13-09-98 DISCLAIMER !!! LES INFOS DE CETTE DOC SONT DIFFUSEES A SEUL BUT LUDIQUE! SI VOUS VOUS FAITES CHOPER EN LES APPLIQUANT, C'EST QUE VOUS L'AVEZ CHERCHE. MEA NON CULPA *************************************** "La faiblesse des cons est notre force" *************************************** Avant de rentrer dans le vif du sujet il faut planter le decor. Voila pourquoi j'ai fait un copier/coller (hehe) d'un petit texte sur les cons en prelude a la FAQ sur le social engeneering. D'ailleurs cette FAQ est elle meme partiellement inspiree de la FAQ (en anglais) de Bernz : bernz@ix.netcom.com . Certains elements etant obsoletes ou incomplets, je me suis permis d'y rajouter une petite touche personnelle et quelques rubriques. Pour toute critique, envoyez un courrier a Tobozo : tobozo@caramail.com ----------------------------------------------------------- L'INTELLIGENCE A LA PORTEE DU CON (ne concerne que le con) 90% des gens sont cons, vous avez donc vos chances. Gardez-les mais ne les ruinez pas. Etre con est salutaire. Avoir l'air con est rhedibitoire.Soyez assez intelligents pour saisir la nuance. Premier exercice. Comment ne plus avoir l'air con. a) Le con parle pour ne rien dire. Ne dites rien. Vous ne direz rien d'intelligent, mais ca vous empechera de dire des conneries. Vous y gagnerez. Au lieu de dire: "Quel con !", votre interlocuteur se dira: "Joue-t-il au con?". C'est un premier point. b) Si vous avez vraiment envie de parler, ne vous retenez pas. Dites vos conneries, et concluez: "Bon,j'arrete de deconner". Votre interlocuteur se dira: "II joue au con". C'est un deuxieme point. Deuxieme exercice: comment avoir l'air intelligent. Vous avez a votre disposition une serie de mimiques qui donnent inevitablement l'air intelligent. Soyez assez cons pour les copier sans complexes. a) L'air detendu: reperez la personne intelligente. Si vous etes dans un groupe de dix, il y a neuf cons, dont vous. La personne intelligente c'est celle qui semble bizarre. Des qu'elle dit quelque chose de bizarre, faites comme si vous compreniez. Meme si vous ne comprenez rien, les autres auront l'air plus con que vous. b) L'air penetrant: pensez tres fort aux contraventions, aux impots, a votre bagnole emboutie. N'en parlez surtout pas ca ferait con. Mais pensez-y. Si vous etes vraiment tres con, ca ne vous donnera pas l 'air intelligent. Mais l'air emmerde fait toujours bien quand on ne donne pas ses raisons. c) L'air penetre: meme exercice que le precedent mais avec un compas dans le cul. Avantage: donne une dimension souffreteuse. Vous avez aussi a votre disposition une serie d'attitudes. a) Le penseur de Rodin: asseyez-vous. Mettez votre poing ferme sous votre menton et regardez dans le vide. C'est radical. Meme si vous ne pensez a rien(ce qui est normal pour un con), il se trouvera toujours un aute con pour vous dire"A quoi penses-tu?" b) L'air du type qui n'en pense pas moins: on developpe devant vous une theorie saisissante. Vous n'y comprenez rien. Reportez-vous au petit a): l'air detendu. Pour corser, ayez l'air non seulement de comprendre, mais aussi d'avoir votre idee pas con la-dessus. Appliquez le petit b): l'air penetrant. c) Le rictus de connivence: hochez un peu la tete de bas en haut. Appliquez l'air penetre (le compas vous aide a crisper finement les maxillaires). Mefiez-vous des revelateurs involontaires de votre connerie ! a) Surveillez votre regard. Votre oeil vide et sans vie vous trahit. Par definition, vous etes trop con pour avoir la pupille petillante. Ne vous laissez pas abattre. Gardez l'oeil fixe. b) Fermez bien votre bouche. Rien ne fait plus con qu'une bouche entrouverte. Maitrisez-vous: ne machez plus de chewing gum. Si vous etes trop con