Traduitmon

Mati, de Anglais
mentor vers
etFrançais - www.onlinedoctranslator.com
monachoti , où serais-je sans toi ? Mati, tu es
vraiment mon mentor et mon frère. Merci du fond du cœur d'avoir eu
confiance en moi pour pouvoir écrire ce livre et le lancer
www.socialengineer.org et que les deux seraient bons. Plus que cela, vos
conseils et vos orientations constants ont été traduits dans les pages de ce
livre pour me rendre plus que ce que je pensais pouvoir être.
Votre soutien avec l'équipe BackTrack ainsi que le soutien de l'équipe de
www.offensive-security.com J'ai transcendé tout ce à quoi j'aurais pu m'attendre. Merci
de m'avoir aidé à équilibrer et à établir des priorités. Monachoti, un merci tout spécial à
vous pour avoir été la voix de la raison et la lumière à la fin de quelques journées
frustrantes. Avec tout mon amour, je vous remercie.
Chaque personne que j'ai mentionnée ici a contribué à ce livre d'une manière ou
d'une autre. Avec leur aide, leur soutien et leur amour, ce livre est devenu une œuvre sur
laquelle je suis fier de porter mon nom. Pour tous ceux d'entre vous qui ont soutenu le
site, la chaîne et nos recherches, merci.
En lisant ce livre, j’espère qu’il vous affectera de la même manière que son écriture m’a
affecté.
Albert Einstein a dit un jour : « L’information n’est pas la connaissance ». C'est une pensée
puissante. La simple lecture de ce livre n’implantera pas d’une manière ou d’une autre cette
connaissance dans votre être. Appliquez les principes, mettez en pratique ce qui est enseigné
dans ces pages et intégrez ces informations à votre vie quotidienne. C’est lorsque vous ferez cela
que vous verrez cette connaissance prendre effet.
Christophe Hadnagy
Octobre 2010
 Chapitre 1

Un regard sur le monde de l'ingénierie sociale

Si vous connaissez l’ennemi et vous connaissez vous-même, vous n’avez pas à craindre les résultats
d’une centaine de batailles.

—Sun Tzu
L’ingénierie sociale (ES) a été largement mal comprise, ce qui a donné lieu à de nombreuses opinions
divergentes sur ce qu’est l’ingénierie sociale et comment elle fonctionne. Cela a conduit à une situation
dans laquelle certains peuvent considérer SE comme un simple menteur pour escroquer des articles
gratuits triviaux tels que de la pizza ou obtenir une gratification sexuelle ; d'autres pensent que l'ES se
réfère simplement aux outils utilisés par les criminels ou les escrocs, ou peut-être qu'il s'agit d'une science
dont les théories peuvent être décomposées en parties ou en équations et étudiées. Ou peut-être s'agit-il
d'un art mystique perdu depuis longtemps, donnant aux pratiquants la possibilité d'utiliser de puissantes
astuces mentales comme un magicien ou un illusionniste.

Quel que soit le camp où flotte votre drapeau, ce livre est fait pour vous. L’ingénierie sociale est utilisée
quotidiennement par des personnes ordinaires dans des situations quotidiennes. Un enfant qui essaie de
se frayer un chemin dans l’allée des bonbons ou un employé à la recherche d’une augmentation utilise
l’ingénierie sociale. L’ingénierie sociale se produit dans le marketing gouvernemental ou dans les petites
entreprises. Malheureusement, cela est également présent lorsque des criminels, des escrocs et autres
incitent les gens à divulguer des informations qui les rendent vulnérables aux crimes. Comme tout outil,
l’ingénierie sociale n’est ni bonne ni mauvaise, mais simplement un outil qui a de nombreuses utilisations
différentes.

Considérez certaines de ces questions pour faire comprendre ce point :

Avez-vous été chargé de veiller à ce que votre entreprise soit aussi sécurisée que
possible ?
Êtes-vous un passionné de sécurité qui lit toutes les dernières
informations disponibles ?
Êtes-vous un testeur d'intrusion professionnel engagé pour tester le
 la sécurité de vos clients ?
Êtes-vous un étudiant qui suit une spécialisation en informatique comme
spécialité ?
Êtes-vous actuellement un ingénieur social à la recherche d’idées nouvelles et
améliorées à utiliser dans votre pratique ?
Êtes-vous un consommateur qui craint les dangers de fraude et d’usurpation d’identité ?

