Académique Documents
Professionnel Documents
Culture Documents
Mati, de Anglais
mentor vers
etFrançais - www.onlinedoctranslator.com
monachoti , où serais-je sans toi ? Mati, tu es
vraiment mon mentor et mon frère. Merci du fond du cœur d'avoir eu
confiance en moi pour pouvoir écrire ce livre et le lancer
www.socialengineer.org et que les deux seraient bons. Plus que cela, vos
conseils et vos orientations constants ont été traduits dans les pages de ce
livre pour me rendre plus que ce que je pensais pouvoir être.
Votre soutien avec l'équipe BackTrack ainsi que le soutien de l'équipe de
www.offensive-security.com J'ai transcendé tout ce à quoi j'aurais pu m'attendre. Merci
de m'avoir aidé à équilibrer et à établir des priorités. Monachoti, un merci tout spécial à
vous pour avoir été la voix de la raison et la lumière à la fin de quelques journées
frustrantes. Avec tout mon amour, je vous remercie.
Chaque personne que j'ai mentionnée ici a contribué à ce livre d'une manière ou
d'une autre. Avec leur aide, leur soutien et leur amour, ce livre est devenu une œuvre sur
laquelle je suis fier de porter mon nom. Pour tous ceux d'entre vous qui ont soutenu le
site, la chaîne et nos recherches, merci.
En lisant ce livre, j’espère qu’il vous affectera de la même manière que son écriture m’a
affecté.
Albert Einstein a dit un jour : « L’information n’est pas la connaissance ». C'est une pensée
puissante. La simple lecture de ce livre n’implantera pas d’une manière ou d’une autre cette
connaissance dans votre être. Appliquez les principes, mettez en pratique ce qui est enseigné
dans ces pages et intégrez ces informations à votre vie quotidienne. C’est lorsque vous ferez cela
que vous verrez cette connaissance prendre effet.
Christophe Hadnagy
Octobre 2010
Chapitre 1
Si vous connaissez l’ennemi et vous connaissez vous-même, vous n’avez pas à craindre les résultats
d’une centaine de batailles.
—Sun Tzu
L’ingénierie sociale (ES) a été largement mal comprise, ce qui a donné lieu à de nombreuses opinions
divergentes sur ce qu’est l’ingénierie sociale et comment elle fonctionne. Cela a conduit à une situation
dans laquelle certains peuvent considérer SE comme un simple menteur pour escroquer des articles
gratuits triviaux tels que de la pizza ou obtenir une gratification sexuelle ; d'autres pensent que l'ES se
réfère simplement aux outils utilisés par les criminels ou les escrocs, ou peut-être qu'il s'agit d'une science
dont les théories peuvent être décomposées en parties ou en équations et étudiées. Ou peut-être s'agit-il
d'un art mystique perdu depuis longtemps, donnant aux pratiquants la possibilité d'utiliser de puissantes
astuces mentales comme un magicien ou un illusionniste.
Quel que soit le camp où flotte votre drapeau, ce livre est fait pour vous. L’ingénierie sociale est utilisée
quotidiennement par des personnes ordinaires dans des situations quotidiennes. Un enfant qui essaie de
se frayer un chemin dans l’allée des bonbons ou un employé à la recherche d’une augmentation utilise
l’ingénierie sociale. L’ingénierie sociale se produit dans le marketing gouvernemental ou dans les petites
entreprises. Malheureusement, cela est également présent lorsque des criminels, des escrocs et autres
incitent les gens à divulguer des informations qui les rendent vulnérables aux crimes. Comme tout outil,
l’ingénierie sociale n’est ni bonne ni mauvaise, mais simplement un outil qui a de nombreuses utilisations
différentes.
Quelle que soit la situation qui vous convient, les informations contenues dans ce livre
vous ouvriront les yeux sur la manière dont vous pouvez utiliser vos compétences en
ingénierie sociale. Vous plongerez également dans le monde sombre de l’ingénierie
sociale et découvrirez comment les « méchants » utilisent ces compétences pour prendre
le dessus. À partir de là, vous apprendrez à devenir moins vulnérable aux attaques
d’ingénierie sociale.
Un avertissement d’emblée : ce livre n’est pas pour les faibles. Il vous emmène dans
ces coins sombres de la société où vivent les « chapeaux noirs », les hackers malveillants.
