#Raspi quelques trucs

Aujourd’hui, on s’amuse un peu avec le RasPi.

langage

Pour redéfinir les locales, qui prennent en compte l’écriture des nombres, s’ils ne s’écrivent pas en chiffres arabes comme par défaut, la langue des installations, etc… la commande est très simple

Continuer la lecture de « #Raspi quelques trucs »

Social engineering et journalisme #2

Nous, journalistes, sans le savoir, pratiquons de temps à autres le social engineering. C’est ce dont je me suis aperçue, il y a presque un an, en lisant l’art de la supercherie de Mitnick et en me disant « hey, mais ça, déjà essayé » ou « ben oui, ça c’est un truc de journalistes ! » On ne va pas revenir à la poule, l’oeuf et le couteau, mais toujours est-il que le SE, est pratiqué, tout naturellement par les journalistes de terrain, sans qu’ils mettent cette expression sur leur comportement.

Nous, journalistes, sans le savoir, pratiquons de temps à autres le social engineering. C’est ce dont je me suis aperçue, il y a presque un an, en lisant l’art de la supercherie de Mitnick et en me disant « hey, mais ça, déjà essayé » ou « ben oui, ça c’est un truc de journalistes ! » On ne va pas revenir à la poule, l’oeuf et le couteau, mais toujours est-il que le SE, est pratiqué, tout naturellement par les journalistes de terrain, sans qu’ils mettent cette expression sur leur comportement.

Basics

Même le plus jeune des stagiaires, le plus débutant des plumitifs, saurait mettre à l’aise son interlocuteur. Le bloc note passe encore, mais un micro ou une caméra rebuttent parfois certaines personnes. Il faut donc les mettre en confiance, sinon elles auront du mal à parler (fichiers non exploitables) ou ne donneront que des infos basiques, facilement trouvées ailleurs, voire déjà énumérées en conférence de presse. Or, on en veut plus, on veut autrechose, parfois la conf de presse est l’occasion de croiser cette personne à qui on a besoin de poser d’autres questions, sur un tout autre sujet.

Si elle se braque, impossible. D’où l’importance du SE. Cela passe par deux ou trois questions légères, qui ne servent à rien. Les trois premières minutes sont en général à jeter. On demande à la personne de se présenter, ah, tiens, peut-être a-t-elle un lien de parenté avec telle personne qu’on est supposé connaître (merci Internet….) ? Oui ? Un mi, voyons, un ami d’ailleurs, la semaine dernière… Et voilà notre bon vieux sceptique qui oublie la caméra. Les choses sérieuses peuvent donc commencer.

Les politiques seront moins faciles. Dans leur cas, pas de problème de micro, mais communication bien huilée. Il savent que dire sur le sujet évoqué, bottent en touche quand on sort des clous. « C’est bizare parce que j’avais telle info en provenance de « quelqu’un qui bosse dans votre cabinet… » vrai ? faux ?  On joue au poker. « et monsieur Machin, avec qui vous êtes en affaires… » Dans ces cas là, la maîtrise des dossiers, des réseaux, est un atout.
Evidemment, je le situe dans un contexte franco-français. En Egypte, par exemple, du temps de Moubarak, il était plus facile d’avoir le numéro de téléphone portable d’un ministre (5 à 6 minutes montre en main… Ils adoraient parler) que d’avoir des chiffres en provenance du sacro-saint ministère de l’intérieur.

On notera, aussi, l’importance d’aborder le même niveau de langue que la personne interviewée, le vocabulaire compte beaucoup. Si la personne se sent « entre soi » elle parlera plus facilement. Qu’il s’agisse d’un sans-abri ou d’une personne à un poste clé dans la hiérarchie des entreprises. Dans le même sens, montrer qu’on connait le dossier, en citant des noms, des évènement, des lieux, peu importe, est toujours un plus.

Au final, il est parfois important de « donner » pour « recevoir », parce que la nature humaine est ainsi faite. Cela participe à la mise en confiance de l’interlocuteur, il se set plus riche de ce que vous lui apportez, un détail sur un dossier qu’l ignore, par exemple, et va se sentir obligé de faire pareil à son tour.

Prise de notes

J’ouvrais de grands yeux quand on me disait de tracer une marge sur mes blocs. Pas moyen, on n’est plus à l’école je ne souligne pas en rouge et j’ai arrêté les titres en vert. D’où le scepticisme des étudiants en journalisme quand je leur explique que tracer une marge, c’est cool pour la suite. Ils accueillent mieux l’astuce aujourd’hui quand je leur présente de manière un peu plus sexy : « On va faire du social ingineering » c’est quoi donc ? « les techniques du hacking appliquées aux rapports humains… » observer, démonter, comprendre, remonter pour en faire ce que l’on souhaite… Exactement comme je suis en train e le faire avec eux. Mais ça, ils ne le captent pas.

Donc la marge, c’est sexy. Si, si. Pourquoi donc ? Parce que ça te permet, par exemple, de noter à quel moment la personne fait une grimace lorsqu’elle te parle. même rapidement. ça permet de noter quand la personne cogite en jouant avec sa/ses bagues,  ou sa cravate, quand elle se touche le bout des doigts tout autour des ongles, quand son regard est fuyant. C’est ce que l’on appelle des micro-réactions pour les expressions qu’ils s’agissent d’expressions corporelles ou de mimiques.

