Comment hacker votre entreprise – avant que quelqu’un d’autre ne s’en charge !

« C’est connu, les humains ne sont pas très bons quand il s’agit d’évaluer les risques » affirme Tom Van de Wiele, Principal Security Consultant chez F-Secure.

Et il peut le prouver.

« Nous avons un taux de succès de 100% »

Depuis 2004, Tom fait partie d’une Red Team (littéralement, « équipe rouge ») : avec ses collègues – généralement par équipe de 3 – ils se donnent pour mission d’infiltrer les infrastructures et réseaux de leurs clients. « On se lance avec, comme base, le nom de leur société, leur logo et leur adresse, c’est tout. »

Parfois, certaines entreprises mettent les Red Team à l’épreuve : elles leur demandent de pirater un distributeur automatique ou encore prendre un selfie dans le bureau du PDG.

Peu importe, le résultat est toujours le même : Tom et son équipe viennent à bout de la mission.

A chaque fois.

Cette vidéo (sous titrée en français!) vous donnera un aperçu de ce que Tom et ses collègues sont capables de faire :

Digne d’un film d’action, n’est-ce pas ? En réalité, et ça facilite le travail de Tom, les choses sont souvent loin d’être aussi palpitantes. Une seule erreur suffit à créer une brèche de sécurité.

« Les gens cherchent à se protéger contre des hackers malintentionnés, mais ils vont oublier leur téléphone ou leur ordinateur portable dans un bus ou un taxi. »

Et lorsqu’on sait qu’un pirate déterminé trouvera toujours une faille, la plupart des entreprises prennent les choses à l’envers.

« Pendant 20 ans, la base de la sécurité informatique a été de mettre en place des barrières : installer un pare-feu, mettre en place un système de sécurité au niveau des postes de travail, etc. Et bien sûr, vous avez besoin de tout ça, mais ça ne suffit plus, xplique Tom. La sécurité informatique ne doit pas juste être un mur, ça doit être un champ de mines. »

Les Red Teams, tout comme les pirates, n’ont aucune limite. Ils attaquent par tous les moyens possibles. Vous seriez surpris de ce qu’ils arrivent à faire avec un gilet de sécurité, une échelle et une bombe aérosol.

Vous vous demandez pourquoi se confronter ainsi à des red teams ? Tout simplement pour repérer vos propres failles avant que des individus mal intentionnés ne les exploitent. Pour une entreprise, un piratage de données représente en moyenne une perte de 4 millions de dollars. Autant dire que Tom et ses collègues peuvent vous éviter bien des soucis.

Pas encore convaincu ?

Tom propose cette liste de questions pour vous aider à savoir si vous êtes la cible d’une red team (ou de hackers) :

• Quelqu’un que vous ne connaissez pas vous a-t-il récemment emprunté votre badge ?
• Avez-vous vu une personne que vous ne connaissez pas utiliser le poste de travail d’un de vos collègues ?
• Avez-vous remarqué des personnes sans badge déambuler seules dans les locaux ? Agents d’entretien ? Consultants ?
• Quelqu’un se serait-il faufilé derrière vous pour entrer dans le bâtiment ? Avez-vous vu des gens entrer sans passer par la réception et sans être accompagné par un employé ?
• Vous a-t-on récemment demandé par téléphone des informations sur votre ordinateur, ou demandé d’exécuter certaines actions ? Attention aux appels téléphoniques vous demandant des informations techniques ou personnelles sur votre poste de travail : il peut s’agir de phishing.

Si votre entreprise vous semble vulnérable aux cyber-attaques, vous pouvez jouer vous-même le rôle d’une red team.

Jetez un œil au questionnaire ci-dessous : une seule mauvaise réponse et vous pouvez être sûr que Tom et ses collègues n’auraient aucune difficulté à vous pirater.

• Tous les ordinateurs sont-ils verrouillés dès qu’il n’y a personne dessus ?
• Votre ordinateur semble-t-il connecté à un Wi-Fi d’aéroport, par exemple, alors que vous n’êtes plus à l’aéroport ?
• Vous connectez-vous à certains services internes tels qu’un webmail ou un service de maintenance informatique avec un simple nom d’utilisateur et un mot de passe ? Cela fait de vous et de vos collègues des cibles faciles pour du phishing.
  
• Vous connectez-vous, depuis l’extérieur, à certains services internes, via des pages qui ne sont pas en https:// ?
• Y a-t-il quoi que ce soit de branché entre votre clavier et votre ordinateur ? Il pourrait s’agir d’un enregistreur de frappe ou de matériel espion.
• Vous avez trouvé une clé USB (sur le parking ou dans le garage à vélo de l’entreprise, par exemple attachée à un trousseau de clé, ou tout simplement à proximité du bâtiment) ? Confiez-la à votre service de sécurité informatique pour que personne d’autre ne puisse lire les documents qu’elle contient.
• Avez-vous repéré des appareils inhabituels branchés sur le réseau de l’entreprise ?
• Est-ce qu’il arrive que des documents sensibles restent un certain temps à côté de l’imprimante ?
• Utilisez-vous systématiquement une déchiqueteuse pour détruire les documents papiers ?
• Les prises d’accès au réseau non-utilisées sont-elles mises hors service ?
• Examinez les ordinateurs, serveurs, baies informatiques et NAS : Certains panneaux sont-ils mal fermés, mal vissés ? Peut-être ont-ils été ouverts et donc éventuellement compromis.
• Y a-t-il des clés USB, des disques durs, des CD-ROMs ou d’autres types de stockages informatiques laissés négligemment sur les bureaux ? Ils devraient être sous clé.
• Les disques durs sont-ils tous intégralement chiffrés ? … Ce n’est pas le cas ? Dans ce cas, il ne faudra pas plus de 5 minutes à une red team pour installer une backdoor (ou porte dérobée).
• Les documents sensibles sont-ils rangés dans des meubles standards ? Une red team n’hésitera pas à aller chez Ikea pour se procurer les clés de votre armoire. Et même sans les clés, elle n’aura pas de mal à crocheter les serrures.

Cette liste est bien sûr loin d’être exhaustive, mais si vous avez répondu comme il faut à chaque question, félicitations, vous faites mieux que la plupart des entreprises !

Vous voulez en savoir plus sur ce qu’une red team peut faire ? Contactez un expert F-Secure 🙂