Sécurité  de l’information : l’intrusion physique au service des tests d’intrusion

Un expert de l’intrusion physique s’introduit dans les locaux d’une entreprise, se glisse jusqu’à sa cible – une salle machine – et y dépose un micro-serveur clandestin. A l’autre bout de la ville, un hacker ouvre une connexion 3G, négocie un rebond sur le serveur et se retrouve immédiatement au cœur du réseau de l’entreprise. L’opération a duré quelques minutes. Olivier de Mauduit, détective privé, fondateur de la société Saitom raconte son expérience…

Article rédigé par Jerome Saiz du magazine en ligne Qualys, communauté dédiée aux professionnels de la sécurité de l’information

Si vous aimez les techno-thrillers, la scène est un classique du genre. Il ne s’agit pourtant pas cette fois d’une fiction, mais d’un test d’intrusion « grandeur nature » proposé conjointement par le cabinet HSC et Olivier de Mauduit, fondateur de la société Saitom.

« L’objectif d’une telle prestation est avant tout de marquer les esprits. Car souvent, lorsque nous présentons de bons résultats après un test d’intrusion classique, la Direction commence par prendre peur, puis se détend en apprenant que nous avons travaillé depuis leurs propres locaux, avec un bureau et une prise réseau. Ils estiment que c’est un scénario qui ne pourrait pas se produire réellement. Ce type de test nous permet de prouver le contraire » , explique Yves Le Provost, consultant chez HSC.

Première étape d’une telle opération : l’intrusion physique. Bardés de toutes les autorisations nécessaires, Olivier de Mauduit et son équipe se lancent dans le repérage. Ils étudient attentivement la cible afin de monter un « dossier d’objectif » dans la plus pure tradition du genre. A l’aide de données publiques (dont l’incontournable Google Earth) et de discrètes visites sur place l’équipe étudie l’environnement de l’entreprise et se fait une première idée de son niveau de protection. Elle cherche à déterminer si Olivier pénétrera furtivement (sans être remarqué) ou par ruse (ouvertement, mais en s’inventant une couverture)

Dans le premier cas, il s’intéressera au fonctionnement du gardiennage de l’entreprise. « C’est un métier difficile et mal payé, que les entreprises délèguent souvent. Les vigiles sont parfois livrés à eux-même, quand ils ne sont pas uniquement là pour assurer la sécurité incendie. Mon objectif à ce stade est donc de voir comment fonctionne le site en dehors des horaires d’ouvertures« , poursuit l’expert.

Après un repérage des éventuelles mesures de sécurité électroniques et mécaniques il est alors possible d’échafauder un plan. Par exemple une intrusion de nuit, à l’heure où les vigiles sont le moins éveillés, entre deux rondes et de préférence sous une pluie battante. Une seule limite cependant : pas de casse ! « Je propose bien à l’entreprise de vraiment jouer le jeu et de provisionner un budget pour la casse, afin que je puisse forcer certaines serrures qu’elle imagine robustes. Mais c’est rarement accepté. Je dois donc me contenter de documenter les faiblesses des serrures que je rencontre en chemin et trouver autre chose pour entrer » , explique Olivier de Mauduit.

L’autre approche consiste à entrer par ruse. « J’observe alors comment se déroule l’accueil des visiteurs ou celui des livreurs. Y a-t-il un contrôle d’identité systématique ? L’hôtesse est-elle seule ? Y a-t-il une zone publique avant le contrôle d’accès, que je pourrais exploiter ? Il m’est par exemple arrivé de trouver une prise réseau oublié dans le lobby d’une entreprise ! » , se souvient l’expert.

Dans un cas comme dans l’autre, Olivier de Mauduit parviendra à entrer. « Je n’ai jamais échoué, et je n’ai jamais été challengé par la sécurité. Mais il m’est arrivé de ne pas pouvoir aller jusqu’au bout parce qu’il fallait casser et je n’avais pas l’autorisation de l’entreprise » , poursuit-il.

