Certaines recettes simples peuvent donner plus de sel dans la vie des pirates. Un récent article du Sans signale une recrudescence des attaques en ingénierie sociale reposant sur le bon vieux truc de l’appel téléphonique émis par un prétendu service sécurité de Microsoft, de Google ou d’Adobe. La mode du Cloud et la vanité des prestataires de services aidant, il est désormais relativement simple d’apprendre que tel ou tel opérateur de « managed services » travaille pour le compte d’une grande entreprise ou administration. Ce qui pousse quelques cyber-truands à se réclamer de l’enseigne en question. « Allo ? Ici Matthieu Martin, du SOC Sophos/IBM-ISS… pouvez-vous activer l’option RDP de votre poste de travail de la manière suivante svp… » Avec un peu d’aplomb et deux minutes de googlehacking, même un secrétaire de Ministre ou Grand commis de l’Elysée peut se faire duper. Il n’y a pas que Facebook dans la vie des spécialistes de l’intrusion.
Innovation encore, bien que très peu de renseignements techniques soient diffusés par la presse : un malfrat Brésilien serait parvenu à braquer l’équivalent de plus de 40 000 dollars en piratant les ordinateurs situés dans les DAB. Et la simplicité de la méthode mérite un coup de chapeau : l’homme utilisait, comme port facilitant l’intrusion, la prise USB sur laquelle était branchée la caméra USB de surveillance. Un composant de sécurité servant à compromettre la sécurité d’un système réputé difficile à violer, c’est un peu comme la crème à la crème dans les recettes gauloises d’Astérix chez les Normands. Notre hacker Brésilien branchait un clavier sur ce port, précise Brian Krebs, clavier qui lui permettait ensuite de rebooter la machine pour pouvoir la compromettre. L’on peut ainsi soupçonner deux ou trois méthodes d’attaques. A commencer par une très classique attaque« evil maid » à la sauce Joanna Rutkowska, ou une intrusion par injection d’un périphérique singeant les caractéristiques HID… Quoi qu’il en soit, la méthode semble bien plus simple et efficace que tout l’attirail déployé par un spécialiste du « skimming ».
