Le FIC 2018 était l’occasion pour les visiteurs de découvrir notre spécialiste Tom Van de Wiele et le Red Teaming chez F-Secure. Et juste avant celà, Tom a décidé d’organiser sa toute première session Reddit « Posez-moi toutes vos questions » (Ask Me Anything).
La discussion, baptisée Je suis un hacker éthique engagé pour voler les secrets des entreprises – Posez-moi toutes vos questions !” a été diffusée sur la page Reddit “Posez-moi toutes vos questions” et affichée sur la page d’accueil du site durant presque tout le week-end. Plus 3 000 questions lui ont été posées : avait-t-il déjà eu des démêlés avec la justice ? Comment avait-t-il atterri dans ce secteur qu’est le Red Teaming ? Quelle était la situation la plus étrange à laquelle il ait jamais été confronté, lors de ces incursions rémunérées dans les systèmes informatiques des entreprises ?
Toutes les réponses méritent d’être lues, mais sa réponse à la question « À quoi ressemble votre kit de piratage ? » a captivé de nombreux hackers en herbe, et même de certains de ses collègues chez F-Secure.
Tom a tenu à bien souligner que, même si ce kit d’outils est essentiel, il ne remplace pas le savoir-faire dont doit disposer un hacker éthique.
« Je peux regarder une émission de cuisine à la télévision, demander quel genre de couteau le chef utilise et me le procurer. Pour autant, ce couteau ne pourra jamais remplacer les années d’expérience nécessaires”, explique-t-il. “Ce kit est composé d’outils de travail. L’essentiel est d’acquérir des compétences en ingénierie sociale, et de bien comprendre le fonctionnement d’une entreprise. Le hacker éthique a besoin de compétences lui permettant de tirer profit des process relatifs aux responsabilités partagées d’une organisation. »
Il ne s’agit pas non plus d’un kit « clé-en-main ».
« Tous ces accessoires doivent être configurés de manière à répondre aux exigences spécifiques de chaque simulation. Ils doivent permettre ainsi de réaliser un large éventail d’attaques : certaines anciennes, d’autres plus récentes, voire particulièrement redoutables. De cette manière, les tests sont plus rentables et nous maximisons les chances de succès de l’opération de piratage. Les outils et le matériel d’attaque standards, non-personnalisés, sont souvent détectés immédiatement. Ils ne permettent ni une attaque efficace, ni l’enregistrement précis des actions de la Red team. Les pirates n’ont pas besoin de tenir de journal mais cela s’avère nécessaire dans le cadre de notre travail de Red Teaming : avec ce journal, le client peut comprendre les évènements qui se sont produits et parfaire sa stratégie de gestion des cyber incidents. Il est essentiel de mener des attaques personnalisées, de manière à ne pas être détecté durant les premières phases d’attaque. Nos clients tirent ainsi un véritable bénéfice de ces simulations. »
Une fois ces précisions apportées, Tom a déclaré qu’il serait heureux de révéler le contenu de ce fameux kit de Red teaming, au travers d’explications et de visuels.
Voici, donc, ce que renferme le kit de Tom :
- Un presse-papiers, un gilet fluorescent, un casque ou tout autre vêtement correspondant à une stratégie réfléchie d’incursion dans les locaux de l’organisation. Ces accessoires doivent permettre de passer inaperçu, afin de réaliser une collecte approfondie d’informations.
- Des adaptateurs USB Ethernet, des adaptateurs Wi-Fi permettant l’extraction des données d’identification en liaison avec (4)
- Des câbles Ethernet et autres câbles
- Un implant réseau rogue permettant un accès ultérieur (contrôlé par F-Secure) au réseau interne, via internet.
- Proxmark3 (dessus) et carte d’accès RFID/NFC/Copieur/clôneur spécifique (dessous, en blanc)
- « Rubberducky » personnalisé ou dispositif semblable permettant la sélection rapide de la charge utile et la saisie ou le forçage brutal du mot de passe en fonction de la cible.
- Mini-ordinateur « PocketCHIP » avec antennes Wi-Fi pour les attaques rogues de points d’accès WiFi. Ce mini-ordinateur doit disposer d’outils permettant la collecte d’identifiants, le vol d’identifiants via Ethernet, ou l’exécution d’attaques de type man-in-the-middle. Batteries externes USB (non représentées)
- Une sacoche (banane) avec laquelle se promener dans les locaux de l’entreprise visée. Les individus détenant des objets « utiles » ne sont pas considérés comme des intrus.
- Des pinces, tournevis et autres outils utilisés pour franchir certaines serrures, armoires (cartes d’accès, bandes de sauvegarde, clés, jetons d’accès, etc.)
- Kit de serrurier avec visseuse automatique (non représentée), clés de frappes et clés de jiggler.
- Clavier pliable, à utiliser au besoin
- Un trousseau/cordon comportant une clé mais aussi une clé USB. Cette dernière doit contenir de faux documents attrayants, susceptibles d’être ouverts par l’individu qui découvrira le dit trousseau. Son ordinateur sera infecté et vous pourrez atteindre le réseau de l’entreprise (si l’ordinateur y est relié). Ces trousseaux doivent être déposées à l’intérieur du bâtiment dans la mesure du possible, ou aux abords extérieurs (parking ou hangar à vélos) dans le cadre d’un scénario d’ingénierie sociale « perte des clés ».
- Une LAN Turtle pour mener des attaques sur stock et des attaques réseau personnalisées
- Module caméra infrarouge FLIR à raccorder à un smartphone pour photographier la chaleur latente laissée sur les claviers des employés. Les codes d’identification pourront être ainsi révélés, même si l’employé a dissimulé ses doigts pour les taper, et ce, durant environ une minute.
- Des enregistreurs de frappe USB avec WiFi permettant de voir ce tapent les employés tout en étant à l’extérieur du bâtiment ou via internet, en combinaison avec un implant rogue (4)
Catégories