Cybersécurité : la Red Team de F-Secure dévoile ses méthodes dignes d’un James Bond

S’introduire dans les systèmes d’information des entreprises pour tester leur niveau de sécurité, c’est la mission de la Red Team de F-Secure. Et devinez quoi, ils y parviennent toujours !

Le FIC vient de fêter son 10ème anniversaire. Lancé par la Gendarmerie Nationale en 2007, ce salon est la grand-messe de la cybersécurité, où se côtoient des militaires, de grandes entreprises, des startups et des écoles. F-Secure, un des leaders européen de la cybersécurité, a choisi cette année d’y intervenir sur le thème du Red Teaming.

Cette expression vient du vocabulaire militaire : dans l’armée américaine, des exercices de simulation voient s’affronter des red teams, en position d’assaillants, contre des blue teams, qui doivent se défendre. Lorsque l’on transpose à l’informatique, les red teams désignent des équipes de hackers employés par des acteurs de la cybersécurité. Leur job ? attaquer des entreprises clientes pour tester la robustesse de leurs protections.

Tom Van De Wiele, qui intervient au FIC, fait partie de cette équipe de hackers éthiques. Ils utilisent au quotidien des moyens parfois très créatifs, mais « toujours en respectant les lois du pays du client », explique-t-il en préambule. Et leurs attaques ciblées réussissent à tous les coups !

L’année dernière, c’est le grand traqueur de virus Mikko Hyppönen qui était sur scène au FIC : 5 conseils pour se protéger des hackers 

F-Secure FIC 2018 Cybersécurité Red Teaming

Attention à vos poubelles

Mis à part les contraintes juridiques, les hackers F-Secure ont carte blanche pour trouver des failles. « Toutes vos interactions avec l’extérieur sont un moyen pour nous de vous hacker. Si la porte d’entrée est bien gardée, nous utiliserons la porte de derrière….et sachez que nous adorons vos voisins », annonce Tom. La plupart du temps, la Red Team utilise des moyens vraiment basiques pour s’introduire dans les entreprises. D’autres fois, elle emploie des méthodes qui semblent relever du film d’espionnage.

La Red Team commence toujours par une phase intensive de renseignement. Elle collecte le maximum d’informations. Et des données, on en trouve partout. Sur le web, sur les réseaux sociaux, voire même dans les poubelles de l’entreprise si elles ne sont pas bien gardées !

S’introduire dans les locaux d’une entreprise ? facile !

Les collaborateurs de l’entreprise sont souvent la clé d’entrée. Un salarié poste une photo de son écran sur Twitter ? Idéal pour voir quelles applications sont installées. Un autre quitte le bureau avec son badge d’accès autour du cou ? Cela suffit pour en faire une copie, d’autant plus qu’un appareil pour fabriquer un faux badge coûte moins de 10 euros, frais de port inclus !

Tom Van De Wiele a lancé une petite opération de sensibilisation avec le hashtag #protectyouraccesscard. Il prend en photo les badges des imprudents qui croisent son chemin et les poste sur Twitter pour montrer à quel point c’est facile de s’approcher suffisamment près pour les cloner.

Une fois introduit dans l’entreprise, la personne malveillante n’a plus qu’à se promener avec assurance. Si en plus elle marche avec une banane et des papiers dans les mains, elle passera totalement incognito. Si elle n’a pas de badge, il lui suffira d’en subtiliser un sur un bureau, pour ensuite aller le copier là où personne ne la suivra : les toilettes.

Voler les mots de passe : un jeu d’enfant ?

La gestion des accès est souvent défaillante dans les entreprises. Lorsqu’un employé change de poste ou quitte la société, il faut modifier ou révoquer au plus vite ses accès. « Il est très facile de copier toute la base clients et partir avec », rappelle Tom Van De Wiele. Ces données ont une grande valeur marchande et l’argent est ce qui motive les hackers la plupart du temps.

Le bon vieux phishing fait toujours le bonheur des hackers. Une fausse pop-up vous propose de vous connecter au wifi. Si vous tombez dans le panneau, le hacker peut s’introduire dans votre ordinateur « et même y injecter des choses ». C’est également le moyen de recueillir vos précieux mots de passe, comme en témoigne le visuel ci-dessous. Inutile de jouer au jeu des 7 erreurs, la copie est identique à l’original. Et « Si une seule personne donne son mot de passe, je peux compromettre toute la société », prévient l’expert de F-Secure.

Méfiez-vous des logiciels

Les entreprises achètent des logiciels de protection, parfois très chers, qu’elles voudraient clé en main. Une espèce de boîte magique qui solutionnerait tous leurs problèmes de sécurité. Sauf que ça n’est jamais aussi simple. « Software sucks ! », plaisante Tom. Un logiciel contient toujours des failles et des bugs, pas toujours corrigés avec la plus grande des réactivités, surtout quand le logiciel est composé d’un assemblage de technologies diverses.

Comment se protéger ? L’intervention de F-Secure au FIC n’avait pas pour objectif de désespérer les responsables de la sécurité des entreprises (déjà bien conscients de la difficulté de leur job), mais plutôt de leur démontrer l’intérêt du Red Teaming. Se mettre dans la peau d’un hacker pour tester ses défenses est le meilleur moyen d’apprendre à mieux se protéger.

 

☆ F-Secure fait partie de nos partenaires « Entreprises Premium ». Cet article a été écrit avec la participation des équipes de F-Secure dans le cadre de ce partenariat. En savoir plus sur notre programme Premium.


3 commentaires

  1. « un appareil pour fabriquer un faux badge coûte moins de 10 euros, frais de port inclus » ????
    Mais cela se trouve-t-il ? Personnellement je cherche une imprimante à badge pou rmon métier d’animateur : je ne trouve pas ce prix là !
    Pourriez vous partager votre source ?
    merci

Répondre