Les tests d'intrusion d'ingénierie sociale évaluent la sécurité de l'élément humain dans la protection des systèmes informatiques. Ces évaluations de sécurité visent à découvrir si les employés d'une organisation révéleront des informations sensibles ou effectueront des actions qu'ils n'effectueraient pas habituellement si un attaquant tentait de les manipuler.
Dans cet article, nous allons découvrir comment réaliser un test d'intrusion d’ingénierie sociale. Vous apprendrez ce qu'est l'ingénierie sociale, les outils utilisés et les différentes phases d'un test d'intrusion d'ingénierie sociale.
Qu'est-ce que l'ingénierie sociale ?
L’ingénierie sociale est l’art de manipuler les individus pour qu’ils exécutent vos ordres. En utilisant vos pouvoirs d’influence et ou de persuasion, vous pouvez tromper les autres en leur faisant révéler des données sensibles ou en effectuant une certaine action qu’ils n’effectueraient normalement pas.
Contrairement aux tests d'intrusion classiques, les tests d'intrusion d'ingénierie sociale consistent à exploiter la psychologie humaine et les interactions sociales plutôt que les contrôles de sécurité techniques ou les vulnérabilités du système. Votre objectif est de tromper un autre humain/employé de l'organisation pour qu'il vous donne accès à l'environnement d'une cible.
Pour ce faire, plusieurs outils peuvent être utilisés :
Voici quelques outils couramment utilisés dans le domaine du pentest en ingénierie sociale, ainsi que leurs rôles :
Social Engineering Toolkit (SET) :
SET est un puissant outil open-source qui permet aux testeurs de simuler diverses attaques d'ingénierie sociale, telles que la pêche au phishing, la création de sites Web malveillants et l'envoi de messages d'ingénierie sociale. SET offre une gamme d'attaques prêtes à l'emploi et une interface conviviale pour personnaliser les campagnes d'ingénierie sociale. Pour en savoir plus sur l'utilisation de cet outil : https://github.com/trustedsec/social-engineer-toolkit
Maltego :
Maltego est un outil de collecte d'informations qui peut être utilisé pour effectuer des investigations sur des cibles potentielles. Il permet d'analyser les liens entre les personnes, les entreprises, les sites Web et les réseaux sociaux. Maltego simplifie la recherche d'informations sur une cible, en organisant et en affichant les données de manière graphique. Cliquez ici pour installer l'outil et commencer à l'utiliser : https://www.maltego.com/downloads/
Beef :
BeEf est un outil Web qui vous permet de contrôler le navigateur Web d'une victime à l'aide d'un « hook » généralement fourni via un lien de phishing. Pour en savoir plus sur le fonctionnement de l'outil, cliquez ici https://github.com/beefproject/beef
Cree.py :
Cree.py est un outil de collecte d'informations basé sur la géolocalisation. Il peut être utilisé pour retrouver des informations sur les personnes en se basant sur leurs données de géolocalisation sur les réseaux sociaux.
Cree.py permet de cartographier la présence en ligne d'une cible, en utilisant des informations géographiques disponibles publiquement. Pour en savoir plus : https://github.com/ilektrojohn/creepy
3- Comment réaliser alors un pentest d'ingénierie sociale ?
Reconnaissance :
Objectif : Identifier la cible, recueillir des informations sur elle et définir la portée.
Activités : Collecte d'informations sur la cible, y compris la collecte d'informations publiquement disponibles, la recherche de données en ligne, l'exploration des médias sociaux, la collecte d'informations sur les employés, etc.
Planification :
Objectif : Planifier l'approche et les méthodes à utiliser pour l'attaque.
Activités : Définir les objectifs de l'attaque, les vecteurs d'attaque (par exemple, la pêche au phishing, les appels téléphoniques, les entretiens physiques etc), et les techniques spécifiques à mettre en œuvre.
Attaque :
Objectif : Mener l'attaque en utilisant les méthodes et les vecteurs planifiés.
Activités : Envoyer des e-mails de phishing, effectuer des appels téléphoniques trompeurs, visiter physiquement les locaux, etc. Cette phase implique de convaincre la cible de prendre des mesures inappropriées.
Obtention d'accès :
Objectif : Gagner un accès non autorisé aux systèmes, aux locaux ou aux informations sensibles.
Activités : Si l'attaque réussit, l'attaquant peut obtenir des informations confidentielles, des identifiants, ou même un accès physique aux locaux.
Évaluation et rapport :
Objectif : Évaluer les résultats de l'attaque et générer un rapport sur les vulnérabilités identifiées.
Activités : Examiner les informations collectées, les données d'accès obtenues, et rédiger un rapport détaillé sur les vulnérabilités, les risques et les recommandations de sécurité.
Sensibilisation et remédiations :
Objectif : Sensibiliser l'organisation aux vulnérabilités et aux risques identifiés et aider à mettre en place des mesures correctives.
Activités : Présenter les résultats du test d'intrusion à l'organisation, sensibiliser les employés aux menaces en matière de sécurité, et recommander des mesures pour renforcer la sécurité.
Suivi et amélioration :
Objectif : Surveiller la mise en œuvre des mesures correctives et améliorer continuellement la posture de sécurité de l'organisation.
Activités : Suivre les progrès de l'organisation dans la correction des vulnérabilités, réviser et mettre à jour les politiques de sécurité, et planifier des tests d'intrusion futurs pour évaluer les améliorations.
En conclusion, il est essentiel de noter que les tests d'intrusion d'ingénierie sociale doivent être effectués de manière éthique et conformément à la loi et avec le consentement légal de l'entité à pentester. Les résultats doivent être utilisés pour renforcer la sécurité et la sensibilisation, et non pour nuire à l'organisation ou à ses employés.