pour executer en meme temps les exercices oeil-fixe-bouche-close, utilisez le truc de la clope: tirez sur votre megot et fixez la fumee. Troisieme exercice: Comment passer pour quelqu'un d'intelligent: a) Ne perdez pas votre temps a lire des livres intelligent et a voir des films penses..vous n'y comprendrez rien et ca vous deprimerait. Lisez plutot des critiques intelligentes. Apprenez-les par coeur et changez quelques mots. Exemple: "Ce film a la beaute desertique d'une douleur sans fin" devient: "Ce film a la beaute squelettique d'une couleur sans teint". Vous ne plagiez pas vraiment et vous gagnez en hermetisme. L'hermetisme est le secret de ce troisieme exercice. Quand vous dites des conneries, dites des conneries incomprehensibles. Les cons les prendront pour des finesses qu'ils ne comprennent pas et, double avantage, les gens intelligents se sentiront cons. b) Ne faites jamais de citations. Ca fait tres con. Appropriez-vous les carrement. Mais attention, ne faites pas le con ! N'utilisez pas des citations trop connues. Si un autre con vous dit: "C'est de toi ca? ", ne prenez pas l'air confus.Ne doutez pas de vous. Votre connerie native vous y aidera. Voila maintenant vous passez a peu de frais pour quelqu'un d'intelligent. Mefiez-vous! Des gens intelligents vont venir vous poser des questions intelligentes. Vous etes trop con pour y repondre. Comment faire ? Renvoyez la balle: "Pourquoi me poses-tu cette question ? ". Quand vous ne pouvez plus la renvoyer, affrontez l'adversaire. Utilisez les quelques celebres formules qui repondront pour vous; par ordre chronologique: -Tu vois ce que je veux dire... (la formule qui sauve) -Il me semble que tu limites le probleme... (l'autre a l'air con) -Tu crois vraiment ce que tu dis ? (l'autre a l'air hypocrite) -C'est tout ce que tu trouves a dire, ben merde ! (l'autre a l'air limite) -Tais-toi tu m'atterres (l'autre a l'air tres con). S'il se tait, vous avez gagne. Ultime traquenard: la tentation de l'intelligence veritable. Attention! Ne tombez pas dans ce panneau demoniaque ! Les gens intelligents sont malheureux. Ils ont compris qu'on etait la pour vieillir et crever. Avant, il n'y a rien, apres non plus, et pendant, on en chie. Comprendre, c'est perdre les avantages du con. C'est connaitre le doute, la solitude, la marginalite odieuse, l'insomnie, l'angoisse, les battements de coeur, la souffrance. Et tout ca pour rien puisque vous serez toujours un con. Surtout, ne changez pas. Soyez assez intelligents pour rester cons. ----------------------------------------------------------- Bon, le decor est plante et vous ne vous etes absolument pas senti vise n'est ce pas ? Si c'est le cas, inutile de lire la suite dans un but applicatif car ces techniques ne sont realisables que par une tres faible partie de la population. ----------------------------------------------------------- La FAQ du SOCIAL ENGENEERING -SECTION I: INTRO 1.1 Le SOCIAL ENGENEERING c'est quoi? 1.2 Pourquoi une FAQ? 1.3 On s'en carre? 1.4 Intro de base et autres trucs. -SECTION II: LE SOCIAL ENGINEERING AU TELEPHONE 2.1 Bases 2.2 Equipement 2.3 Phreaking 2.4 Technique -SECTION III: LE "SNAIL MAIL" 3.1 Le Snail Mail est il vraiment utile? 3.2 Equipement 3.3 Technique -SECTION IV: INTERNET 4.1 Est ce juste du hacking? -SECTION V: EN DIRECT DE PARIS... 5.1 En personne? 