Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

L’intrusion physique au service des tests d’intrusion

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Commentaires Commentaires fermés sur L’intrusion physique au service des tests d’intrusion

Une fois à l’intérieur, son rôle est d’assister l’équipe de consultants HSC à casser le réseau, sur place ou à distance. S’il opère seul, Olivier est équipé d’un micro-serveur clandestin préparé par l’équipe de HSC. « C’est un serveur de la taille d’un gros paquet de cigarettes, qui fonctionne sur secteur ou sur batteries, avec alors une autonomie maximale de six heures. Il dispose d’une connexion 3G et peut faire office de Point d’Accès WiFi avec une portée suffisante pour être exploitable depuis le parking de l’entreprise si nécessaire« , révèle Yves Le Provost. A l’intérieur du boîtier, une distribution Linux customisée et surtout une série de scripts destinés à tout automatiser une fois le serveur connecté à une prise réseau (souvent derrière un photocopieur, notamment…). « Il faut aller très vite, alors tout est automatique. Le serveur fait du repérage pour récupérer une adresse IP, se connecte automatiquement et écoute le réseau« , poursuit le consultant.

Il est alors possible de s’y connecter depuis les locaux de HSC grâce à la clé 3G, ou bien via WiFi depuis l’extérieur de l’entreprise. « Même s’il fonctionne sur ses batteries parce qu’il n’a pas été possible de le brancher à une prise, le serveur nous offre jusqu’à six heures pour travailler, et c’est largement suffisant. Il nous faut généralement une heure pour prendre le contrôle du domaine Windows d’une entreprise dont c’est le premier test d’intrusion« , révèle Yves Le Provost. A partir de là, les équipes de HSC installent autant de portes dérobées permanentes que nécessaires, et le serveur devient inutile.

S’il n’est pas venu seul, Olivier de Mauduit a aidé un consultant HSC à entrer avec lui. Ce dernier peut alors s’installer avec son laptop, par exemple dans une salle de réunion, et travailler comme s’il s’agissait d’un test d’intrusion traditionnel… le plus souvent sans être dérangé !

Entre un Olivier de Mauduit qui n’a jamais échoué à pénétrer sur site et des consultants HSC qui disent n’avoir besoin que d’une heure pour s’emparer du domaine Windows d’une entreprise, il semblerait que toute résistance soit futile. Pourtant, les deux experts tempèrent ces succès en offrant quelques pistes de protection :

Accès physique

  • Soigner l’image de sûreté de l’entreprise : pas de grillage écrasé, pas de réparations approximatives.
  • Utiliser de la vidéo-surveillance, même factice. C’est un excellent outil dissuasif.
  • Avoir du personnel de surveillance dédié à l’entreprise, le former, le tester et le sensibiliser régulièrement.
  • Auditer régulièrement les protections physiques (mécaniques et électroniques)
  • Pas de délivrance de badge visiteur sans un appel à la personne concernée par la visite
  • Badges visiteurs inertes (nécessité de passer par l’accès visiteurs avec ouverture à distance par le vigile) et dans l’idéal munis d’une photographie d’identité du visiteur (impression sur demande à l’accueil).
  • Si un visiteur n’a pas de pièce d’identité, la personne visitée doit accepter par écrit la responsabilité de cette exception à la règle.

Accès logique

Seule la maturité de l’entreprise en terme de sécurité IT fera la différence. « A l’issue de son tout premier test d’intrusion l’entreprise peut vite être découragée par l’ampleur de la tâche. Mais on se rend compte qu’au fil des tests, si l’entreprise applique correctement les mesures de rémediation, cela nous prend progressivement plus de temps, et parfois nous ne pouvons tout simplement plus prendre le contrôle du domaine !« , explique Yves Le Provost.

Et de tels conseils ne sont pas à prendre à la légère : Olivier de Mauduit reconnaît avoir été à plusieurs reprises confronté lors de ses prestations aux traces du passage d’opérateurs concurrents aux intentions plus offensives que les siennes.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.