Un expert de l’intrusion physique s’introduit dans les locaux d’une entreprise, se glisse jusqu’à sa cible – une salle machine – et y dépose un micro-serveur clandestin. A l’autre bout de la ville, un hacker ouvre une connexion 3G, négocie un rebond sur le serveur et se retrouve immédiatement au coeur du réseau de l’entreprise. L’opération a duré quelques minutes.

Si vous aimez les techno-thrillers, la scène est un classique du genre. Il ne s’agit pourtant pas cette fois d’une fiction, mais d’un test d’intrusion « grandeur nature » proposé conjointement par le cabinet HSC et Olivier de Mauduit, fondateur de la société Saitom.

« L’objectif d’une telle prestation est avant tout de marquer les esprits. Car souvent, lorsque nous présentons de bons résultats après un test d’intrusion classique, la Direction commence par prendre peur, puis se détend en apprenant que nous avons travaillé depuis leurs propres locaux, avec un bureau et une prise réseau. Ils estiment que c’est un scénario qui ne pourrait pas se produire réellement. Ce type de test nous permet de prouver le contraire« , explique Yves Le Provost, consultant chez HSC.

Première étape d’une telle opération : l’intrusion physique. Bardés de toutes les autorisations nécessaires, Olivier de Mauduit et son équipe se lancent dans le repérage. Ils étudient attentivement la cible afin de monter un « dossier d’objectif » dans la plus pure tradition du genre. A l’aide de données publiques (dont l’incontournable Google Earth) et de discrètes visites sur place l’équipe étudie l’environnement de l’entreprise et se fait une première idée de son niveau de protection. Elle cherche à déterminer si Olivier pénétrera furtivement (sans être remarqué) ou par ruse (ouvertement, mais en s’inventant une couverture)

Dans le premier cas, il s’intéressera au fonctionnement du gardiennage de l’entreprise. « C’est un métier difficile et mal payé, que les entreprises délèguent souvent. Les vigiles sont parfois livrés à eux-même, quand ils ne sont pas uniquement là pour assurer la sécurité incendie. Mon objectif à ce stade est donc de voir comment fonctionne le site en dehors des horaires d’ouvertures« , poursuit l’expert.

Après un repérage des éventuelles mesures de sécurité électroniques et mécaniques il est alors possible d’échafauder un plan. Par exemple une intrusion de nuit, à l’heure où les vigiles sont le moins éveillés, entre deux rondes et de préférence sous une pluie battante. Une seule limite cependant : pas de casse ! « Je propose bien à l’entreprise de vraiment jouer le jeu et de provisionner un budget pour la casse, afin que je puisse forcer certaines serrures qu’elle imagine robustes. Mais c’est rarement accepté. Je dois donc me contenter de documenter les faiblesses des serrures que je rencontre en chemin et trouver autre chose pour entrer« , explique Olivier de Mauduit.

L’autre approche consiste à entrer par ruse. « J’observe alors comment se déroule l’accueil des visiteurs ou celui des livreurs. Y a-t-il un contrôle d’identité systématique ? L’hôtesse est-elle seule ? Y a-t-il une zone publique avant le contrôle d’accès, que je pourrais exploiter ? Il m’est par exemple arrivé de trouver une prise réseau oublié dans le lobby d’une entreprise !« , se souvient l’expert.

Dans un cas comme dans l’autre, Olivier de Mauduit parviendra à entrer. « Je n’ai jamais échoué, et je n’ai jamais été challengé par la sécurité. Mais il m’est arrivé de ne pas pouvoir aller jusqu’au bout parce qu’il fallait casser et je n’avais pas l’autorisation de l’entreprise« , poursuit-il.