5.2 Equipement 5.3 J'ai mon costard, et apres? -SECTION VI: LES INGREDIENTS, LA RECETTE, ET ENFIN LE PLAT DU JOUR Un probleme de melange ----------------------------------------------------------- 1.1 Le social engeneering c'est quoi au juste ?? Traduction du dico du jargon des hackers : Social Engineering: n. terme utilise parmi les hackers et les samurais pour designer les techniques de cracking se basant plus sur la faiblesse des securites morales que sur la faiblesse des securites informatiques; le principe est de duper des gens afin de leur faire reveler leur mot de passe ou autre info qui pourrait compromettre la securite d'un systeme vise. Le cliche classique est d'utiliser le telephone pour appeler une personne cle en se faisant passer pour quelqu'un de son environnement technique qui a le besoin urgent de regler un probleme d'acces. Ca parait derisoire mais le Soc. Eng. n'est ni plus ni moins qu'une affaire de bluff et de dupage qui fait intervenir des notions personnelles basees sur l'experience et le savoir et qui s'applique sur des humains. Cette technique est utilisee pour beaucoup de choses : mots de passe, carte d'acces et autres infos basiques sur l'organisation des systemes cibles. 1.2 Pourquoi une FAQ? Voila une question qu'elle est bonne. En fait plusieurs raisons : la premiere c'est qu'il est assez rare de voir ce sujet aborde dans des discussions. On parle souvent de hacking, phreaking et cracking mais il n'existe pas a proprement parler de forum qui cause explicitement de cette discipline (en esperant que ce texte va faire un peu bouger leur cul a ceux qui se sentent concernes hehe). Quant a ceux qui pratiquent cette discipline, ils auront un peu plus de respect grace a cette FAQ, car les hackers hyper equipes negligent souvent ce cote psychologique et ne se doutent meme pas un instant de ce a quoi on peut avoir acces en appliquant intelligemment ces techniques de revelation. Ce qui nous amene a la derniere raison de cette FAQ : l'entrainement des neophytes. Car le Soc. Eng. est une discipline qui peut faire appel au hacking comme au phreaking et qu'il ne faut pas se contenter d'etre bon dans une seule de ces matieres. 1.3 On s'en carre? Pour les neophytes : vous avez tort de vous en foutre. Si vous pensez que le monde des ordis et de la securite se resume a penetrer la machine d'un lamer ou a hacker une page a l'aide de votre simple clavier et de votre bluebox, vous vous fourrez le doigt dans l'oeil jusqu'au coude. Le hacking, tout comme la vraie vie, existe ailleurs que dans votre systeme. Les programmes ne sont pas la solution a tous les problemes. Sans vouloir donner l'impression d'etre rebarbatif : faites un peu preuve d'imagination que diable ! Pour les convertis : ca peut servir non ? 1.4 Intro de base et autres trucs. Cette FAQ contient les techniques telephoniques, de courrier, d'internet et de LIVE. Quelques allusions a l'equipement et des exemples de conversations telephoniques. Une flagrante transition entre le hacking et le phreaking me direz vous? Alors laissez tomber les courriers du genre "..blabla tu t'es goure de terme et c'est meme pas du social engeneering.." Les metaphores sont souvent la meilleure facon de decrire une situation et le hors sujet n'est pas la seule propriete des journaux nationaux. En bref ne soyons pas trop techniques svp. SECTION II: LE SOCIAL ENGINEERING AU TELEPHONE 2.1 Bases C'est de loin la methode la plus frequemment utilisee : rapide, indolore et accessible au plus feignants. Pas besoin de se deplacer, seuls les doigts suffisent. Un petit coup de fil a la bonne personne et hop ! Evidemment c'est un peu plus complique que ca mais les lignes principales sont tracees. 