Quelle que soit la situation qui vous convient, les informations contenues dans ce livre
vous ouvriront les yeux sur la manière dont vous pouvez utiliser vos compétences en
ingénierie sociale. Vous plongerez également dans le monde sombre de l’ingénierie
sociale et découvrirez comment les « méchants » utilisent ces compétences pour prendre
le dessus. À partir de là, vous apprendrez à devenir moins vulnérable aux attaques
d’ingénierie sociale.
Un avertissement d’emblée : ce livre n’est pas pour les faibles. Il vous emmène dans
ces coins sombres de la société où vivent les « chapeaux noirs », les hackers malveillants.
Il découvre et approfondit les domaines de l’ingénierie sociale utilisés par les espions et
les escrocs. Il passe en revue des tactiques et des outils qui semblent avoir été volés dans
un film de James Bond. En outre, il couvre des situations courantes du quotidien et
montre ensuite en quoi il s’agit de scénarios d’ingénierie sociale complexes. En fin de
compte, le livre dévoile les trucs et astuces « d’initiés » d’ingénieurs sociaux
professionnels et, oui, même de criminels professionnels.
Certains m'ont demandé pourquoi je serais prêt à révéler cette information. La réponse est
simple : les « méchants » ne s'arrêtent pas à cause d'une limitation contractuelle ou de leur
propre morale. Ils ne s'arrêtent pas après une tentative infructueuse. Les pirates malveillants ne
disparaissent pas parce que les entreprises n'aiment pas que leurs serveurs soient infiltrés. Au
lieu de cela, l’ingénierie sociale, la tromperie des employés et la fraude sur Internet sont de plus
en plus utilisées chaque jour. Tandis que les éditeurs de logiciels apprennent à renforcer leurs
programmes, les pirates informatiques et les ingénieurs sociaux malveillants se tournent vers la
partie la plus faible de l’infrastructure : les individus. Leur motivation est avant tout le retour sur
investissement (ROI) ; aucun hacker qui se respecte ne passera 100 heures pour obtenir les
mêmes résultats avec une simple attaque qui prend une heure ou moins.

Le triste résultat en fin de compte est qu’il n’existe aucun moyen d’être sûr à
100 % à moins de débrancher tous les appareils électroniques et de déménager à
la montagne. Parce que ce n'est ni très pratique ni très amusant, ce livre discute
des moyens de devenir plus conscient et informé des attaques qui existent, puis décrit les
méthodes que vous pouvez utiliser pour vous protéger contre elles. Ma devise est « la
sécurité par l’éducation ». Être éduqué est l’un des seuls moyens infaillibles de rester à
l’abri des menaces croissantes d’ingénierie sociale et d’usurpation d’identité. Kaspersky
Labs, l'un des principaux fournisseurs de logiciels antivirus et de protection, a estimé que
plus de 100 000 échantillons de logiciels malveillants ont été diffusés via les réseaux
sociaux en 2009. Dans un récent rapport, Kaspersky a estimé que « les attaques contre
les réseaux sociaux sont 10 fois plus efficaces » que les autres types d'attaques. .

Le vieil adage des hackers « la connaissance, c’est le pouvoir » s’applique ici.

Plus on connaît et comprend les dangers et les menaces de l’ingénierie sociale que
chaque consommateur et entreprise peut avoir et plus chaque scénario d’attaque
est disséqué, plus il sera facile de se protéger, d’atténuer et d’arrêter ces attaques.
C’est là qu’interviendra la puissance de toutes ces connaissances.

