Compte rendu de Granit du 24/01/09 sur le social engineering

kyzdra

2 févr. 2009 — 2 min read

Une présentation très intéressante, et très suivie !!! En effet on n’avait jamais vu autant de monde le soir à une réunion Granit sur la sécurité organisationnelle.

Je n’ai pas grand chose à dire sur ce sujet a part que le danger des réseaux sociaux est une exposition plus forte au social engineering. Hier, il fallait faire beaucoup d’efforts pour obtenir des informations personnelles sur les cibles potentielles d’une attaque, comme fouiller ses poubelles, faire de la surveillance rapprochée, etc. Aujourd’hui il suffit parfois de se connecter sur Facebook, d’aller chercher des informations sur Copain d’Avants, et de connaitre ainsi un peu mieux sa victime.

Les réseaux sociaux sont ainsi devenus des vecteurs d’attaques très puissantes et très ciblées sur le monde de l’entreprise, il est ainsi possible de connaitre beaucoup de choses à la fois sur la vie personnelle et aussi sur les projets de l’entreprise (certaines personnes indiquent quasiment en temps réel sur leur CV en ligne sur quels projets ils travaillent).

Le social engineering est la première prise d’information permettant de personnaliser une attaque traditionnelle comme la plus connue le phishing. En effet comment être vigilant lorsque l’on reçoit un mail d’un ancien copain qui veut renouer le contact. Ce présumé contact est en fait une identité forgée d’après les informations récoltées sur Copain d’Avant.

Pour contrer ou plus précisément limiter ce genre d’attaque aujourd’hui l’éducation est le meilleur remède. Aujourd’hui difficile d’éduquer un tas d’utilisateurs indiciplinés mais la démonstration par l’exemple est parfois très frappante. L’exemple du Journal « Le tigre » est très convainquante : ici. Marc L un internaute lambda voit sa vie décrite avec tous les traces qu’il a pu laisser sur le net.

Aujourd’hui laisser tomber les sites de réseaux sociaux n’est pas forcément la voie à suivre, beaucoup de professionnels misent dessus pour leur carrière (Viadeo, Linkedin). Il faut juste savoir ce que l’on met sur ces sites et ne pas mélanger le professionnel et le personnel. Il faut être en quelque sorte plus prudent s’il on reçoit des informations personnalisées, et vérifier la provenance des ses informations (ne pas ajouter n’importe qui dans son profil Facebook).

Pour conclure voila le lien de la présentation.

SSTIC 2023 - J3

Analyse statique de code avec Semgrep SemGrep est un outil d’analyse de code source capable de tourner sur n’importe quel langage. Le parsing est basé sur tree-sitter, le parser produit un AST, et l’outil travaille directement sur l’AST. On peut faire du pattern matching et de

SSTIC 2023 - J2

Vulnérabilités dans le protocole RemotePlay Steam est l’application de jeu la plus populaire sur PC, avec une très grosse surface d’attaque. Elle fait l’objet d’un BugBounty sur HackerOne. Le RemotePlay est un protocole non documenté sans rapports de vulns publics. Il permet dans son mode « together

SSTIC 2023 - J1

20 ans de SSTIC ! ça ne nous rajeunit pas… 15 years of oss-security @solardiz L’orateur est l’un des premiers à publier sur le re15 years of oss-security @solardizturn-into-libc et un des contributeurs à John the ripper, et le fondateur de la communauté openwall. Le vulnerability disclosure à fait

Streamer Audio : Volumio

Introduction Aujourd’hui il y a plein de manières de diffuser de la musique dans son salon. La première source à laquelle je pense est très certainement la TV connectée. Les services de musique ont pour la plupart lancé des applications sur les TV connectées. Et cet article peut s’

Read more

SSTIC 2023 - J3

SSTIC 2023 - J2

SSTIC 2023 - J1

Streamer Audio : Volumio