes, évitant d’éveiller trop tôt les soupçons des victimes. Les fraudeurs manifestent une adaptabilité rapide et remarquable en la matière.

Parades

Il existe des « outils » contre ce genre de fraude, faut-il encore les connaitre et les appliquer. L’entreprise doit désigner son « fraud officer ». Sa mission, mettre en place une cartographie des risques (Broyeur, gestions des appels téléphoniques, cahier d’incidence…) ; formation des employés et mise en place d’un cahier des charges, d’un code d’éthique (diffusion d’information sur Facebook, informations lâchées lors d’un repas, …). ZATAZ ne croise que de trop des « employés » se sentant obliger de taper rapports, courriers sensibles et consultations de dossiers dans les TGV. Et les gars, on a compris que vous étiez des « winners » ! Je vous passe ce que l’on peut croiser dans les ordinateurs d’hôtels. Voir notre enquête à ce sujet. Ensuite, l’entreprise doit s’équiper de manière humaine et technologique afin de détecter les fraudes et tentatives de fraudes. Le « whistleblowing » aura pour mission d’analyser les données électroniques qui transitent. Un data-mining qu’il ne faut surtout pas négliger. Par exemple, pour découvrir cet étrange logiciel dans l’un des serveurs de l’entreprise. Des actions de « corporate intelligence » sont aussi à mettre en place. Pas de l’espionnage interne, mais une étude des « entrées » possibles pour un escroc. Comme dans le cas d’école expliqué dans cet article à la suite du piratage du site Internet du syndicat d’une banque.

Il est conseillé aux entreprises de vérifier l’adresse du correspondant en vérifiant les propriétés du courriel reçu du dirigeant ou de son conseil. Les adresses Gmail, Yahoo!, … sont rarement utilisées par les sociétés et les intervenants dans leurs échanges professionnels. Si c’est le cas, refusez de les utiliser ; se méfier des demandes visant à demander au salarié de correspondre avec son «patron» ou son conseil sur une autre adresse mail personnelle ou avec son smartphone. Ne pas communiquer ses coordonnées personnelles. Faire état à son supérieur de ce type de demande «particulière». Data security breach conseille d’ouvrir une note d’incidence à communiquer le plus rapidement à la direction. Malgré la communication de coordonnées téléphoniques, le correspondant est très rarement joignable directement. Bien souvent c’est lui qui rappelle l’entreprise et le salarié chargé de l’exécution du virement. Dernier point, loin d’être négligeable, faire de la sensibilisation aux personnels concernés à l’intelligence économique et aux règles de sécurité afférente : confidentialité des infos données notamment sur les réseaux sociaux relative à l’activité professionnelle. Enfin, rappeler aux personnels des services comptables et financiers de s’en tenir strictement aux procédures habituellement appliquées en matière de règlement fournisseur ou de financement particulier même si elle émane apparemment de la Direction Générale. Vérifier que les procédures de contrôle interne liées aux vire ments sont suffisamment sécurisées et contrôlées. Les cabinets comptables peuvent utilement participer à cette veille.

Bref, soyez vigilants d’autant plus que, comme le rapporte l’étude 2013 de pWC, 55 % des entreprises françaises ont été victimes d’une fraude entre 2011 et 2013. Alors autant éviter de finir ridicule… et ruiné.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. AHAH Reply

    Un Kevin Mitnick 2.0…
    Vous affirmez ça de façon si peremptoire que ça en devient hilarant,
    Surtout quand on compare non seuleument les motivations, mais aussi et surtout les compétences techniques des deux personnes.

    • Damien Bancal Reply

      Bonjour,

      Je pense que vous devriez relire, mais je comprends votre besoin d’en découdre sur ce sujet, quitte à sauter des lignes de l’article.

      Pourtant, il est bien indiqué que nous nous penchons uniquement sur l’aspect « technique ». Nous comparons donc en terme de Social Engineering et non pas de motivations. Chaque pirate ayant les siennes. En ce qui concerne les compétences techniques, c’est malheureusement la réussite d’une attaque qui prime, pas les méthodes employées pour y parvenir. Ici aussi, relisez l’article et voyez, par exemple, le hack des informations internes des créateurs de Twitter.

      Bref, le fait qu’une personne soit capable, plusieurs fois et dans des lieux différents, de soutirer des informations sensibles à des policiers est, je pense, comparable à certaines attaques que Tomas Guttieriez évoque dans son livre « l’art de la supercherie ». Mais je peux me tromper, cela ne fait que 25 ans que je traite de ce sujet.

      Cordialement

  2. Re Reply

    « Je pense que vous devriez relire, mais je comprends votre besoin d’en découdre sur ce sujet, quitte à sauter des lignes de l’article. »

    Même pas besoin de répondre à ça. Je sens que je vais me faire traiter d’antisémite d’ici peu… Pour info je ne croie pas en dieu, je me fous des juifs, des mulsulmans, des francais, des catholiques et autre communautés d’idiots illuminés… Mais je pense que Mitcnick était sans doute moins lâche, avait plus d’honneur et était bien plus noble que ce vaurien de Ulcan, pour résumer.
    Qu’il continue à se planquer.

    Bien cordialement.

  3. invictus Reply

    Ulcan à utilisé une faille SQL concernant le site de dieudonné, quant au premier canular « pour avoir un stic » ce n’est pas lui qui l’a fait… donc le vocabulaire policier (stic, taj, fpr) on l’a appris d’une autre façon. De plus, utilisé un spoof pour changer le caller id c’est tellement compliqué. Il ne faut pas oublier de remercier son ami guest1014 qui l’a bien aidé dans l’ombre concernant l’informatique. Il est plus doué dans l’ingénierie sociale que dans le hack pure.

  4. Pingback: ZATAZ Magazine » Fraude aux présidents : premières arrestations

  5. Pingback: ZATAZ Magazine » 240.000 $ volés à un patron, les pirates passent par la Belgique

  6. Pingback: ZATAZ Magazine » Ev4cuati0nSquad, des pirates de cour d’école

  7. Pingback: ZATAZ Dans la peau d'une fraude au président - ZATAZ

  8. Pingback: ZATAZ Prise de compte, comptes d'entreprise Office 365 attaqués : astuces pour s’en protéger - ZATAZ

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.