2.2 Equipement L'equipement hardware le plus indispensable, c'est votre matiere grise. Il faut avoir une rapidite d'esprit hors du commun. Il faut aussi avoir un telephone en prenant le soin d'eviter de laisser active le signal d'appel, c'est mauvais pour la credibilite si vous vous faites bipper en plein sketch et ca coupe le rythme. Si possible un telephone de bonne qualite (evitez les sans-fil). Certains telephones ont meme une option "bruits de bureaux" en arriere plan sonore. Un petit filtre sur le telephone peut aussi changer la voix, soit en baryton (pour les plus jeunes), soit en voix feminine. Tres utile pour ajouter un peu de confiance en soi surtout pour les jeunes surdoues dont la voix est parfois assez peu convaincante car revelatrice de l'age. Dans d'autres cas changer le sexe de la voix peut aussi etre decisif. Tout ce materiel est loin d'etre gratos mais vous assure la qualite d'un bon appel. Au telephone, seulement 13% des informations verbales sont reelement captees par l'utilisateur. En revanche des details comme le timbre de la voix et les intonations representent plus de 70% de ce qui touche en profondeur votre correspondant. 2.3 Phreaking Social Engineering et phreaking ont beaucoup de choses en commun. Le premier point commun est que pour obtenir des infos decisives, il faut parfois passer des heures interminables au telephone et que ca finit par couter un max sur la facture telephonique. Le phreaking aussi peut etre tres utile pour ceux qui ne veulent pas que popa ou moman supprime la ligne telephonique dans la chambre apres vue sur le detail de la facture ou apres un callback consecutif a une operation douteuse. Le blueboxing, redboxing ou greenboxing, le carding et toutes autres techniques sont chaudement recommandees pour assurer serenite et securite, surtout pour ceux qui essayent de scanner un mot de passe. Donc pas de quartier : a l'assaut des cabines telephoniques (pour les plus veinards qui possedent un ordi portable), des telephones mobiles et des numeros verts, mais dans tous les cas n'oubliez pas de tenir compte du bruit de fond; appeler d'une cabine telephonique avec les bruits de la rue, ca fait pas tres professionnel. 2.4 Technique Pour commencer, trouvez vos marques. Considerons l'exemple d'une universite ou d'une fac (la votre?). Appelez le central de gestion informatique en vous faisant passer pour quelqu'un qui a deja un compte mais qui n'arrive pas a y acceder. A cette etape, deux reactions de leur part sont possibles : s'ils sont vraiment cons (ce que vous esperez), ils vont vous donner un nouveau mot de passe. Selon le meme principe, ils feront ca pour la pluspart des gens qui appeleront ulterieurement. S'ils ne sont pas vraiment cons, ils vont proceder a quelques verifs avant. Il faut bien choisir la personne pour qui vous voulez vous faire passer. Ex : le compte d'un autre etudiant que vous avez eu par FINGER ou celui de ce prof que vous arrivez particulierement bien a imiter. Le transformateur de voix peut etre tres utile dans ce cas car la voix change quand elle est transportee par le telephone, ce qui peut aider. Essayez de vous faire passer pour une gonzesse (sauf si vous etes deja une gonzesse). La pluspart des gars qui s'occupent d'administrer donneraient n'importe quoi a une belle voix feminine car la majorite de ces gens-la sont socialement inacomplis (hehe) ce qui est leur faiblesse principale. Agissez comme une gonzesse (transformateur de voix) et vous obtiendrez d'eux tout ce que vous voudrez. On vous demandera certainement de confirmer votre identite d'une facon ou d'une autre. Evitez de cartonner dans votre entourage trop proche mais soyez quand bien renseignes sur la personne pour qui vous voulez vous faire passer. Le plus souvent c'est le numero de securite social qui est demande (voir dans les rubriques "SNAIL MAIL" et "LIVE" comment on peut l'obtenir). La preparation avant l'appel est souvent plus importante que l'appel lui meme. Voila pourquoi il faudra rassembler un maximum de renseignements sur la personne que vous aller simuler. Si vous vous faites passer pour quelqu'un que vous