Revue du premier livre de Kevin D. Mitnick – “The Art Of Deception”

Je vous propose aujourd’hui une revue du livre “The Art Of Deception” de Kevin D. Mitnick que j’ai lu il y a déjà quelques temps. Ce livre date de 2002, mais le sujet est toujours d’actualité.

Le premier livre de Kevin D. Mitnick, “The Art Of Deception” (ISBN-13: 978-0764542800), est un genre de lecture différente sur la sécurité de l’information. Kevin fut longtemps le pirate informatique le plus recherché par le FBI. Maintenant consultant en sécurité de l’information, il partage avec nous dans ce livre, ces expériences acquis à travers les ans. Au lieu de décrire en détails comment pénétrer les pare-feu et le code, Kevin écrit à propos de sa spécialité: L’ingénérie Sociale (Social Engineering).

À priori, j’ai décidé d’acheté ce livre pour en apprendre plus à propos de l’ingénérie sociale, et je dois dire que Kevin a réussi sa mission, j’ai beaucoup appris. En passant à travers les chapitres, vous découvrez une toute nouvelle façon d’attaquer les réseaux, à travers leur maillon le plus faible: les gens qui le contrôle et l’utilise.

Comme je travail en sécurité de l’information depuis quelques années, j’ai souvent entendu que “la secrétaire ne donnerais pas sont mot de passe”, soit parce qu’elle est futée ou parce qu’elle sait qu’il ne faut pas le faire. Ceci dit, ce livre vous fait réalisé à quel point il peut être facile de trompé cette secrétaire futée pour qu’elle donne sont mot de passe à un pirate qui utilise l’ingénérie sociale, non pas parce qu’elle n’est pas intelligente, mais plutôt parce que l’ingénérie sociale c’est l’art d’influencé et de persuadé pour en arriver au but: la cueillette d’information. Cette information peut être in différente forme, comme un nom d’utilisateur, un mot de passe, un numéro de fournisseur ou un NIP, etc… Plusieurs techniques peuvent être apprise dans ce livre, où la plupart ce base sur la confiance qu’un employee peut avoir envers un supérieur, un fournisseur de service ou un agent de la paix. En personifiant ces rôles, un pirate peut jouer le jeu selon ses règles et exploiter cette confiance.

Le livre vous donne beaucoup d’exemples téléphonique (peut-être un peu trop puis-ce que ça devient redondant vers la fin) pour vous faire réfléchir à propos de la façon dont l’information peut être divulgué. Les exemples vont d’un simple appel jusqu’à de multiple appels téléphonique complexe. Si vous êtes déjà un expert en ingénérie sociale, vous pouvez bénéficier de ces exemples pour vous améliorer.

Alors que les appels téléphonique sont plutôt utilisé dans la partie un et deux du livre, la partie trois va plus en détail sur les attaques physique (Physical penetration testing) et informatique. Des histoires écrite pour gardez votre esprit occupé par des questions comme “Qu’es-ce que je ferais dans cette situation?”, “Es-ce que je me ferais avoir par cela?” ou “Es-ce que je vérifie l’identité des visiteurs correctement?”. De leur côté, les attaques informatique décrive ce que nous, professionnels de la sécurité, sommes plus confortable à utilisé. Hameçonnage, attaque par dictionnaire ou cheval de Troie sont tous utilisé en conjonction avec l’ingénérie sociale pour cueillir de l’information.

Le dernier chapitre, “Chapter 16 – Recommended Corporate Information Security Policies” (Chapitre 16 – Politique de sécurité de l’information recommendé pour les entreprises), peut être très utile à quelqu’un qui écrit des politique en entreprise. Kevin a fait un excellent travail pour inclure les politiques souvent oublié relié au sujet principal. Chacune d’entre elles a une courte explication qui ce soint avéré utile pour moi.

Si vous cherchez de la lecture plutôt simple et amusante ainsi qu’une façon d’apprendre à propos de l’ingénérie sociale, je vous encourage à acheter ce livre. Même si quelques parties commence à être redondante vers la fin, c’est définitivement un livre à avoir sur le sujet.