Les failles du ‘firewall humain’ -selon Kevin Mitnick (expert)

La Rédaction,

Kevin Mitnick, CEO de l’entreprise Mitnick Security Consulting, est un célèbre ‘hacker’ à la retraite. Le 8 mars dernier, à Johannesburg, il a clôturé la conférence ITWeb Security Summit par un cours sur les techniques d’«ingénierie sociale» (SE) et les conseils pour s’en prémunir.

« Le Social Engineering (S.E) est une forme de piratage qui utilise la tromperie et le mensonge pour arriver à ses fins», a-t-il rappelé aux 400 personnes présentes. «Toutes les technologies d’anti-intrusion actuelles sont réduites à néant par cette technique », a expliqué l’expert. Cette forme de piratage exploite des notions comme la confiance, la curiosité et bien évidemment la crédulité des victimes qui tombent dans les filets de l’habile orateur. Le peu de moyens que cette technique nécessite et sa relative facilité à mettre en place en font une discipline digne d’intérêt pour un nombre croissant de pirates. «J’espère que tout le monde va comprendre qu’un système de sécurité doit répondre à toutes les facettes du système, non seulement les aspects techniques et physiques, mais aussi et surtout le facteur humain », a-t-il expliqué. Selon l’expert, les centres d’appels et centres de support représentent des cibles idéales. « Il y a de nombreux trous dans le ‘firewall’ humain », affirme Mitnick, et cela est lié à de nombreux éléments : les gens se sentent invulnérables, ils ont tendance à faire confiance par défaut et veulent naturellement aider ; ils ont l’impression que les mesures de sécurité sont une perte de temps, ils sous-estiment la valeur de l’information et ne se rendent pas compte des conséquences de la fuite d’une information. A titre d’exemple, Mitnick a rappelé une récente étude faite au Royaume-Uni qui a révélé que 7 employés sur 10 de la gare ferroviaire de Waterloo ont donné leur login et leur mot de passe en échange d’un oeuf de Pâques ! «On ne peut pas télécharger de ?patch’ contre la stupidité», constate l’expert, avec sarcasme. Mitnick aborde également une méthode à laquelle il a souvent eu recours : le ‘trashing‘. Il s’agit simplement de la fouille de poubelles qui peut permettre de retrouver des éléments très intéressants comme des mémos, des listings de codes sources, de vieux répertoires, des noms de projets, des plans, et même des disques durs usagés ! Mitnick rappel qu’aux Etats-Unis, la fouille des poubelles est légale à partir du moment où la poubelle n’est pas sur une propriété privée dûment identifiée par un panneau. À partir de toutes les informations recueillies grâce au ‘Social Engineering‘, un pirate habile peut alors se créer une identité et gagner la confiance de sa cible, voire anticiper des réponses aux objections qui risquent de se produire. Clou du spectacle, pour démontrer combien il est aisé de récupérer des informations personnelles, Kevin Mitnick a dévoilé en 15 secondes le numéro du permis de conduire de George Bush père- à partir du site PublicData.com. L’expert conseille aux différentes organisations de mettre en place des jeux de rôles pour démontrer les vulnérabilités liées au personnel et, ceci fait, de modifier les règles internes pour amener les gens à dire non à toutes demandes douteuses.