Il découvre et approfondit les domaines de l’ingénierie sociale utilisés par les espions et
les escrocs. Il passe en revue des tactiques et des outils qui semblent avoir été volés dans
un film de James Bond. En outre, il couvre des situations courantes du quotidien et
montre ensuite en quoi il s’agit de scénarios d’ingénierie sociale complexes. En fin de
compte, le livre dévoile les trucs et astuces « d’initiés » d’ingénieurs sociaux
professionnels et, oui, même de criminels professionnels.
Certains m'ont demandé pourquoi je serais prêt à révéler cette information. La réponse est
simple : les « méchants » ne s'arrêtent pas à cause d'une limitation contractuelle ou de leur
propre morale. Ils ne s'arrêtent pas après une tentative infructueuse. Les pirates malveillants ne
disparaissent pas parce que les entreprises n'aiment pas que leurs serveurs soient infiltrés. Au
lieu de cela, l’ingénierie sociale, la tromperie des employés et la fraude sur Internet sont de plus
en plus utilisées chaque jour. Tandis que les éditeurs de logiciels apprennent à renforcer leurs
programmes, les pirates informatiques et les ingénieurs sociaux malveillants se tournent vers la
partie la plus faible de l’infrastructure : les individus. Leur motivation est avant tout le retour sur
investissement (ROI) ; aucun hacker qui se respecte ne passera 100 heures pour obtenir les
mêmes résultats avec une simple attaque qui prend une heure ou moins.
Le triste résultat en fin de compte est qu’il n’existe aucun moyen d’être sûr à
100 % à moins de débrancher tous les appareils électroniques et de déménager à
la montagne. Parce que ce n'est ni très pratique ni très amusant, ce livre discute
des moyens de devenir plus conscient et informé des attaques qui existent, puis décrit les
méthodes que vous pouvez utiliser pour vous protéger contre elles. Ma devise est « la
sécurité par l’éducation ». Être éduqué est l’un des seuls moyens infaillibles de rester à
l’abri des menaces croissantes d’ingénierie sociale et d’usurpation d’identité. Kaspersky
Labs, l'un des principaux fournisseurs de logiciels antivirus et de protection, a estimé que
plus de 100 000 échantillons de logiciels malveillants ont été diffusés via les réseaux
sociaux en 2009. Dans un récent rapport, Kaspersky a estimé que « les attaques contre
les réseaux sociaux sont 10 fois plus efficaces » que les autres types d'attaques. .
De nombreux livres sont disponibles sur le marché sur la sécurité, le piratage, les tests
d'intrusion ou encore l'ingénierie sociale. Beaucoup de ces livres contiennent des
informations et des conseils très précieux pour aider leurs lecteurs. Malgré toutes les
informations disponibles, il fallait un livre qui fasse passer les informations d’ingénierie
sociale à un niveau supérieur et décrit ces attaques en détail, en les expliquant du côté
malveillant de la barrière. Ce livre n'est pas simplement une collection d'histoires sympas,
d'astuces intéressantes ou d'idées folles. Ce livre couvre le premier cadre au monde pour
l'ingénierie sociale. Il analyse et décortique les fondements mêmes de ce qui fait un bon
ingénieur social et donne des conseils pratiques sur la manière d'utiliser ces compétences
pour améliorer les capacités des lecteurs à tester la plus grande faiblesse : la
infrastructure humaine.
La disposition
Ce livre propose une approche unique de l’ingénierie sociale. Il est structuré en étroite
collaboration avec le cadre d'ingénierie sociale approfondi trouvé àwww.social-
Engineer.org/framework . Ce cadre décrit les compétences et les outils (physiques,
mentaux et de personnalité) qu'une personne doit s'efforcer de posséder pour devenir
un excellent ingénieur social.
Ce livre adopte une approche « raconter et montrer » en présentant d'abord un principe
derrière un sujet, puis en définissant, expliquant et disséquant, puis en montrant son application
à l'aide de recueils d'histoires réelles ou d'études de cas. Il ne s’agit pas simplement d’un livre
d’histoires ou d’astuces intéressantes, mais d’un manuel, d’un guide à travers le monde sombre
de l’ingénierie sociale.
Tout au long du livre, vous trouverez de nombreux liens Internet vers des histoires ou des
comptes ainsi que des liens vers des outils et d’autres aspects des sujets abordés. Des exercices
pratiques apparaissent tout au long du livre et sont conçus pour vous aider à maîtriser non
seulement le cadre de l'ingénierie sociale, mais également les compétences nécessaires pour
améliorer vos communications quotidiennes.
