Rachel Tobac
Rachel Tobac est une hackeuse éthique américaine. Elle se spécialise dans l'hameçonnage téléphonique, une technique d'ingénierie sociale. Elle est la directrice générale de SocialProof Security, une entreprise de sécurité spécialisée en ingénierie sociale qu'elle a fondé avec son mari. À plusieurs reprises, elle démontre publiquement des failles de sécurité en obtenant des informations privées sur une personne qui avait consenti à participer à l'exercice.
Biographie
Rachel Tobac fait des études universitaires en neurosciences et béhaviorisme, avant de se lancer dans la sécurité de l'information[1] - [2]. Elle fait ses débuts au concours Social Engineering Capture The Flag (SECTF) de la convention DEF CON à Las Vegas, dans lequel elle remporte la deuxième place trois années consécutives[2]. Le concours SECTF est un événement devant une audience en direct où plusieurs participants sont en concurrence pour obtenir des informations, qu'ils doivent se procurer en utilisant l'ingénierie sociale[3]. Cet intérêt de Tobac pour l'ingénierie sociale et en particulier l'hameçonnage téléphonique se mue par la suite en carrière dans la sécurité de l'information[4]. Elle devient une white hat, une hackeuse qui utilise ses aptitudes pour démontrer des failles de sécurité. Tobac n'est pas une programmeuse ; son talent réside plutôt dans sa capacité à se faire passer pour quelqu'un d'autre. Elle fait notamment de l'improvisation théâtrale depuis ses dix ans[3]. Elle dit avoir appris tout ce qu'elle sait en ingénierie sociale en étudiant les experts du domaine, notamment Christopher Hadnagy[2].
En 2017, Rachel Tobac co-fonde l'entreprise SocialProof Security avec son mari, Evan Tobac[4] - [5]. L'entreprise, qu'elle dirige, se spécialise dans la protection contre l'ingénierie sociale et effectue des tests d'intrusion (pentests)[3]. Tobac siège également au conseil d’administration de Women in Security and Privacy (WISP), une organisation basée à San Francisco qui promeut le rôle des femmes dans le monde de la cybersécurité et du hacking[6].
En 2019, à la demande de Donie O'Sullivan, un journaliste pour CNN Business, Tobac parvient à obtenir sur lui des informations privées, uniquement en faisant des recherches sur le web et en passant des appels téléphoniques[3].
Le 3 novembre 2019, un épisode de Last Week Tonight with John Oliver sur la thématique des machines de vote électronique passe un extrait d'une vidéo de Tobac qui expose les faiblesses des postes de vote[7].
En 2022, Rachel Tobac démontre une fois de plus ses compétences en piratant les informations privées du milliardaire Jeffrey Katzenberg, qui avait préalablement consenti à être sa cible[8]. La démonstration est faite à la demande d'Aura, une entreprise de protection de l'identité en ligne, dont Katzenberg est un investisseur[9]. Aura publie une vidéo dans laquelle on peut voir Tobac travailler avec son mari. Dans cette vidéo, Rachel Tobac explique que ce dernier gère la programmation du piratage, alors qu'elle-même est chargée de l'ingénierie sociale. Le couple parvient entre autres à obtenir une image du permis de conduire de Jeffrey Katzenberg, le mot de passe de son ordinateur, ainsi qu'à accéder à ses courriels[10]. Par la suite, Tobac et Katzenberg donnent une conférence en ligne au festival South by Southwest avec Hari Ravichandran, fondateur et directeur général d'Aura[11].
Références
- Michael Hill, « Q&A: Rachel Tobac », sur Infosecurity Magazine, (consulté le )
- (en) Phillip L. Wylie et Kim Crawley, The Pentester BluePrint: Starting a Career as an Ethical Hacker, John Wiley & Sons, (ISBN 978-1-119-68430-5, lire en ligne)
- Story by Donie O'Sullivan, CNN Business Video by Samantha Guff, John General, and Richa Naik, « We asked a hacker to try and steal a CNN tech reporter's data. Here's what happened », sur CNN (consulté le )
- (en-US) Taylor Armerding on November 7 et 2018, « Rachel Tobac explains how ‘polite paranoia’ can derail social engineering attacks », sur Security Boulevard, (consulté le )
- (en) Dun & Bradsheet, « Socialproof Security, LLC », sur dnb.com
- « WISP partners with HackerOne for hacking workshop at h1-702 during DEF CON 26 » (consulté le )
- (en) « John Oliver on exploitable voting machines: 'We must fix this' », sur the Guardian, (consulté le )
- (en) « Ethical hackers prove having a Mac doesn't make you immune to cyberattacks », sur AppleInsider (consulté le )
- (en-US) « Analysis | Russia’s becoming more digitally isolated », Washington Post, (ISSN 0190-8286, lire en ligne, consulté le )
- « It Was Easy to Hack a Billionaire » (consulté le )
- (en-US) « SXSW 2022: Here are Monday’s can’t-miss conferences, keynote speakers », sur KXAN Austin, (consulté le )