n'etes pas et que vous butez sur une simple question de verification par manque d'infos, ils deviendront suspicieux et il sera encore plus difficile de penetrer le systeme ulterieurement (chat echaude craint l'eau froide). Je me repete peut etre (pour les andouilles) mais N'ESSAYEZ PAS DE PASSER A LA PRATIQUE DU SOCIAL ENGENEERING SANS AVOIR PREALABLEMENT RASSEMBLE UN MAX D'INFOS SUR VOS CIBLES. Une fois que vous avez convaincu votre correspondant de votre fausse identite, demandez un nouveau mot de passe, numero telnet etc etc. N'en demandez pas trop en meme temps, cela peut eveiller la suspicion. Vous devez avoir les sonorites d'un honnete citoyen. Prenez bien vos marques, entrainez vous a l'imiter (lui ou elle). Cette personne a-t-elle des tics verbaux, utilise-t-elle un langage chatie ou vulgarise, un accent particulier, des mimiques. Tous ces renseignements peuvent aisement etre recoltes. Il suffit d'appeler la personne en se faisant passer pour une agence de telemarketing qui fait son enquete sur tel ou tel sujet (a vos cassettes). Meme si ca se solde par un refus au telephone, c'est toujours ca de pris sur leur facon de parler. Dans le cas contraire, c'est une bonne opportunite pour leur demander des infos persos (adresse, No de secu et autres infos basiques). ATTENTION!! CONTREFAIRE OU ABUSER D'UN NUMERO DE SECU EST ILLEGAL!!! NE DITES PAS QUE VOUS N'ETES PAS PREVENUS. SECTION III: LE SNAIL MAIL (la poste) 3.1 Le Snail Mail est il vraiment utile? Oui bien sur, c'est facile, pas cher et ca peut rapporter gros. La question est : comment l'utiliser dans le social engeneering ? Comme il est dit plus haut, c'est difficile et rare de tomber sur un systeme sans protection ni verification. Mais ca existe, si si ! En consequence, il faudra non seulement prendre ses marques sur la personne que vous allez imiter mais aussi sur le systeme vise. La technique du telemarketing est efficace mais pas systematiquement car les gens ne font pas forcement confiance au enqueteurs telephoniques. Pour des raisons obscures, ces gens-la font plus confiance aux informations ecrites sur papier. Ils se feront alors un plaisir de remplir vos formulaires d'inscription gratuite au biblio-club (ce n'est qu'un exemple) en y mettant toutes les infos dont vous avez besoin. Voila pourquoi le SNAIL MAIL est une methode sympa et completive. 3.2 Equipement Quoi qu'y faut ? Des enveloppes et des timbres evidemment, une bonne imprimante (pour faire du papier et des enveloppes a en-tete). C'est la qu'interviennent des talents subtils comme creation de logo, choix nom de la societe, pour le retour du courrier. Si vous manquez de talent, faites les faire par des pros, c'est pas gratuit mais la credibilite d'une societe depent enormement de son image de marque et le logo en est la vitrine. SI VOUS VOUS FAITES PIRATER VOTRE LOGO, INUTILE DE PORTER PLAINTE. Une boite postale est ideale pour ce type d'action, ca fait tres professionnel et c'est pas trop cher. Si vous faites partie d'un groupe, partagez les frais (pour les plus fauches). 3.3 Technique Quelle est la cible ? En general pour le Soc. Eng. par mail, cela s'adresse a un large groupe de gens. Votre courrier devra ressembler a un mega mailing. Adressage par etiquette imprimee (plus credible). Vous avez besoin d'une liste d'employes de cette societe et leurs adresses. Si vous avez besoin d'un modele, regardez dans votre boite aux lettres : en tetes et formulaires. Une partie rapidement remplissable (pas comme une feuille de declaration d'impots!) en prenant soin de bien imiter le look, polices de caracteres de type "bizness", l'illusion est indispensable. Dans les infos recoltees, n'oubliez pas de demander le numero de secu. Astuce : demander de choisir un mot de passe pour confirmer l'activation du compte par telephone, 9 fois sur 10 il s'agit du mot de passe utilise sur le compte internet. Hee oui, l'informatique rend les gens feignants du cerveau et c'est encore la leur faiblesse principale. Dans le choix de la mise en page, preferez les questions a reponses simples (genre QCM), concises et pas ambigues. Evitez les choix difficiles, un formulaire trop complique se retrouve direct a la poubelle. NE FAITES PAS DE FAUTES D'ORTHOGRAPHE !! La non plus je ne veux pas jouer les rebarbatifs, mais que diriez vous d'un courrier trouve dans votre boite aux lettre qui est truffe de fautes ? La credibilite est 100% de l'efficacite du Soc. Eng. On vous stressera jamais assez avec ca. Faites aussi preuve d'originalite et de diversite. Apres avoir cachete, adresse et timbre vos courriers, envoyez les et attendez..........Les reponses ne tarderont pas a arriver. A cette etape, utilisez la methode telephonique pour les exploiter, le numero de secu etant le plus souvent demande. Si vous pensez qu'il va vous manquez des infos, n'hesitez pas a les demander dans vos courriers en y adaptant vos formulaires. Par exemple : le nom de jeune fille de la mere. SECTION IV: INTERNET 4.1 Est ce juste une forme de hacking? D'un certain point de vue, oui. Le hacking exploite les trous de securite des systemes informatiques alors que le social engeneering exploite les trous de securite du sens commun des gens (stupidite, naivete, sensibilite, coeur d'artichaud, etc etc). Preparer sa cible en faisant un FINGER sur un systeme est une superbe facon de debuter dans l'engeneering. Ces operations donnent souvent le nom complet, le lieu et autres infos sur les derniers logins. Choisissez dans la liste celui ou celle qui ne s'est pas connecte depuis longtemps. Autre schema classique : vous faire passer pour un sysop sur un channel IRC ou dans une chatroom rapporte souvent (surtout chez aol hehe). Oui je sais, on considere plutot ca comme du hacking mais je crois qu'il faut quand meme considerer l'intervention de la matiere grise sur ce coup la. SECTION V: EN DIRECT DE PARIS... 5.1 En personne? Ouaip et c'est meme carrement important. Apres tout on n'est jamais aussi bien servi que par soi meme, meme si l'on peut faire pas mal de chose par le telephone ou par courrier, il est parfois indispensable de bouger son cul sur le terrain pour constater par soi meme l'etat des lieux, piquer un mot de passe ecrit sur un papier (souvent sous le clavier), compter le nombre de terminaux etc etc. 5.2 Equipement C'est seul seul moment dans la vie culturelle du hacker ou le look compte. N'essayez pas de vous introduire chez BOUYGUES avec un T-Shirt des Visiteurs et votre walkman sur les oreilles : ca ne marchera pas. Alors pas de pacotilles, costard a la nanard (nino ferruci), air digne, regard fixe et tete haute, cheveux bien coiffes et petite mallette. Restez poli, vous faites partie des bureaux et vous vous y sentez chez vous. Si vous pesez plus de 140 Kg ou mesurez moins d'1m60. Vous aurez l'air d'une andouille car un physique different se remarque et personne ne se laissera duper devant ce comportement familer, ce qui peut provoquer des rires et au pire l'intervention des services de secu. Pour les plus jeunes, il est toujours possible de se faire passer pour le fils d'un employe, ca facilite les choses dans certains cas. Si vous y arrivez, bravo car ca n'est pas a la portee de tous. Une fausse carte de magnetique avec la photo dessus, le logo de la compagnie et le nom d'une operation ou d'un programme d'entreprise vous donneront un look plus officiel. Dans le pire des cas, un autocollant "visiteur" fera l'affaire et pourra faire accepter une apparence peu officielle. 