Ces affirmations sont particulièrement vraies si vous êtes un spécialiste de la sécurité.
En lisant ce livre, j’espère vous faire comprendre que la sécurité n’est pas un travail « à
temps partiel » et n’est pas quelque chose à prendre à la légère. Alors que les criminels et
les ingénieurs sociaux malveillants semblent aller de mal en pis dans ce monde, les
attaques contre les entreprises et les vies personnelles semblent devenir plus intenses.
Naturellement, tout le monde veut être protégé, comme en témoigne l’augmentation des
ventes de logiciels et d’appareils de protection individuelle. Bien que ces éléments soient
importants, la meilleure protection reste la connaissance : la sécurité par l’éducation. La
seule véritable façon de réduire l’effet de ces attaques est de savoir qu’elles existent, de
savoir comment elles sont menées et de comprendre le processus de pensée et la
mentalité des personnes qui commettent de telles choses.
Lorsque vous possédez ces connaissances et que vous comprenez comment pensent les
pirates malveillants, une ampoule s’éteint. Cette lumière proverbiale brillera sur les coins
autrefois sombres et vous permettra de voir clairement les « méchants » qui s’y cachent. Lorsque
vous pouvez voir à l'avance la manière dont ces attaques sont utilisées, vous pouvez préparer les
affaires de votre entreprise et vos affaires personnelles pour les parer.
Bien entendu, je ne contredis pas ce que j’ai dit plus tôt ; Je pense qu'il n'y a aucun
moyen d'être vraiment sûr à 100 %. Même les secrets les plus secrets et les plus gardés
peuvent être et ont été piratés de la manière la plus simple.
Regardez l'histoire archivée surwww.socialengineer.org/
resources/book/TopSecretStolen.htm , tiré d'un journal de
Ottawa, Canada. Cette histoire est très intéressante, car certains documents se sont retrouvés
entre de mauvaises mains. Ce n'étaient pas n'importe quels documents, mais topsecretsla
défensedes documents décrivant des éléments tels que l'emplacement des clôtures de sécurité à
la Base des Forces canadiennes (BFC) à Trenton, le plan d'étage de l'Unité interarmées
canadienne de réponse aux incidents, et plus encore. Comment la violation s’est-elle produite ?
Les plans ont été jetés à la poubelle et quelqu'un les a trouvés dans la benne à ordures. Une
simple fouille dans une benne à ordures aurait pu conduire à l’une des plus grandes failles de
sécurité de ce pays.
Des attaques simples mais meurtrières sont lancées chaque jour et soulignent le fait que les
gens ont besoin d’éducation ; doivent changer la façon dont ils adhèrent aux politiques de mots
de passe et la façon dont ils gèrent l'accès à distance aux serveurs ; et doivent changer la façon
dont ils gèrent les entretiens, les livraisons et les employés embauchés ou licenciés. Pourtant,
sans éducation, la motivation pour le changement n’existe tout simplement pas.
En 2003, le Computer Security Institute a mené une enquête en collaboration
avec le FBI et a constaté que 77 % des entreprises interrogées ont cité un employé
mécontent comme étant à l'origine d'une faille de sécurité majeure. Vontu, la
section de prévention des pertes de données de Symantec (http://
go.symantec.com/vontu/ ), affirme qu’un e-mail sur 500 contient des données
confidentielles. Certains des points saillants de ce rapport, cités par
http://financialservices.house.gov/media/pdf/062403ja.pdf , sont les suivants:
62 % ont signalé des incidents au travail qui pourraient exposer les données des clients à un risque
d'usurpation d'identité.
66 % déclarent que ce sont leurs collègues, et non les pirates informatiques, qui présentent le plus grand risque pour la vie privée des
consommateurs. Seuls 10 % des répondants ont déclaré que les pirates informatiques constituaient la plus grande menace.
46 % déclarent qu'il serait « facile » à « extrêmement facile » pour les employés de supprimer des
données sensibles de la base de données de l'entreprise.
32 %, soit environ un sur trois, ignorent les politiques internes de l'entreprise visant à protéger
les données des clients.
Ce livre est utilisé le plus efficacement comme manuel ou guide à travers le monde
des attaques sociales, de la manipulation sociale et de l'ingénierie sociale.
