Piratage : les femmes plus résistantes face à l'ingénierie sociale

Lors de la dernière conférence Defcon, une expérience de piratage par ingénierie sociale a débouché sur d'étonnantes et instructives conclusions.

Lors de la dernière conférence Defcon, grand rassemblement international de hackers, une instructive expérience a eu lieu sur l'ingénierie sociale (ou social engineering), fameuse technique de piratage consistant à user de ressorts psychologiques pour obtenir des informations compromettantes en vue d'une attaque.

Assis dans une cabine en plexiglas, sous l'œil des milliers de hackers présents à ce grand rendez-vous, des pirates ont appelé, deux jours durant, 135 employés de 17 grandes entreprises américaines. Parmi elles : Symantec, Google, Cisco, Microsoft ,Wal-Mart, Coca-Cola, Pepsi ou Ford.

Ingénieux stratagèmes
 

Les pirates se faisaient en général passer pour des employés de la société ciblée ou des prestataires et des consultants. Ils n'ont évidemment pas hésité à employer maints stratagèmes, simulant l'urgence ou la gravité de leur requête. Ils n'ont pas demandé d'informations trop sensibles, comme les mots de passe ou les numéros de sécurité sociale, mais ils ont essayé de trouver des informations qui pourraient être utilisées en vue d'une attaque, autour du système d'exploitation, des logiciels antivirus, ou encore du navigateur utilisé par la société de l'interlocuteur.

Plus de la moitié des entreprises contactées utilisent encore Internet Explorer 6

Seules 5 personnes n'ont divulgué aucune information compromettante aux pirates. C'étaient toutes des femmes. Toutes ont écourté très rapidement l'appel, en moins de 15 secondes, en signifiant qu'elles ne trouvaient pas la demande justifiée. Sur les 5 femmes, 3 étaient cadres. A noter également que si tous les pirates étaient des hommes, moins de la moitié des 135 personnes contactées étaient des femmes.
 

Graves conclusions
 

L'expérience a aussi montré que plus de la moitié des entreprises contactées utilisent encore Internet Explorer 6, connu pour souffrir de graves failles de sécurité. De plus, à chaque fois que les pirates ont voulu emmener leur interlocuteur sur un site Web mis en place pour le test, ils y sont arrivés.

Mais le fait le plus grave mis en avant par cette expérience est qu'une écrasante majorité ait cédé aux ingénieux pirates. Une seule société n'a pas, au final, fourni toutes les informations recherchées par les hackers, qui ont dû abandonner car ils n'arrivaient pas à joindre la bonne personne.

En attendant un rapport plus complet à paraître la semaine prochaine, les organisateurs de ce test sont actuellement à Washington pour révéler leurs conclusions au siège du FBI.