De retour d’interview, à mort le reste des notes. Ce qui va m’intéresser, ce sont les infos qui se cachent derrière ces micro-expressions. Est-ce que la personne ment ? pourquoi ? m’a-t-elle caché une partie des infos ? pourquoi à ce moment là a-t-elle été mal à l’aise ? C’est ici que commence la recherche d’infos. Pas dans ce qui est noté tout autour.

tumblr_md6t9a2kEu1r2wy4no1_500

Ailleurs

Si on sort du contexte franco-français, bien entendu, il va être question de culture locale à laquelle il faudra s’adapter. Mais pas que… On peut aussi l’utiliser. c’est ce que j’ai tenté lors de mon entrée en Syrie, le dernier jour de mars 2011. Après le point visa, le bus s’arrêtait dans un autre check point où les bagages étaient systématiquement fouillés et contrôlés. J’avais 99,99999999999% de chances, voire plus, de tomber sur une personne de religion musulmane avec ce que cela implique dans cette région du monde où on grandit (de moins en moins) dans des écoles pour filles et des écoles pour garçons, où les trucs de filles doivent rester des trucs de filles…

J’avais donc planqué une partie de mon matériel sous un joli soutif rouge, on me demanda de refermer cette poche, sous les tampax qui sont tombés, éparpillés sur le sol. On me pria de les ranger, putain de démon, très vite t de refermer cette autre poche. De la grande partie du sac, je sortais quelques vêtements, serrant les fesses pour les objectifs de l’appareil photo. Mais la personne, déjà assez gênée, regarda à peine et me demanda de ranger mes affaires et de remonter dans le bus.

Pour couvrir les manifs, même topo. Alors que je me rendais avec Samuel rencontré le jour même, sur une manifestation, j’avais sciemment planqué tout ce qu’il fallait pour enregistrer du son sur moi, cachant le tout sous des vêtement larges et surtout un grand châle nonchalamment posé sur mes épaules. La petite brune habillée hippie et le grand blond tout aussi décontracté passaient pour de parfaits étudiants en langues, nombreux dans le centre ville à cette époque où personne n’était parti ou n’avait été rapparié.

Regarder, écouter, analyser… et se fondre dans le décor. Nous aurions été seuls, chacun de son côté, dans une manif, il aurait certainement été plus difficile pour nous de passer inaperçus et donc de pouvoir travailler en sécurité. Parce qu’un blond,tout seul en Syrie… Parce q’une nana toute seule, sur une manif où on ne croisait que des hommes…

Les humains sont ainsi faits…

Et il y aurait bien d’autres terrains à explorer. le Garçons-Filles me saoule un peu, à vrai dire, parce que beaucoup trop facile, en général, que ce soit pour les uns ou pour les autres, d’exploiter ses failles. Un jeune ami me rapportait récemment qu’il arrivait à avoir des armes et autre cadeaux supplémentaires en jouant en ligne simplement parce que sa petite voix fluette le faisait passer pour une fille aux yeux des garçons avec qui il jouait enn équipe. Lui ne disait rien et se contentait de récolter le fruit de l’illusion dans laquelle baignaient ses partenaires de jeu.

Idem pour les mécanismes jeunes-vieux… Je kiffe bien ceux qui se placent en patriarches, en mode « je parle, tu écoutes, j’ai la sagesse, petit poussin, je te la partage, blabla… » et donc il faut se taire, écouter, poser une question à l’occasion pour faire croire qu’on s’intéressent à ces personnes qui ont tellement peu confiance en elles qu’elles ont besoin de ça pour se sentir bien dans leur peau. En jouant les petits poussins, on peut (très) facilement en tirer tout ce qu’on veut. Pas question, au contraire, de leur montrer que tu as un cerveau, puisque contreproductif, il pourraient se sentir attaqué. Après tout, ils étaient déjà là à l’époque où tu mangeais ton caca, donc respect… Ou du mois fait semblant.

A lire/regarder/écouter

Je vous recommande de lire Mitnick, L’art de la supercherie. Je suis en pleine lecture de L’art de l’intrusion (PDF) en anglais, sur un autre créneau, mais tout aussi intéressant en termes de trucs et astuces, je le conseille, toutefois, si vous vous êtes calés techniquement, vous risquez de vous ennuyer.
A voir, la vidéo de la conf d’HiTch sur les bases du SE.
A écouter, cette interview de Christopher Hadnagy réalisée durant Hack In Paris. Il m’explique les bases du SE et revient sur la facilité qu’il a à obtenir des informations dans la vie de tous les jours.
Attention, vous pouvez aussi vous faire avoir en ligne, comme nous l’explique Thomas. Le langage que vous utilisez donne déjà pas mal d’informations à votre sujet.

Billet réalisé à partir d’une conférence réalisée à l’invitation d’Hackerzvoice il y a quelques semaines.

OPSEC et le langage écrit… ou la faille de sécurité entre la chaise et le clavier

J’ai lu, il y a quelques jours, un billet de TomChop qui m’a bien fait cogiter et reprend de manière très simple, certains des principaux risques en terme de sécurité informatique, entre sécu pure et social Engineering. Il m’a permis de le traduire et de vous le poster ici. Bonne lecture.

 J’ai récemment eu le plaisir de parcourir les diapositives d’une présentation de The Grugq(EN) appelé OPSEC pour les hackers(EN). Comme vous l’aurez deviné, le thème principal est la sécurité opérationnelle(EN). La sécurité opérationnelle, la sécurité des opérations, l’OPSEC… c’est tout sur les mesures qu’on prend pour s’assurer que ses actions (ou inactions) ne laissent pas fuiter certaines informations (utiles) à un adversaire éventuel. Certains l’appellent la paranoïa, d’autres l’appellent… OPSEC.

Continuer la lecture de « OPSEC et le langage écrit… ou la faille de sécurité entre la chaise et le clavier »