L’art de la tromperie : entretien avec le gagnant du concours d’ingénierie sociale du Hackfest 2023
Cette année encore, le Hackfest tiendra son concours d’ingénierie sociale, où les compétiteurs devront user de techniques de manipulation pour recueillir des infos privilégiées sur leurs cibles.
J’ai eu la chance de m’entretenir avec François-Gabriel Auclair, le gagnant de la dernière édition de la compétition, pour en savoir plus sur son expérience et les conseils qu’il donnerait à celles et ceux qui aimeraient tenter leur chance cette année. Bonne lecture !
Fanny Tan : Comment as-tu commencé à faire des compétitions d’ingénierie sociale ?
François-Gabriel Auclair : La première compétition d'ingénierie sociale à laquelle j'ai participé, c'était en 2018, au Hackfest. Cette journée-là, j'avais décidé de me mouiller, ni plus ni moins. Je trouvais impressionnant de voir à quel point certains compétiteurs étaient capables d'aller chercher de l'information auprès des entreprises. Ça m'intriguait !
Le principe du concours, c'est que deux semaines avant le Hackfest, on se fait attribuer une cible. On a ensuite une semaine pour se préparer avant de soumettre notre dossier aux organisateurs.
Ma première cible, à ce moment-là, c'était une compagnie pétrolière. J'avais trouvé beaucoup d'informations sur cette compagnie à travers Facebook et LinkedIn. D’ailleurs, sur le compte LinkedIn de la compagnie, j’avais vu que celle-ci avait affiché une publication à propos de leur équipe TI. Une publication de type marketing pour dire quelque chose comme « L’équipe des techniciens est là pour les employés ! » J’ai voulu utiliser cette opportunité-là pour m'introduire, en me faisant passer pour un technicien, vu que je travaille moi-même en TI.
Ça a été un désastre monumental (rires) ! Pour de vrai, ça a été vraiment rough.
Fanny Tan : Pourquoi ça s’est si mal passé ?
François-Gabriel Auclair : La compagnie était située dans l'est du Canada, un lieu principalement anglophone, avec un accent très local. Je savais que d’usurper l'identité de quelqu'un de là-bas, ça allait être un énorme challenge.
En plus, je n’ai pas été chanceux, parce que j’appelais durant l'heure du dîner ! Ceux qui me répondaient me demandaient de les rappeler dans une heure. Et ceux qui prenaient le temps de m'écouter ne connaissaient rien de leur équipe de TI ! Bref, j’ai beaucoup appris de cet échec.
Fanny Tan : Qu’est-ce qui t’a aidé l’année passée, lors de la compétition ? Comment t’es-tu amélioré après cet échec ?
François-Gabriel Auclair : Je pense que ce qui m'a vraiment aidé, et inspiré, c'est d’observer les autres compétiteurs et l'organisateur de la compétition à l’œuvre. Je suis quelqu'un qui observe beaucoup, et voir les autres aller m’a permis de comprendre beaucoup plus de choses. Des amis en cybersécurité m’ont également été de très bon conseil.
L’un des trucs les plus importants, c'est d'avoir un bon prétexte. Ça semble anodin, mais il ne faut pas juste penser au prétexte : il faut penser aux portes que ton prétexte va te permettre d’ouvrir.
Un autre truc j'ai appris à force de regarder les autres compétiteurs, c’est que l'ingénierie sociale... C’est un drôle de parallèle, mais… c'est un peu comme aller à la pêche. Quand tu tires à la pêche, si tu tires trop, le poisson va décrocher. L’ingénierie sociale, c’est de jouer avec sa ligne et de se demander « Est-ce que j’ai encore trop peu de tension dans ma ligne ? Ou au contraire, est-ce que ça tire trop, et je dois en laisser un peu aller ? ».
L’idée, c'est de maintenir cet équilibre avec l’employé, la cible. Quand on participe à la compétition, il faut être capable de sentir, de tâter ça.
Fanny Tan : Comment te sens-tu quand tu essaies d’atteindre un tel équilibre avec ta cible ?
François-Gabriel Auclair : Je sais que quand je parle de [mes tactiques d’ingénierie sociale], j’ai l’air d’un psychopathe… comme si j’avais fait ça toute ma vie (rires) !
Mais pour donner un peu plus de contexte, moi, je me suis fait beaucoup écœurer quand j'étais petit. Mon côté social a émergé, mais beaucoup plus tard. Et ce côté social… Ce n’est pas quelque chose que j’ai utilisé à mon avantage, mais… disons que ça m'a permis de m'en sortir dans une société où je me faisais beaucoup écœurer.
