La Cyber n’est pas qu’une histoire de sécurité logique. Il est parfois plus simple d’initier une attaque par une intrusion physique, pour se doter des accès qui vont permettre de réaliser l’intrusion logique souhaitée. Pour y faire face, il faut se doter d’une vision globale de sa chaîne de défense.
C’est là que les campagnes Red Team entrent en jeu. Dans l’arsenal de l’audit, le Red Team est une campagne d’intrusion qui se veut la plus réaliste possible, inspirée de scénarios déjà menés par des groupes criminels et ciblée sur les éléments les plus critiques de l’organisation. Ce programme combine attaques physiques et logiques et intègre une composant d’ingénierie sociale. Il donne un regard critique sur les résultats de l’analyse de risque, notamment pour challenger la probabilité d’occurrence. Et permet directement d’adapter les défenses et notamment le plan du surveillance du SOC. Une telle campagne est précieuse aussi bien pour la cybersécurité que pour la sureté et la sécurité physique. Retour sur quelques expérience menés par la Red Team Advens.
Comment mettre en place une campagne de Red Team ?
Bien que la démarche profite à toute l’entreprise, et en particulier aussi bien aux équipes Cyber qu’aux équipes Sureté, l’un des facteurs clé de succès est la discrétion ! Très souvent la demande d’une telle mission trouve son origine dans les équipes Cyber.
Les équipes Sureté font alors partie des audités. Ils ne sont donc pas prévenus en amont. Seuls les commanditaires et potentiellement le responsable juridique de l’entreprise, sont au courant. C’est primordial pour rester le plus réaliste possible. Cela se formalise par une lettre de la mission et une liste des responsables à appeler en cas de détection.
Le plus important est la définition du périmètre, des méthodes d’attaque autorisées et surtout du challenge (à relier aux risques majeurs et à définir de façon très concrète). La mission se définit souvent par un challenge à réaliser en une certaine période de temps / un certain nombre de jours.
Intrusion dans les bureaux du client
Un classique pour démarrer : l’auditeur a pour objectif de pénétrer dans les bureaux de l’organisation ciblée pour ensuite enchainer par un test d’intrusion sur le wifi ou sur le réseau filaire local. Bien souvent, l’ingénierie sociale est suffisante pour arriver à ses fins. Arriver le midi avec un sachet de la boulangerie d’en face est bien utile pour qu’on vous tienne la porte ! Idem avec une tenue de travail ou de livreur et une bonbonne d’eau dans les bras. La gentillesse des uns va permettre aux autres de rentrer facilement dans un bureau.
Avec un peu plus de matériel (disponible sur des sites Internet tout à fait respectables) il est aisé d’aller encore plus loin : « En créant un faux badge j’ai pu me faire passer pour un technicien du bâtiment. J’ai pu entrer dans les bureaux, brancher mon PC et mener des attaques. J’ai ensuite pu retourner dans les locaux et poursuivre mes attaques plusieurs jours durant, en créant une fausse lettre de mission signée en reprenant une signature de directeur trouvée sur Internet. »
A retenir
Attention à ne pas publier, sur les réseaux sociaux ou autres canaux de communication, de documents avec des signatures de dirigeants ou des photos de collaborateurs avec le badge autour du cou…
Intrusion en entrepôt
On parle souvent de sécurité de la supply-chain… logicielle. Dans certains secteurs, la supply-chain est également physique. Et l’atteinte à un entrepôt peut être fatale pour l’entreprise ciblée. Et lors des red teams, en plus de mêler sécurité physique et logique, on croise de plus en plus la Cyber IT et la Cyber OT compte-tenu des dispositifs connectés en entrepôt.
Pour un grand nom de la distribution, lors du challenge de la sécurité d’un entrepôt, il a été possible de prendre la main sur le système d’administration des installations frigorifiques afin de contrôler notamment la température à distance. Avec les possibilités de dégâts que l’on imagine.
« Le jour de l’intrusion, je me suis infiltré dans un groupe d’intérimaires visitant le site. J’ai ainsi détecté les différentes machines à cibler. Par la suite, en me faisant passer pour un technicien informatique j’ai pu accéder à la machine de gestion de la température de l’entrepôt frigorifique. En y connectant une carte réseau supplémentaire, et à l’aide d’un pont 4G, j’ai pu sortir en prendre le contrôle depuis mon serveur de contrôle à l’extérieur. »
A retenir
Les sites accueillant des populations qui changent régulièrement doivent faire l’objet de sensibilisation et de procédures de contrôle renforcés. Si de tels sites hébergent des systèmes ou des automates critiques, l’accès physique aux PC utilisés pour les administrer doit être particulièrement renforcé.
Intrusion en datacenter
Comment accéder au saint des saints ? C’est souvent le site qui fait l’objet des plus grandes attentions en matière de sécurité physique. Mais pour un auditeur motivé, et plutôt sportif, tout est envisageable. Pour un spécialiste de l’hébergement B2B, en se faisant passer pour un client souhaitant accéder à sa baie privée, « j’ai profité d’être seul pour déplacer les dalles du faux plancher et ramper hors de l’espace qui m’était attribué dans le data-enter. » Il a été ainsi possible d’accéder aux baies d’autres clients, et donc directement à leurs serveurs.
Et pour l’anecdote, en sortant du bâtiment principal, et moyennant une brève séance d’escalade sur une palissade descellée, il a été possible d’accéder au local technique (non-verrouillée) de redondance électrique. Power down. Game over…
A retenir
Lorsque l’on doit accompagner un visiteur, on l’accompagne de A à Z…
Dans la boite à outils du Red Teamer
Des gadgets dernier cri qui rendraient 007 et Q jaloux ? Pas spécialement ! Au risque de décevoir, une fois de plus, le bon sens et les basiques sont de mise. Un Proxmark pour cloner des badges laissés sans surveillance (ou un Flipper Zero si les badges sont d’un très faible niveau de sécurité), un câble réseau, un routeur wifi, une imprimante pour badges… Mais aussi quelques outils comme un jeu de tournevis, et à l’occasion un kit de crochetage.
Evidemment on vous rappelle que toute tentative d’intrusion dans un cadre non officiellement défini est passible de sanction ! 😉
En conclusion
Ces quelques retours d‘expérience ne font que souligner la nécessite d’une sécurité globale. La sécurité physique et la sécurité logique doivent se compléter, tout comme la sécurité IT et la sécurité OT. Avant de mener à bien une campagne Red Team ou une analyse de risques, il est parfois précieux de se poser la question suivante : et s’il existait une façon simple d’accéder physiquement aux PC les plus critiques dans mon organisation ?