Pourquoi ce livre est si précieux

De nombreux livres sont disponibles sur le marché sur la sécurité, le piratage, les tests
d'intrusion ou encore l'ingénierie sociale. Beaucoup de ces livres contiennent des
informations et des conseils très précieux pour aider leurs lecteurs. Malgré toutes les
informations disponibles, il fallait un livre qui fasse passer les informations d’ingénierie
sociale à un niveau supérieur et décrit ces attaques en détail, en les expliquant du côté
malveillant de la barrière. Ce livre n'est pas simplement une collection d'histoires sympas,
d'astuces intéressantes ou d'idées folles. Ce livre couvre le premier cadre au monde pour
l'ingénierie sociale. Il analyse et décortique les fondements mêmes de ce qui fait un bon
ingénieur social et donne des conseils pratiques sur la manière d'utiliser ces compétences
pour améliorer les capacités des lecteurs à tester la plus grande faiblesse : la
infrastructure humaine.

La disposition

Ce livre propose une approche unique de l’ingénierie sociale. Il est structuré en étroite
collaboration avec le cadre d'ingénierie sociale approfondi trouvé àwww.social-
Engineer.org/framework . Ce cadre décrit les compétences et les outils (physiques,
mentaux et de personnalité) qu'une personne doit s'efforcer de posséder pour devenir
un excellent ingénieur social.
Ce livre adopte une approche « raconter et montrer » en présentant d'abord un principe
derrière un sujet, puis en définissant, expliquant et disséquant, puis en montrant son application
à l'aide de recueils d'histoires réelles ou d'études de cas. Il ne s’agit pas simplement d’un livre
d’histoires ou d’astuces intéressantes, mais d’un manuel, d’un guide à travers le monde sombre
de l’ingénierie sociale.
Tout au long du livre, vous trouverez de nombreux liens Internet vers des histoires ou des
comptes ainsi que des liens vers des outils et d’autres aspects des sujets abordés. Des exercices
pratiques apparaissent tout au long du livre et sont conçus pour vous aider à maîtriser non
seulement le cadre de l'ingénierie sociale, mais également les compétences nécessaires pour
améliorer vos communications quotidiennes.
Ces affirmations sont particulièrement vraies si vous êtes un spécialiste de la sécurité.
En lisant ce livre, j’espère vous faire comprendre que la sécurité n’est pas un travail « à
temps partiel » et n’est pas quelque chose à prendre à la légère. Alors que les criminels et
les ingénieurs sociaux malveillants semblent aller de mal en pis dans ce monde, les
attaques contre les entreprises et les vies personnelles semblent devenir plus intenses.
Naturellement, tout le monde veut être protégé, comme en témoigne l’augmentation des
ventes de logiciels et d’appareils de protection individuelle. Bien que ces éléments soient
importants, la meilleure protection reste la connaissance : la sécurité par l’éducation. La
seule véritable façon de réduire l’effet de ces attaques est de savoir qu’elles existent, de
savoir comment elles sont menées et de comprendre le processus de pensée et la
mentalité des personnes qui commettent de telles choses.
Lorsque vous possédez ces connaissances et que vous comprenez comment pensent les
pirates malveillants, une ampoule s’éteint. Cette lumière proverbiale brillera sur les coins
autrefois sombres et vous permettra de voir clairement les « méchants » qui s’y cachent. Lorsque
vous pouvez voir à l'avance la manière dont ces attaques sont utilisées, vous pouvez préparer les
affaires de votre entreprise et vos affaires personnelles pour les parer.
Bien entendu, je ne contredis pas ce que j’ai dit plus tôt ; Je pense qu'il n'y a aucun
moyen d'être vraiment sûr à 100 %. Même les secrets les plus secrets et les plus gardés
peuvent être et ont été piratés de la manière la plus simple.
Regardez l'histoire archivée surwww.socialengineer.org/
resources/book/TopSecretStolen.htm , tiré d'un journal de
Ottawa, Canada. Cette histoire est très intéressante, car certains documents se sont retrouvés
entre de mauvaises mains. Ce n'étaient pas n'importe quels documents, mais topsecretsla
défensedes documents décrivant des éléments tels que l'emplacement des clôtures de sécurité à
la Base des Forces canadiennes (BFC) à Trenton, le plan d'étage de l'Unité interarmées
canadienne de réponse aux incidents, et plus encore. Comment la violation s’est-elle produite ?
Les plans ont été jetés à la poubelle et quelqu'un les a trouvés dans la benne à ordures. Une
simple fouille dans une benne à ordures aurait pu conduire à l’une des plus grandes failles de
sécurité de ce pays.
Des attaques simples mais meurtrières sont lancées chaque jour et soulignent le fait que les
gens ont besoin d’éducation ; doivent changer la façon dont ils adhèrent aux politiques de mots
de passe et la façon dont ils gèrent l'accès à distance aux serveurs ; et doivent changer la façon
dont ils gèrent les entretiens, les livraisons et les employés embauchés ou licenciés. Pourtant,
sans éducation, la motivation pour le changement n’existe tout simplement pas.
En 2003, le Computer Security Institute a mené une enquête en collaboration
avec le FBI et a constaté que 77 % des entreprises interrogées ont cité un employé
mécontent comme étant à l'origine d'une faille de sécurité majeure. Vontu, la
section de prévention des pertes de données de Symantec (http://
go.symantec.com/vontu/ ), affirme qu’un e-mail sur 500 contient des données
confidentielles. Certains des points saillants de ce rapport, cités par
http://financialservices.house.gov/media/pdf/062403ja.pdf , sont les suivants:
62 % ont signalé des incidents au travail qui pourraient exposer les données des clients à un risque

