Kevin Mitnick… quel drôle de personnage. Il a décidé d’appliquer les principes du hacking aux relations humaines et de faire des bouquins à partir de ses trouvailles, ou de cas rapportés par d’autres, histoire de partager ses connaissances.

Le social engineering est un moyen d’aller chercher de l’information en employant des techniques de hacking sur l’humain. Analyse, cogitation, détournement de la situation pour mettre la personne en confiance… Et ça peut aller très loin puisque dans les situations décrites dans L’Art de la supercherie, des personnes, qui n’y voient que du feu, vont jusqu’à donner des mots de passe, des numéros de compte bancaire, ou donner accès à des locaux d’entreprise strictement privés ou depuis lesquels on peut se connecter au réseau internet via un simple câble RJ45… et là, fini les informations top secrètes ! (lien wikipédia en français)

Vigilance

Au début de ce livre, on ouvre de grands yeux en se disant que ces personnes sont quand même bien crédules mais… Et nous ? Dans notre quotidien, il nous arrive tous les jours de donner des informations à des inconnus sans même nous en apercevoir. Loin de tomber la parano ou de tourner sept fois son pouce avant d’en faire ce qu’on veut, il faut redoubler quelque peu de vigilance.

J’ai interviewé, à l’occasion de hack in Paris, Christopher J. Hadnagy, plus connu sous le pseudo loganWHD, qui se définit lui-même comme « human hacker » et a tenu deux conférence sur ce thème, l’une à HIP, l’autre à la Nuit du hack. Il nous explique avec des mots simples ce qu’est le social engineering. Il a même testé quelques techniques de passage à Paris qui se sont révélées concluantes, la preuve par le son.

Manipulation

Mitnick rappelle dans L’Art de la supercherie, qu’on devient tous plus ou moins human hacker en devenant parents puisque oui, quoi de plus facile à manipuler qu’un gamin pour le forcer subtilement à faire la sieste ou lui donner envie d’aller à l’école ? On use tous, plus ou moins inconsciemment, ces techniques, instinctivement, dans notre vie quotidienne été certains peuvent même le cultiver et se révéler très forts à ce petit jeu. L’essentiel est d’en être conscient pour pouvoir s’en protéger. En ce sens, je vous conseille ce bouquin de Mitnick qui a été une vraie révélation et permet à travers des cas pratiques très simples, de s’apercevoir que oui, c’est possible.

Journalisme

J’ai discuté après l’interview avec CJ. Hadnagy, sur le social engineering adapté au métier de journaliste. Je suis persuadée qu’il y a des ponts entre les deux puisque nous, journalistes, nous servons de ces techniques de human hacking sans le savoir pour aller parfois chercher de l’info.

Des exemples ? Le fait d’adapter son vocabulaire et son ton à la personne en face pour la mettre en confiance, faire papoter deux minutes une personne qui va se sentir mal à l’aide face à un micro pour qu’elle se sente mieux et donc soit plus disposée à répondre à une question, évoquer une ou des connaissances communes pour que la personne en face se sente un peu « chez elle », elle vous confiera peut-être quelques off supplémentaires, etc.

C’est aussi vieux que notre métier, des techniques d’interview et de comportement totalement basiques qu’on apprend sur le tas avec des collègues. Comme le fait, par exemple, pour obtenir une information A, un peu difficile à avoir, aller chercher une information B, qu’il suffira d’avancer pour qu’elle serve de sésame d’obtention de l’information A. J’avais toujours trouvé ça « normal » et « du métier » mais c’est purement et simplement la même manipulation que celle décrite par Mitnick dans une des histoires de  son livre. Regarder, écouter, analyser, réfléchir et agir en conséquence.

Quid de l’adaptation au journalisme, donc ?

Se faire passer pour autre afin d’obtenir des informations est totalement interdit par le code de déontologie des journalistes et il y a donc quelques limites aux techniques de human hacking à proprement parler. Un avis partagé par les « coupaings » lorsque interrogés là-dessus à PSES (vers le début de cette vidéo), le ébat qui suit est très intéressant. Puis il y a plus urgent, dixit Bluetouff, comme acquérir les bases de la sécurité en ligne.  Mais là, on entre dans un autre débat.