Après l’analyse de la collecte d’informations, le prochain sujet abordé dans le chapitre 2 est la
modélisation de la communication. Ce sujet est étroitement lié à la collecte d’informations. Je vais
d’abord expliquer ce qu’est la modélisation de la communication et comment elle a commencé en
tant que pratique. Ensuite, le chapitre passe en revue les étapes nécessaires pour développer
puis utiliser un modèle de communication approprié. Il décrit comment un ingénieur social utilise
ce modèle par rapport à une cible et les avantages de le décrire pour chaque engagement.
Le chapitre 4, qui traite du prétexte, est puissant. Ce sujet lourd est l’un des points
critiques pour de nombreux ingénieurs sociaux. Le prétexte consiste à développer le rôle
que jouera l’ingénieur social dans l’attaque contre l’entreprise. L’ingénieur social sera-t-il
un client, un fournisseur, un support technique, une nouvelle recrue ou quelque chose
d’aussi réaliste et crédible ? Faire semblant n'implique pas seulement d'inventer le
scénario, mais également de développer l'apparence, l'action, la parole et la marche de
votre personnage ; décider des outils et des connaissances dont ils disposeraient ; puis
maîtriser l'ensemble du package afin que lorsque vous approchez de la cible, voussont
cette personne, et pas simplement jouer un personnage. Les questions abordées sont les
suivantes :
Qu’est-ce que le prétexte ?
De plus, le chapitre 5 explique comment établir une relation instantanée, une compétence que vous
pouvez utiliser dans la vie de tous les jours. Le chapitre se termine en décrivant mes propres recherches
personnelles sur « le débordement de tampon humain » : l’idée selon laquelle l’esprit humain ressemble
beaucoup aux logiciels que les pirates exploitent quotidiennement. En appliquant certains principes, un
ingénieur social compétent peut déborder l'esprit humain et injecter
n'importe quelle commande qu'ils veulent.
Tout comme les pirates écrivent des débordements pour manipuler des logiciels afin d'exécuter du
code, l'esprit humain peut recevoir certaines instructions pour, essentiellement, « déborder » de la cible et
insérer des instructions personnalisées. Le chapitre 5 est une leçon époustouflante sur la façon d'utiliser
quelques techniques simples pour maîtriser la façon dont les gens pensent.
De nombreuses personnes ont passé leur vie à rechercher et à prouver ce qui peut
influencer les gens et ce qui l’influence effectivement. L’influence est un outil puissant aux
multiples facettes. À cette fin, le chapitre 6 aborde les principes fondamentaux de la
persuasion. Les principes abordés dans le chapitre 6 vous permettront de devenir un
maître de la persuasion.
Le chapitre présente une brève discussion des différents types de persuasion qui
existent et fournit des exemples pour vous aider à consolider la manière dont vous
pouvez utiliser ces facettes dans l'ingénierie sociale.
La discussion ne s'arrête pas là : le cadrage est également un sujet brûlant de nos jours. De
nombreuses opinions différentes existent sur la manière dont on peut utiliser le cadrage, et ce
livre en montre quelques exemples concrets. Ensuite, en disséquant chacun, je vous présente les
leçons apprises et les choses que vous pouvez faire pour vous entraîner à vous recadrer ainsi que
pour utiliser le cadrage dans la vie quotidienne en tant qu'ingénieur social.
Un autre thème majeur de l’ingénierie sociale estmanipulation:
Quel est son but?
Quels types d’incitations motivent les manipulateurs ? Comment
Le chapitre 6 présente tout ce qu'un ingénieur social doit savoir sur le thème de la
manipulation et comment appliquer avec succès ces compétences.
Le chapitre 7 couvre les outils qui peuvent rendre un audit d'ingénierie sociale plus
réussi. Des outils physiques tels que les caméras cachées aux outils logiciels de collecte
d'informations, chaque section couvre les outils testés et éprouvés pour les ingénieurs
sociaux.
Une fois que vous avez compris le cadre de l'ingénierie sociale, le chapitre 8
aborde quelques études de cas réelles. J'ai choisi deux excellents témoignages de
l'ingénieur social de renommée mondiale Kevin Mitnick. J'analyse, décortique, puis
propose ce que vous pouvez apprendre de ces exemples et identifie les méthodes
qu'il a utilisées à partir du cadre de l'ingénierie sociale.