d'usurpation d'identité.

66 % déclarent que ce sont leurs collègues, et non les pirates informatiques, qui présentent le plus grand risque pour la vie privée des

consommateurs. Seuls 10 % des répondants ont déclaré que les pirates informatiques constituaient la plus grande menace.

46 % déclarent qu'il serait « facile » à « extrêmement facile » pour les employés de supprimer des
données sensibles de la base de données de l'entreprise.

32 %, soit environ un sur trois, ignorent les politiques internes de l'entreprise visant à protéger
les données des clients.

Ce sont des statistiques stupéfiantes et déchirantes.

Les chapitres suivants discutent de ces chiffres plus en détail. Les chiffres montrent une grave
faille dans la manière dont la sécurité elle-même est gérée. Quand il y aura de l'éducation,
j'espèreavantune violation, les gens peuvent alors apporter des modifications qui peuvent éviter
des pertes, des douleurs et des dommages monétaires non désirés.
 Sun Tzu a dit : « Si vous connaissez l'ennemi et vous connaissez vous-même, vous n'avez pas à craindre
les résultats d'une centaine de batailles. » Ces mots sont vrais, mais le savoir ne représente que la moitié de
la bataille. L’action sur la connaissance est ce qui définit la sagesse, et pas seulement la connaissance.

Ce livre est utilisé le plus efficacement comme manuel ou guide à travers le monde
des attaques sociales, de la manipulation sociale et de l'ingénierie sociale.

Ce qui s'en vient

Ce livre est conçu pour couvrir tous les aspects, outils et compétences utilisés par les ingénieurs
sociaux professionnels et malveillants. Chaque chapitre approfondit la science et l'art d'une
compétence spécifique d'ingénierie sociale pour vous montrer comment elle peut être utilisée,
améliorée et perfectionnée.
La section suivante de ce chapitre, « Présentation de l'ingénierie sociale », définit l'ingénierie
sociale et les rôles qu'elle joue dans la société aujourd'hui, ainsi que les différents types
d'attaques d'ingénierie sociale, y compris d'autres domaines de la vie où l'ingénierie sociale est
utilisée dans un but non lucratif. -de manière malveillante. J'expliquerai également comment un
ingénieur social peut utiliser le cadre d'ingénierie sociale pour planifier un audit ou améliorer ses
propres compétences.
Le chapitre 2 est le point de départ du véritable contenu des leçons. La collecte
d’informations est le fondement de tout audit d’ingénierie sociale. Le mantra de
l’ingénieur social est : « Ma valeur dépend des informations que je recueille. » Un
ingénieur social peut posséder toutes les compétences du monde, mais s’il ne
connaît pas la cible, s’il n’a pas décrit tous les détails intimes, alors le risque d’échec
est plus probable. La collecte d’informations est au cœur de tout engagement
d’ingénierie sociale, même si les compétences relationnelles et la capacité de
réfléchir rapidement peuvent vous aider à vous sortir d’une situation délicate. Le
plus souvent, plus vous collectez d’informations, meilleures sont vos chances de
succès.
Les questions auxquelles je répondrai dans ce chapitre sont les suivantes :
Quelles sources un ingénieur social peut-il utiliser ?
Quelles informations sont utiles ?
Comment un ingénieur social peut-il collecter, rassembler et organiser ces
informations ?
 Dans quelle mesure un ingénieur social doit-il atteindre des niveaux