(Merci à Melclalex pour l’illustration)

Partager la publication "Social engineering et journalisme"

Social engineering et journalisme

4 Comments

  • 1 tomchop wrote:

    J’irai même jusqu’à dire que le « social engineering » des journalistes doit être encore plus subtil que le SE classique car l’autre partie sait qu’on est là pour soutirer des informations. Notre interlocuteur se place donc tout de suite dans un état défensif (volontairement ou non) – il fait attention à la formulation de ses phrases, aux mots utilisés, à la véracité et modération de ses propos. Tout la composante inconsciente du psyché humain est perdue (l’information qu’on peut tirer des réactions involontaires , des lapsus, des emotions, a énormément de valeur).

    Et ce ne sont pas uniquement les parents qui devient des ingénieurs sociaux, mais dès qu’on interagit avec la société : la finalité n’est souvent pas malicieuse, mais on essaye tous – d’une manière ou d’une autre – de rentrer en confiance avec les gens, de créer des liens d’amitié, etc.

    21 juillet 2012 at 08:55 Permalink

  • 2 Ju wrote:

    pas « soutirer » des informations. On n’est pas la police !
    On va chercher l’info, mais ça ne suffit pas, après on la vérifie, on la recoupe avec d’autres, on la met en vis à vis d’archives, d’autres infos, d’évènements, etc…
    On la soutire pas, on la retourne dans tous les sens plutôt.
    Qu’il soit en position défensive, oui. Il y a des tas de mécanismes psycho. Beaucoup de gens se sentent moins bien avec un micro sous le nez, et la caméra en face, n’en parlons pas. Rien que le fait de parler avec un journaliste qui a un bloc note, bloque certaines personnes, qui ont peur de dire une bêtise, de se tromper sur un chiffre… même sans rien à cacher, juste une timidité ou une envie de bien faire. comme tu ids, il fait donc attention à chaque mot. C’est là, qu’il faut savoir les mettre à l’aise. Déjà, parce qu’ils se sentent mieux, tout simplement, et c’est quand même plus sympa d’avoir en face de toi quelqu’un de détendu et ensuite, il parlent plus naturellement et c’est là que des trucs inattendus peuvent sortir. Mais perso, je ne le fais pas dans ce but là, plutôt pour les mettre à l’aise dans 95% des cas… et qui dit bon contact, dit personne qui te recontacte ou qui sera toute dispo une prochaine fois si besoin ‘une interview au pied levé ou de chiffres à me sortir rapidement. j’inscris plutôt ça dans la durée.
    Effectivement, les réactions involontaires en disent parfois plus que ce que tu ne dis pas. Je trace souvent une marge dans mon bloc et j’y note les grimaces, les points de questionnement, les longues cogitations… et les infos en lien sont les premières que je vais creuser.
    Sur les liens d’amitié, je ne suis pas d’accord, il y a quelquechose de naturel. on llache tout, en amitié, on ne triche pas. Par contre oui, quand il y a juste un lien social, on entre forcement dans un change avec une personne en lui distillant ce qu’on a envie de lui donner en choisissant les moments, etc.

    21 juillet 2012 at 09:07 Permalink

  • 3 tomchop wrote:

    Oui en effet, le choix du mot « soutirer » n’est pas forcément pertinent pour le journalisme, j’aurais plutôt du utiliser « extraire » ou « obtenir », plus neutre.

    En amitié on lâche tout, oui, ca va dans les deux sens, c’est naturel, c’est justement quand un rapport social n’est pas symétrique ou honnête (alors qu’il dit l’être) qu’on peut parler de SE (*faire croire* à l’autre qu’on est son ami / quelqu’un de confiance / etc.)

    21 juillet 2012 at 09:24 Permalink

  • 4 Ju wrote:

    Voila ! Là dessus, on est d’accord ! parce que ce jeu de différence fera que l’on obtiendra des choses que l’on n’aurait ps obtenu si on ne s’était pas comporté avec cette sorte d’hypocrisie sociale.

    21 juillet 2012 at 09:29 Permalink

Switch to our mobile site