Connect with us

Internet

5 méthodes « low tech » un peu étranges pour pénétrer les entreprises

Le piratage informatique n’est pas exclusivement constitué d’intrusions via internet. Certains utilisent des méthodes que vous n’imaginez même pas, parfois plus proches de James Bond que des petits génies du hacking.

Il y a

le

Hackers F-Secure Red Team

Le vaste terrain de jeu du piratage informatique n’est pas réservé à quelques script-kiddies et autres no-life qui séviraient de leur chambre d’adolescent entre deux sessions sur le Dark Web. On sait depuis longtemps que c’est une affaire sérieuse, et même un véritable business qui peut rapporter des millions de dollars à ses meilleurs acteurs. D’ailleurs, la majeure partie des attaques informatiques concerne avant tout les entreprises.

Et là, il ne s’agit pas forcément de détourner de l’argent directement – même si la finalité est dans 99% des cas l’argent, d’une façon ou d’une autre – mais de trouver des moyens de faire du profit au détriment d’un concurrent, par exemple. Ainsi, quand il s’agit d’intrusion frauduleuse dans un système informatique, les premiers dispositifs ciblés sont généralement les bases de données clients ou employés, mais également la propriété intellectuelle (voler le code-source d’un logiciel en développement peut rapporter gros), accéder au cloud d’un concurrent, voire à la salle de réunion du Board…

Dans ce domaine, internet n’est pas le seul vecteur d’intrusion. Il s’agit aussi pour les hackers d’utiliser à leur profit les failles de sécurité physiques, les process de l’entreprise cible, et de pratiquer une forme d’ingénierie sociale – parfois low-tech – qui va leur permettre de mettre la main par tous les moyens possibles sur les données convoitées.

« il est possible de pénétrer une entreprise en utilisant des trucs vraiment stupides »

Comme l’indique Tom Van de Wiele, Principal Security Consultant de la société F-Secure, spécialisée dans la sécurité informatique, « il est possible de pénétrer une entreprise en utilisant des trucs vraiment stupides », et l’addition de méthodes high-tech et low-tech serait une formule gagnante dans tous les cas. Pour lui, Il n’y a aucun moyen d’empêcher une attaque ciblée, la seule chose que l’on peut faire étant d’augmenter le coût de l’attaque afin que l’agresseur aille plutôt chez le voisin, selon un précepte aussi imagé que pertinent : « pas besoin de courir plus vite que l’ours, il suffit de courir plus vite que les voisins ».

Mais quelles sont donc ces méthodes qui peuvent échapper aux radars des experts en sécurité informatique un peu trop focalisés sur les attaques via internet ? Voici cinq moyens utilisés par les malfrats pour pénétrer les réseaux des entreprises.

1. Les clés USB laissées au hasard dans le local à vélo

Sous réserve de pouvoir y pénétrer (ce qui n’est pas toujours très difficile), la méthode consiste à laisser trainer une ou deux clés USB dans le local à vélos de l’entreprise ciblée, si possible accrochées à un cordon de cou au nom de la boite, en attendant qu’une bonne âme, pensant qu’elle a été égarée ou oubliée, en ramasse une et la connecte à son PC. Sur cette clé, un fichier Excel suscitant la curiosité, de type « salaires.xls ». Avec un peu de chance, l’employé modèle va cliquer sur le fichier. Là un message apparait : « Pour accéder à ces données, veuillez activer les macros ». Le gars clique. Boum, la macro introduit un malware qui va se répandre dans le réseau de l’entreprise pour par exemple récupérer des donnés confidentielles.

> Lire aussi :  Piratage : Facebook risque une amende de 1,60 milliard de dollars

2. Les cartes d’accès photographiées et reproduites

C’est l’un des hobbies préférés de Tom Van de Wiele : photographier discrètement (et en les anonymisant, bien sûr) les cartes d’accès que portent les collaborateurs des entreprises sur eux. Il en a même fait un hashtag Twitter afin de sensibiliser à cette problématique de sécurité. Pourquoi ? Aussi simpliste que cela puisse paraitre, il n’y a rien de plus facile que de reproduire une carte d’accès, pour peu qu’on ait pu la scanner avant, avec l’appareil-photo d’un bon smartphone. Il suffit pour cela de se procurer une petite machine « construction badge maker » en vente légale pour moins de 5 euros sur internet, et hop, la carte devient la vôtre, avec tous les accès qu’elle permet.