techniques ? Quelle quantité d’informations est suffisante ?

Après l’analyse de la collecte d’informations, le prochain sujet abordé dans le chapitre 2 est la
modélisation de la communication. Ce sujet est étroitement lié à la collecte d’informations. Je vais
d’abord expliquer ce qu’est la modélisation de la communication et comment elle a commencé en
tant que pratique. Ensuite, le chapitre passe en revue les étapes nécessaires pour développer
puis utiliser un modèle de communication approprié. Il décrit comment un ingénieur social utilise
ce modèle par rapport à une cible et les avantages de le décrire pour chaque engagement.

Le chapitre 3 couvre l'élicitation, la prochaine étape logique du cadre. Il propose un

regard très approfondi sur la manière dont les questions sont utilisées pour obtenir des
informations, des mots de passe, une connaissance approfondie de la cible et de son
entreprise. Vous apprendrez ce qui est bon et approprié et découvrirez à quel point il est
important de planifier vos élicitations.
Le chapitre 3 couvre également le sujet important de la précharge d'informations dans l'esprit de la
cible pour que vos questions soient plus facilement acceptées. En parcourant cette section, vous verrez
clairement à quel point il est important de devenir un excellent éliciteur. Vous verrez également clairement
comment vous pouvez utiliser cette compétence non seulement dans vos pratiques de sécurité mais aussi
dans la vie quotidienne.

Le chapitre 4, qui traite du prétexte, est puissant. Ce sujet lourd est l’un des points
critiques pour de nombreux ingénieurs sociaux. Le prétexte consiste à développer le rôle
que jouera l’ingénieur social dans l’attaque contre l’entreprise. L’ingénieur social sera-t-il
un client, un fournisseur, un support technique, une nouvelle recrue ou quelque chose
d’aussi réaliste et crédible ? Faire semblant n'implique pas seulement d'inventer le
scénario, mais également de développer l'apparence, l'action, la parole et la marche de
votre personnage ; décider des outils et des connaissances dont ils disposeraient ; puis
maîtriser l'ensemble du package afin que lorsque vous approchez de la cible, voussont
cette personne, et pas simplement jouer un personnage. Les questions abordées sont les
suivantes :
Qu’est-ce que le prétexte ?

Comment développer un prétexte ?

