SPT, ou « Simple Phishing Toolkit » est un outil de phishing Open Source prêt à l’emploi et disponible en téléchargement gratuit… et légal. Légal, car il ne comporte aucun programme d’enregistrement des données saisies par les « victimes », légal car il entre, expliquent ses créateurs, dans le cadre des outils de sensibilisation. Car quoi de plus parlant qu’une véritable vrai-fausse attaque en phishing perpétrée sur l’intranet d’une entreprise, pour mieux montrer, démontrer et démonter les mécanismes de ces Blitzkrieg psychologiques ?
Il se trouvera certainement de doctes savants qui viendront expliquer qu’il n’est pas utile d’enseigner l’art d’écrire un virus pour mieux s’en protéger, de montrer comment l’on contourne un firewall pour consolider une défense périmétrique, ou de composer des pages « Vous avez gagné un iPad » pour secouer la pulpe de l’administré de base ne sachant pas informatiser prudemment. Mais parallèlement, cela fait des années que les spécialistes du pentest jouent indifféremment avec Wireshark, Nmap, le Social Engineer Toolkit ou le crochetage de serrures des colonnes sèches de sous-sols d’immeubles. L’analyse des points faibles, dans une campagne de contrôle des éléments de sécurité, porte aussi bien sur le matériel ou le logiciel que l’élément humain. Mais ce dernier est généralement considéré comme moins glorieux qu’une exploitation de faille d’über-geek découverte sur un système d’exploitation cryptique.
Reste que, dans bien des cas, faire admettre la faillibilité de l’homme au sein d’une entreprise, c’est aussi reconnaître la part de responsabilité et de l’entreprise elle-même dans la fragilisation psychologique de ce même élément humain. Et là , aucune campagne de pentesting, aucun toolkit ne peut colmater ce genre de brèche. S’ajoute à ce constat la remarque liminaire des auteurs de SPT : il se dépense chaque année des millions en équipement de défense et pas un seul centime dans le domaine de l’éducation.