5.3 J'ai mon costard, et apres? Balladez vous dans les bureaux avec l'air confident, flashez votre badge ou portez dignement le badge de visiteur, faites comme si vous apparteniez a cette societe, ce sont vos apparences qui comptent. Des bureaux a compartiments constituent le terrain ideal, car ils vous permettent de bien faire l'inventaire du contenu des tables de travail et des affaires personnelles, facilitant ainsi l'identification de l'ordinateur admin et du profil de l'utilisateur. Avec un peu de chance, vous trouverez la machine UNIX de la boite, qui en general se trouve derriere une grande baie vitree, ce qui vous permet d'identifier rapidement les modes de connexion possibles. N'ESSAYEZ PAS DE HACKER SUR PLACE !! C'EST UN COMPORTEMENT TRES SUSPICIEUX !! SECTION VI: LES INGREDIENTS, LA RECETTE, ET ENFIN LE PLAT DU JOUR Petit echantillon : Vous voulez savoir a quoi ressemble la strucutre informatique interne de votre fac ou penetrer le systeme d'une compagnie de traitements chimiques pour avoir la formule de leurs nouvelles toxynes , mais meme en accedant a l'interieur, le probleme des mots de passe reste une equation problematique a cause des VAX. Alors que faire ? Pour commencer, il faut obtenir une liste des employes. Pour les FAC et universites, utilisez les annuaires internes. Pour les societes, utilisez une technique de Soc. Eng en LIVE : cherchez dans les fiches de paye. N'oubliez pas de garder votre calme devant les autres, il faut rester credible ! Un petit coup de FINGER sur les comptes des employes, et hop.. Qui n'a pas utilise son compte depuis plusieurs mois ? Ceux la sont vos cibles et il vous faudra noter un maximum de renseignements car c'est EUX que vous allez bientot devenir. Un petit coup d'oeil sur les carnets d'adresses de l'entreprise vous servira pour utiliser avec le SNAIL MAIL. De retour a la maison vous pourrez commencer a rediger et envoyer vos courriers aux employes en n'oubliant pas, bien sur, de prevoir un champ libre pour mettre le numero de secu. Apres envoi, il ne vous reste plus qu'a attendre, jouer a quake ou faire ce que vous voulez pendant plusieurs jours. Vous pouvez aussi faire ca dans les murs de la societe et utiliser la machine a affranchir locale (social engeneering jusqu'au bout). Des que vous avez le feedback, decrochez votre telephone et appelez l'administrateur systeme. Utilisez en premier la voix feminine en sachant que la personne que vous aurez au telephone voit rarement la lumiere du jour. Prenez une voix alarmee et utilisez des termes non techniques. Une voix charmante est la porte ouverte a toutes les manipulations et ils adorent ca. S'ils refusent de donner le mot de passe, ils vous reste encore plein d'informations pour reussir a le convaincre. N'hesitez pas a lui dire que vous l'avez croise dans le couloir et que vous le trouvez mignon, ca destabilise et il en oubliera les regles de se! curite les plus basiques. Hoooo le joli mot de passe... ************* Bon...pour le reste vous savez quoi faire et si vous voulez un topo sur le hacking, faudra lire les articles de MISTO ou de NANARD parce que moi je commence a avoir des crampes dans les doigts a force de taper sur ce clavier. Malgre toute l'attention consacree a la redaction/traduction de cet article, il peut subsister quelques fautes techniques et/ou fautes d'orthographe, des carences sur certains cas de figure. Dans tous les cas, feedback a : tobozo@caramail.com ************* Remerciements : NanarD, Misto, Cakeii, Bernz, Goa, Zackma, Boubou et tous les autres que j'ai oublies pour leur participation active autant que passive a l'elaboration des techniques et exemples cites dans cet article. Tobozo.