FBI Rings Organisateurs du concours Defcon

A Defcon

Les organisateurs du concours ont été convoqués par le Federal Bureau of Investigation des États-Unis et ont vu des avertissements émis par des groupes de sécurité et l'information sur les services financiers. Centre de partage et d'analyse, (FS-ISAC), un groupe industriel qui fournit des informations sur les menaces à la sécurité du secteur bancaire.

"Les histoires que je reçois sont beaucoup de gens financiers étaient vraiment inquiets que nous allions être »Chris Hadnagy, responsable des opérations chez Offensive Security, qui organise le concours.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Au cours des trois prochains jours, les participants feront de leur mieux pour extraire les données d'une liste non divulguée d'environ 30 entreprises américaines. Le concours se déroulera dans une salle de l'hôtel Riviera à Las Vegas équipée d'une cabine insonorisée et d'un haut-parleur, pour que le public puisse entendre les concurrents appeler les entreprises et essayer de savoir quelles données ils peuvent obtenir de leurs employés. C'est de l'ingénierie sociale: l'art d'inciter les gens à divulguer des informations et à faire des choses qu'ils ne devraient pas faire.

Les organisateurs de conférence doivent faire preuve d'un bon esprit en organisant un concours axé sur des objectifs concrets. Mais après avoir consulté les avocats d'Electronic Frontier Foundation, ils ont élaboré un ensemble de règles de concours et - plus important encore - une liste de choses à ne pas faire.

Les candidats ne peuvent pas demander de données sensibles ou de mots de passe. Ils ne peuvent pas donner l'impression à leurs victimes qu'elles sont à risque. Ils ne peuvent pas prétendre être des forces de l'ordre ou faire généralement quelque chose qui ne va pas. «Si quelque chose vous semble contraire à l'éthique, ne le faites pas, demandez à un juge», expliquent les règles.

Ce que les participants peuvent faire est de collecter des données sur des sujets moins sensibles tels que:

Le gagnant sera choisi par les juges, en fonction non seulement de la quantité de données collectées, mais aussi de l'excellence générale du travail d'ingénierie sociale, a-t-il déclaré. Premier prix: un iPad.

Les entreprises de sécurité donnent souvent le feu vert pour utiliser les techniques d'ingénierie sociale contre leurs clients afin de tester ce qui pourrait se produire dans un incident réel et d'identifier les faiblesses. Dans ces tests, les experts en sécurité essaieront souvent de se faufiler dans des zones sécurisées ou d'inciter les employés à abandonner les mots de passe avec des courriels d'hameçonnage, choses interdites dans ce concours.

L'outil principal du candidat Defcon sera le téléphone. Les concurrents ont été autorisés à faire de la reconnaissance sur Internet sur leurs cibles, et ils auront 20 minutes dans la cabine téléphonique pour appeler les compagnies cibles et tenter leur attaque.

Hadnagy voit le concours comme une sorte d'expérimentation, et prévoit de compiler un rapport analysant ce qui se passe. "Nous avons commencé à sensibiliser le public à l'ingénierie sociale et à donner une tribune pour apprendre ce qui fait un bon ingénieur social", a-t-il déclaré. "Le chemin le plus facile dans une entreprise est encore les gens."

Le mois dernier, le FS-ISAC a émis un avertissement sur le concours, que Hadnagy a publié sur son blog. «Les institutions financières devraient être au courant de ce prochain concours et informer leur personnel, en particulier les centres d'appels et les services juridiques, de cet événement», indique le conseil.

À peu près au même moment, Hadnagy reçoit un appel de la division Cyberbibliothèque du FBI. "Ils avaient des questions sur ce que nos intentions étaient vraiment et ce que nous faisions et quels étaient nos objectifs avec le concours", a-t-il dit. Il a transmis les règles du concours au FBI. "Une fois que je leur ai transmis cela … je pense que cela a arrêté une grande partie des préoccupations du gouvernement", at-il dit.

Le fondateur de Defcon, Jeff Moss, a déclaré jeudi qu'il avait également répondu à quelques demandes, dont celle du FS-ISAC.

Ils n'ont pas à s'inquiéter. Selon M. Hadnagy, Robert McMillan couvre la sécurité informatique et les technologies de pointe pour

. Service d'actualités IDG

. Suivez Robert sur Twitter à @bobmcmillan. L'adresse électronique de Robert est [email protected]