Quels sont les principes d’un prétexte réussi ?
Comment un ingénieur social peut-il planifier puis exécuter un prétexte parfait ?
 La prochaine étape du framework est celle qui permet de remplir des volumes.
Pourtant, il faut en discuter du point de vue d’un ingénieur social. Le chapitre 5 est une
discussion sans retenue sur certains sujets très conflictuels, notamment celui deindices
oculaires. Par exemple, quelles sont les différentes opinions de certains professionnels
sur les signaux visuels, et comment un ingénieur social peut-il les utiliser ? Le chapitre
aborde également la science fascinante des microexpressions et ses implications sur
l’ingénierie sociale.
Le chapitre 5 poursuit l’analyse de la recherche et apporte des réponses à ces
questions :
Est-il possible d’utiliser des microexpressions dans le domaine de la sécurité ?
Comment feriez-vous?
Quel est l’intérêt des microexpressions ?
Les gens peuvent-ils s’entraîner pour apprendre à détecter
automatiquement les microexpressions ?
Après avoir effectué la formation, quelles informations sont obtenues grâce aux
microexpressions ?
L'un des sujets les plus débattus du chapitre 5 est probablement Programmation
neuro-linguistique(PNL). Le débat laisse de nombreuses personnes indécises sur ce que
c'est et comment il peut être utilisé. Le chapitre 5 présente un bref historique de la PNL
ainsi que ce qui fait de la PNL une telle controverse. Vous pouvez décider vous-même si la
PNL est utilisable en ingénierie sociale.
Le chapitre 5 aborde également l'un des aspects les plus importants de l'ingénierie
sociale en personne ou au téléphone : savoir poser de bonnes questions, écouter les
réponses, puis poser davantage de questions. L'interrogatoire et l'entretien sont deux
méthodes que les forces de l'ordre utilisent depuis des années pour manipuler les
criminels afin qu'ils avouent ainsi que pour résoudre les cas les plus difficiles. Cette partie
du chapitre 5 met en pratique les connaissances acquises au chapitre 3.

De plus, le chapitre 5 explique comment établir une relation instantanée, une compétence que vous
pouvez utiliser dans la vie de tous les jours. Le chapitre se termine en décrivant mes propres recherches
personnelles sur « le débordement de tampon humain » : l’idée selon laquelle l’esprit humain ressemble
beaucoup aux logiciels que les pirates exploitent quotidiennement. En appliquant certains principes, un
ingénieur social compétent peut déborder l'esprit humain et injecter
n'importe quelle commande qu'ils veulent.

Tout comme les pirates écrivent des débordements pour manipuler des logiciels afin d'exécuter du
code, l'esprit humain peut recevoir certaines instructions pour, essentiellement, « déborder » de la cible et
insérer des instructions personnalisées. Le chapitre 5 est une leçon époustouflante sur la façon d'utiliser
quelques techniques simples pour maîtriser la façon dont les gens pensent.

De nombreuses personnes ont passé leur vie à rechercher et à prouver ce qui peut
influencer les gens et ce qui l’influence effectivement. L’influence est un outil puissant aux
multiples facettes. À cette fin, le chapitre 6 aborde les principes fondamentaux de la
persuasion. Les principes abordés dans le chapitre 6 vous permettront de devenir un
maître de la persuasion.
Le chapitre présente une brève discussion des différents types de persuasion qui
existent et fournit des exemples pour vous aider à consolider la manière dont vous
pouvez utiliser ces facettes dans l'ingénierie sociale.
La discussion ne s'arrête pas là : le cadrage est également un sujet brûlant de nos jours. De
nombreuses opinions différentes existent sur la manière dont on peut utiliser le cadrage, et ce
livre en montre quelques exemples concrets. Ensuite, en disséquant chacun, je vous présente les
leçons apprises et les choses que vous pouvez faire pour vous entraîner à vous recadrer ainsi que
pour utiliser le cadrage dans la vie quotidienne en tant qu'ingénieur social.
Un autre thème majeur de l’ingénierie sociale estmanipulation:
Quel est son but?
Quels types d’incitations motivent les manipulateurs ? Comment

une personne peut-elle l’utiliser en ingénierie sociale ?

Le chapitre 6 présente tout ce qu'un ingénieur social doit savoir sur le thème de la
manipulation et comment appliquer avec succès ces compétences.
Le chapitre 7 couvre les outils qui peuvent rendre un audit d'ingénierie sociale plus
réussi. Des outils physiques tels que les caméras cachées aux outils logiciels de collecte
d'informations, chaque section couvre les outils testés et éprouvés pour les ingénieurs
sociaux.
Une fois que vous avez compris le cadre de l'ingénierie sociale, le chapitre 8
aborde quelques études de cas réelles. J'ai choisi deux excellents témoignages de
l'ingénieur social de renommée mondiale Kevin Mitnick. J'analyse, décortique, puis
propose ce que vous pouvez apprendre de ces exemples et identifie les méthodes
qu'il a utilisées à partir du cadre de l'ingénierie sociale.