Un expert en sécurité informatique, Thomas Ryan, a réussi à s’introduire auprès de nombreux spécialistes de la sécurité.
Parmi ses victimes, des membres du département de la défense, de la NSA (agence de sécurité nationale américaine), des militaires, des employés de fabricants d’armes tels que Lockheed Martin et Northrop Grumman, et de grandes sociétés américaines
comme Google.
La technique de « social engineering » utilisée n’est pas nouvelle, mais il a montré comment la mettre au goût du jour. Son expérience montre aussi que s’il a pu berner les meilleurs spécialistes, de nombreux internautes sont susceptibles de se faire avoir de même.
La technique dite du « social engineering » consiste à se faire passer pour une personne officielle, accréditée, pour obtenir un accès ou une mise en relation que l’on n’obtiendrait pas sans cela.
Kevin Mitnick, un pirate informatique célèbre dans les années 80, utilisait abondamment cette technique pour accéder à des lieux interdits, en se faisant passer pour un agent d’entretien, par exemple.
Sur le même modèle, Thomas Ryan a créé le faux profil Facebook, Linkedin et twitter de « Robin Sage » une soi-disante jeune experte en sécurité fraîchement diplômée du prestigieux MIT (Massachusetts Institute of Technology). Il a ensuite tenté d’entrer en relation avec des centaines de personnes. Petit à petit, il a pu convaincre les meilleurs experts en sécurités, rassurés par les « amis » qui la « connaissaient » déjà. Au final, pas moins de 300 personnes ont rejoint son réseau de relations, en seulement 28 jours. « Robin Sage » a même reçu des offres d’emploi!
Cette expérience montre à quel point on peut accorder trop facilement sa confiance sur Internet..
Werner KLINGER
Ingénieur Conseil NeoDiffusion.