Objectifs

L’objectif de cette prestation est d’analyser la sensibilité des employés d’une entreprise aux attaques par ingénierie sociale.

Tous les scénarios élaborés sont des instances des cas généraux suivants :

  • Phishing et spear phishing (construction de sites factices, messages personnalisés, etc.)
  • Envoi de pièce jointe vérolée (fichier exécutable, document PDF, document MS Office)
  • Usurpation d’identité (mail, téléphone)

Ces scénarios seront systématiquement adaptés au cadre de l’audit afin de maximiser la pertinence des tests. Il sera notamment possible de construire des scénarios par service ou cible spécifique.

A l’issue de nos tests, nous serons en mesure d’évaluer la sensibilité des utilisateurs à ce type d’attaque. De plus, nous pourrons, dans certains cas, analyser la réactivité et la communication interne des utilisateurs à la détection d’une compromission.

Pour finir, la présence d’équipements de filtrage et/ou de détection sera mise en relief si nous déterminons qu’elle a permis la réussite ou l’échec d’une attaque.

Objectifs
Objectifs

Méthodologie

Lors des tests, les consultants suivent une méthodologie élaborée en interne. Cette dernière se base exclusivement sur du retour d’expérience et l’actualité en termes d’ingénierie sociale.

La majorité des outils utilisés pour déployer les scénarios ont été développés par nos équipes techniques, ce qui assure une parfaite maîtrise des actions engagées. Nous nous appuyons en outre sur quelques outils publics, réputés pour leur efficacité et robustesse :

  • Metasploit Framework
  • Phishing Frenzy

La préparation des scénarios requiert cependant une grande clairvoyance de la part du consultant par rapport aux interactions sociales et techniques en jeu. Si aucun organigramme ou liste de cibles n’est fourni, des outils internes ou techniques spécifiques permettront de parcourir de multiples bases de données publiques à la recherche de noms, adresses email ou toute autre information susceptible d’augmenter la crédibilité d’un scénario. Les canaux porteurs d’informations sensibles devront également être identifiés manuellement (passerelle VPN, Webmail, etc.) afin de pouvoir être dupliqués.

Livrable

Le livrable fournit la synthèse d’éventuelles vulnérabilités décelées ou utilisées pour consolider les scénarios, la phase préparatoire ainsi que l’intégralité des scénarios déployés durant la prestation.

Pour chaque scénario joué, un récapitulatif du déroulement est fourni afin de permettre aux équipes techniques de cerner quels points dans la politique de sécurité n’ont pas été respectés. Chaque scénario reçoit également un pourcentage de succès ainsi qu’une évaluation subjective sur la réactivité des tiers ciblés. Des rappels aux bonnes pratiques en la matière sont prodigués lorsque cela fait sens.

Pour conclure, un bilan de la prestation dans sa globalité sera établi. Ce dernier livre entre autres une estimation de la sensibilisation des tiers ciblés et donc implicitement de l’efficacité d’une éventuelle politique en la matière. Elle rappellera également quelles informations critiques ont pu être dérobées, et si une intrusion technique a pu avoir lieu.

Cas d’étude

Un cabinet d’avocats (50 personnes) intégrant son propre personnel informatique met à disposition de ses employés plusieurs services classiques pour l’accès distant à l’information :

  • Une passerelle VPN (vpn.avocats.net)
  • Un serveur de messagerie (mail.avocats.net)
  • Un webmail (mail.avocats.net)
  • Un site web pour le transfert de fichiers sécurisé (secure.avocats.net)

Un numéro et une adresse mail pour joindre le support sont visibles sur le site vitrine de l’entreprise.

Durant la prestation, nous procédons à plusieurs phases de prises d’informations pour découvrir les interfaces porteuses d’informations d’authentification et obtenir un aperçu le plus précis possible sur l’organisation de la société.