3. Le détecteur de chaleur

Une méthode qui fait très Mission : Impossible mais qui parait-il est très prisée des pirates en tous genres, et pas seulement ceux qui en veulent à votre code de carte de crédit. Il existe des capteurs de zones de chaleur qui permettent par exemple de voir à distance quelles touches ont été utilisées le plus récemment sur un digicode. La société FLIR Systems commercialise ce type de capteur pour moins de 250 euros, qui se connectent à un iPhone ou smartphone Android. Selon notre ami de F-Secure, les malfrats connaissent très bien ce genre d’appareil. Et savent s’en servir.

4. Le papier-toilette pour reproduire une empreinte digitale

Aussi étonnant que cela puisse paraitre, cette ruse semble très bien fonctionner, puisque nous en avons eu une démonstration sans trucage pendant la conférence. D’après Tom Van de Wiele, il suffit de mouiller délicatement une feuille de papier-toilette puis de la plaquer sur un capteur d’empreinte digitale pour « aspirer » cette dernière et la reproduire sur le capteur. Comme il le précise dans sa démonstration, le capteur d’empreintes sert à identifier, et non pas à authentifier, et votre empreinte n’est pas votre mot de passe. De quoi franchir quelques portes…

> Lire aussi :  Mise à jour : pas de faille de sécurité pour les lecteurs multimédia VLC et MPlayer

5. Le cadeau empoisonné

C’est mon préféré, et je l’ai donc gardé pour la fin. Je ne sais pas si ce truc a été souvent utilisé, si c’est un cas isolé ou s’il sort intégralement de l’imagination des hackers éthiques de la Red Team F-Secure, mais il est simplement incroyable. L’idée : introduire un espion invisible sur le bureau d’une personne ou d’un groupe de personnes ciblées. Pour cela il faut un peu de préparation. Tout d’abord, savoir à qui l’on s’adresse, et connaitre ses dates de congés. Une fois la personne en vacances, lui envoyer un petit colis qui aura de fortes chances de se retrouver sur son bureau tout le temps de son absence. Dans le colis, un smartphone muet mais connecté au réseau cellulaire, dans lequel on a activé (par un hack ou une app) le micro. Vous voyez le truc ? L’engin écoute toutes les conversations alentour, dont les plus confidentielles, évidemment, et le hacker les reçoit en direct via n’importe-quelle app de chat vocal. Et peut les enregistrer, bien sûr. Petit détail bien vicieux : grâce au capteur de luminosité, quand le colis est ouvert, un script désactive et désinstalle tout le bazar. Ni vu ni connu. Mais (bien) entendu…

Alors ce cher Tom Van de Wiele a-t-il lu trop de romans d’espionnage ? Apparemment pas, ces méthodes seraient réellement utilisées, car la guerre commerciale ne connait ni limites ni répit.

Bien sûr, nous parlons de piratage, d’intrusion, d’espionnage et de vol de données, et il est par conséquent évident que tout cela est totalement illégal et sévèrement réprimé par la loi. Il n’est pas question non plus avec cet article de donner des idées aux hackers en herbe, d’autant que le contenu de cette keynote est disponible publiquement sur YouTube (dans une version légèrement différente de celle à laquelle j’ai assisté à Londres). Rassurez-vous, les malfrats ne nous ont pas attendus pour mettre leurs plans en application. Il est juste utile de rappeler toutes les failles potentielles pouvant faciliter les attaques et intrusions en tous genres. Même les plus impensables.

4 Commentaires

4 Commentaires

  1. Duncan Idaho

    31 juillet 2018 at 15 h 31 min

    Pas mal, la dernière.

    Ma préférée est autre : une entreprise de sécurité a envoyé une souris modifiée, en la faisant passer pour un cadeau de Logitech (ou autre);

    Le mec l’a branchée, et forcement, la souris a hacké tout le réseau x)

  2. Fahd M

    1 août 2018 at 0 h 40 min

    Excellent !

    Un autre risque tres important est lié aubfait que les entrzprises font très souvent appel à des sociétés de services pour assurer le gardiennage et le nettoyage (femme de menage, vitrier, agent de securité,…).

    Les salariés de ces dernières sont connues pour :
    1- recevoir des salaires misérables dans des conditions pas très justes
    2- sont présents dans les bureaux dans les heures de nuit

    ceci laisse une porte grande ouverte à des demandes du genre :

    Je te donne 5000 euros pour me brancher tel ou tel equipement espion dans tel ou tel bureau….

    • Jamal

      1 août 2018 at 12 h 45 min

      Yes,y a pas que les astuces techniques…

  3. KM

    1 août 2018 at 0 h 58 min

    Intéressant,merci

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Dernières news

Les bons plans

Les tests