Une fois à l’intérieur, son rôle est d’assister l’équipe de consultants HSC à casser le réseau, sur place ou à distance. S’il opère seul, Olivier est équipé d’un micro-serveur clandestin préparé par l’équipe de HSC. « C’est un serveur de la taille d’un gros paquet de cigarettes, qui fonctionne sur secteur ou sur batteries, avec alors une autonomie maximale de six heures. Il dispose d’une connexion 3G et peut faire office de Point d’Accès WiFi avec une portée suffisante pour être exploitable depuis le parking de l’entreprise si nécessaire« , révèle Yves Le Provost. A l’intérieur du boîtier, une distribution Linux customisée et surtout une série de scripts destinés à tout automatiser une fois le serveur connecté à une prise réseau (souvent derrière un photocopieur, notamment…). « Il faut aller très vite, alors tout est automatique. Le serveur fait du repérage pour récupérer une adresse IP, se connecte automatiquement et écoute le réseau » , poursuit le consultant.

Il est alors possible de s’y connecter depuis les locaux de HSC grâce à la clé 3G, ou bien via WiFi depuis l’extérieur de l’entreprise. « Même s’il fonctionne sur ses batteries parce qu’il n’a pas été possible de le brancher à une prise, le serveur nous offre jusqu’à six heures pour travailler, et c’est largement suffisant. Il nous faut généralement une heure pour prendre le contrôle du domaine Windows d’une entreprise dont c’est le premier test d’intrusion », révèle Yves Le Provost. A partir de là, les équipes de HSC installent autant de portes dérobées permanentes que nécessaires, et le serveur devient inutile.

S’il n’est pas venu seul, Olivier de Mauduit a aidé un consultant HSC à entrer avec lui. Ce dernier peut alors s’installer avec son laptop, par exemple dans une salle de réunion, et travailler comme s’il s’agissait d’un test d’intrusion traditionnel… le plus souvent sans être dérangé !

Entre un Olivier de Mauduit qui n’a jamais échoué à pénétrer sur site et des consultants HSC qui disent n’avoir besoin que d’une heure pour s’emparer du domaine Windows d’une entreprise, il semblerait que toute résistance soit futile. Pourtant, les deux experts tempèrent ces succès en offrant quelques pistes de protection :

Accès physique
- Soigner l’image de sûreté de l’entreprise : pas de grillage écrasé, pas de réparations approximatives.
- Utiliser de la vidéo-surveillance, même factice. C’est un excellent outil dissuasif.
- Avoir du personnel de surveillance dédié à l’entreprise, le former, le tester et le sensibiliser régulièrement.
- Auditer régulièrement les protections physiques (mécaniques et électroniques).
- Pas de délivrance de badge visiteur sans un appel à la personne concernée par la visite.
- Badges visiteurs inertes (nécessité de passer par l’accès visiteurs avec ouverture à distance par le vigile) et dans l’idéal munis d’une photographie d’identité du visiteur (impression sur demande à l’accueil).
- Si un visiteur n’a pas de pièce d’identité, la personne visitée doit accepter par écrit la responsabilité de cette exception à la règle.

Accès logique
Seule la maturité de l’entreprise en terme de sécurité IT fera la différence. « A l’issue de son tout premier test d’intrusion l’entreprise peut vite être découragée par l’ampleur de la tâche. Mais on se rend compte qu’au fil des tests, si l’entreprise applique correctement les mesures de remédiation, cela nous prend progressivement plus de temps, et parfois nous ne pouvons tout simplement plus prendre le contrôle du domaine ! » , explique Yves Le Provost.

Et de tels conseils ne sont pas à prendre à la légère : Olivier de Mauduit reconnaît avoir été à plusieurs reprises confronté lors de ses prestations aux traces du passage d’opérateurs concurrents aux intentions plus offensives que les siennes.

Lien direct vers l’article, ici

Photo : Fotolia.com

Pour réaliser des tests d'intrusion dans votre entreprise :

78000 - SAITOM MP CONSEILS http://www.detective-prive-paris-idf.com