Forts de ces informations, nous préparons et jouons plusieurs scénarios :

Phishing
Cette technique très largement répandue consiste à usurper l’identité d’un tiers de confiance auprès des utilisateurs ciblés afin de leur soutirer des informations personnelles (mots de passe, informations techniques et/ou métiers…). L’approche des cibles peut se faire en employant plusieurs vecteurs : mail, SMS, fax, sites web factices; ces derniers pouvant être combinés afin d’accroître la vraisemblance de l’attaque.

Après avoir identifié l’application Web hébergeant le Webmail, nous développons un clone qui ne pourra être différencié visuellement de l’original, et que nous allons placer sur un serveur sous notre contrôle. Afin d’offrir à cette vitrine factice une légitimité d’existence, nous tenterons d’acheter un nom de domaine syntaxiquement proche de l’original : avocrts.com.

Pour approcher les cibles, nous profitons de la connaissance de l’identité du support pour forger un mail sommant d’utiliser dorénavant mail.avocrts.com pour consulter les mails.

Les données d’authentification sont alors récupérées et des statistiques précises dressées sur l’échantillon ciblé à l’issue de ce scénario, ce qui permet de mesurer quantitativement le niveau de sensibilisation face au phishing.

Lorsque cela est possible, nous mesurons la réactivité des cibles en testant périodiquement la validité des identifiants récupérés. Cet indicateur vient compléter le précédent en évaluant la rapidité avec laquelle les collaborateurs vont réagir lorsqu’une alerte est donnée ou qu’un comportement suspect est constaté.

Usurpation d’identité au support
Habilement mené, ce scénario peut se révéler extrêmement efficace : nous profitons de l’absence de contrôle visuel lors des communications téléphoniques pour réaliser une usurpation d’identité.

Nous allons de préférence cibler du personnel itinérant et simuler une perte de mot de passe pour l’accès à la messagerie, notre but étant d’inciter le personnel du support à recréer un mot de passe et à nous le transmettre oralement.

Nous vérifions de cette manière :

la présence d’un processus de vérification d’identité
que la transmission d’informations techniques ou métier s’effectue sur un canal de communication alternatif (SMS, Assistant Personnel, etc.)
la compromission de postes utilisateurs
Plus intrusif, ce scénario n’a pas pour objectif premier la récupération d’informations personnelles, mais la compromission d’une ou plusieurs machines d’employés. Techniquement, la compromission d’un poste implique l’exécution d’une charge utile (exécutable, document PDF, document MS Office) par l’utilisateur, de manière volontaire ou involontaire.

Le succès de ce scénario dépend en réalité de trois facteurs :

La permissivité des équipements : des équipements sont-ils en activité entre l’attaquant et la victime ? (filtres mail, outils d’analyse antiviraux…)
La sensibilisation de la cible : va-t-elle exécuter la charge utile ?
Les protections locales : le système est-il à jour ? Y’a-t-il un antivirus ? Les briques logicielles connexes sont-elles à jours / bien configurées ?
Comme pour les scénarios précédents, l’approche peut être dimensionnée pour viser une population ou un groupe choisi d’individus.

Nous optons pour l’envoi d’un exécutable au personnel de la DSI car en cas de succès de l’attaque, nous obtiendrons des privilèges probablement plus élevés. Nous forgeons là encore un mail en usurpant l’identité d’un employé, prétextant l’impossibilité de lancer un programme. La probabilité de succès de ce genre d’attaque étant en général moins élevée, il est nécessaire de jouer d’autres cartes comme la mise en situation de stress : il est tout à fait envisageable de simuler une contrainte de temps très importante et que la demande ne peut souffrir d’aucun retard.

Si les cibles exécutent la charge utile et les conditions sont réunies, les postes sont compromis et nous obtenons un accès sur le réseau interne, ce qui peut éventuellement permettre de poursuivre la prestation sur ce nouveau périmètre.

Le succès de ces attaques prouve que la totalité des maillons entrant en jeux est défaillante, l’échec implique en revanche qu’au moins un des facteurs précédents ai été efficace.