Donc, de comprendre les gens, d'être à l'écoute et de « tâter la ligne », si on peut dire... ça aide à comprendre si les gens se sentent bien. Et si les autres se sentent bien, moi, je vais pouvoir me sentir bien par la suite. Être socialement très ouvert et à l'écoute, je pense que c'est une très grande qualité pour faire de l’ingénierie sociale.
Fanny Tan : Et c’était quoi, ton feeling, quand tu t’apprêtais à faire ton appel ?
François-Gabriel Auclair : À ce moment-là, c’était pendant la finale, au deuxième jour de la compétition. En tant que finaliste, on s'est fait donner des cibles à l'improviste. On avait donc seulement une heure pour se préparer.
Une fois que j’ai terminé de brainstormer pour trouver un bon prétexte (avec le public, ce qui était tout un challenge en soi !), j’avais besoin de relaxer. J'étais hyper stressé. J’avais soif, et je voulais boire de l’eau avant de commencer. Pour me sentir bien pendant l’appel, pour ne pas être distrait.
Mais quand je suis entré sur scène, on m’a dit : « Bois pas de l’eau, prends un shooter de rhum, ça va te réveiller ! ». Mais à onze heures du matin, quand t'as pas vraiment déjeuné… l'alcool rentre vraiment très vite (rires) !
Ce qui m’a donné confiance, c’est de me rappeler qu’il faut viser à côté de la cible pour s’en rapprocher tranquillement. Mon but, c’était de créer un lien de confiance, une atmosphère de sérénité. Puis, tu montes graduellement cette sérénité-là et par conséquent, tu obtiens la confiance.
J’ai fait rire la cible en moins de quinze secondes au début de l’appel. Ça a beaucoup aidé ! J’avais l’objectif de faire rire la personne en moins de trente secondes, alors je savais rapidement que j’étais on track.
Une fois cet objectif atteint, la pression a baissé. J’ai essayé d’adopter une posture décontractée. Je ne sais pas si tu te rappelles, mais je tenais mon micro à l’envers, un peu comme une rockstar (rires). Ça me permettait de me concentrer sur autre chose et en même temps, d’incarner le persona que j’avais en tête.
Fanny Tan : Comment t’es-tu senti après ta performance ?
François-Gabriel Auclair : L'appel a duré à peu près 35 minutes. Après, quand j'ai raccroché… je me sentais tellement mal ! Je ne fais jamais ça, essayer de parler à quelqu'un juste pour le bullshitter !
Et je dois dire, « bullshiter » est un grand mot, parce que... il n'y avait pas de mauvaises intentions [derrière l'exercice]. Mais il fallait un peu que je le fasse, pour la compétition. Mener quelqu'un dans une fausse direction, c'est pas quelque chose que je fais tous les jours ! Plusieurs heures après l'appel, je me sentais encore à l'envers.
Au final, la compétition d’ingénierie sociale te permet de tester. De voir à quel point tu peux gagner des informations quand tu interagis avec quelqu’un. Aussi, la compétition ne vise pas à punir les cibles quand elles se font avoir, mais plutôt à sensibiliser les gens, à les aider à reconnaître comment ils pourraient être exploités.
Mais je dois dire que de participer à cette compétition, ça donne un drôle de sentiment. De revenir sur l'expérience et de se dire: « Hein, j'ai vraiment été capable de faire ça ? J'ai réussi à bien jongler avec les sentiments d'une personne ? » (rires).
Fanny Tan : J’ai moi-même déjà pensé que les compétitions d’ingénierie sociale, c'était destiné aux psychopathes, parce que j’ai l’impression qu’il faut en être un pour être capable de mentir aussi facilement et de s’en sortir ! Mais au contraire, dans ton cas, je crois que c'est ton empathie qui t'a permis de faire tomber les barrières de ta cible. Dirais-tu que l'empathie est la qualité la plus importante pour être un bon « ingénieur social » ?
François-Gabriel Auclair : Je pense que oui. Certains vont jouer à fond sur le sentiment d'urgence pour tromper leur cible, mais moi, quand on me met la pression pour prendre une décision rapidement, je n’aime vraiment pas ça. Si tu ne peux pas rester dans ton « havre de paix » pour prendre ta décision, pour moi, c’est un red flag monumental. C’est à ça que je pense quand je me mets à la place de la cible.
Donc oui, je pense que l'empathie est une meilleure arme. Mais c'est une drôle de qualité à exploiter, parce que si tu es une personne très empathique, tu n'es probablement pas une personne mal intentionnée. Ça te met dans un genre de limbo. Certains sont très à l'aise avec ça, mais moi, j’ai trouvé que c’était une drôle de ligne à franchir !
Envie de tenter votre chance à la compétition d’ingénierie sociale cette année au Hackfest ? Il est encore temps de vous inscrire ! Une formation (en anglais) d’OSINT/Social Engineering est également offerte.