8 choses que font vos salariés… et dont raffolent les pirates !

Tom Van de Wiele pratique le Red Teaming chez F-Secure. Durant son intervention au FIC 2018, il a expliqué comment il exploite des comportements très répandus chez les salariés pour obtenir des informations sensibles et pour s'introduire dans les organisations.

Auteur: Guillaume
Date: 08/06/2018
Temps de lecture: 6 Minutes

Tom Van de Wiele est un hacker éthique chez F-Secure : il pratique le Red Teaming. Il est missionné pour tester les pires scénarios au sein d’organisations : il se comporte comme un véritable agresseur, à la différence près qu’il respecte un cadre légal et que son objectif est d’alerter l’entreprise sur ses faiblesses. Elle pourra ainsi rectifier le tir avant qu’une véritable attaque ne cause de véritables dommages !

Les scénarios varient mais la méthode est toujours semblable :

  • Recueillir des informations sur l’entreprise… beaucoup d’informations !
  • Etudier la présence de l’entreprise sur internet en scannant les ports pour exploiter une vulnérabilité déjà existante ou à venir.
  • Infiltrer l’entreprise et exploiter tout ce qui peut l’être en passant d’un ordinateur à l’autre. Ces mouvements sont classifiés en 20 catégories.
  • Maintenir un accès au réseau
  • Récupérer les données (c’est ce qu’on nomme l’exfiltration) pour prouver aux clients que l’attaque a bien eu lieu.

Tom Van de Wiele a fait salle comble lors de sa conférence au FIC 2018. Il a donné quelques exemples de maladresses commises par des salariés d’entreprise et nous explique comment il les exploite au quotidien lors de ses missions de Red Teaming.

Morceaux choisis.

1) Donner des informations confidentielles par téléphone

 

Nous demandons aux entreprises : « Vous avez un département d’assistance, que les clients peuvent appeler, et cette personne a accès à la base de données des clients ? ». Nous demandons : « A combien de dossiers clients ce chargé de clientèle a-t-il accès dans la base de données ? ». On nous regarde d’un drôle d’air, et on nous dit : « eh bien, tous, parce que… », et voici les mots magiques, « nous avons confiance en nos employés ». Ce n’est pas une question de confiance, n’est-ce pas ? Je suis sûr que tous les employés qui cliquent par inadvertance sur un ransomware… je suis presque sûr qu’on leur faisait confiance. Donc, ce n’est pas une question de confiance. C’est une question d’accès.

 

2) Se connecter à un Wi-Fi public

 

Vous êtes tous allés, j’en suis sûr, dans un café, un aéroport, où le Wi-Fi n’a pas de mot de passe. Il ne faut alors que quelques secondes avec le logiciel dont nous disposons pour mettre en place un faux point d’accès (…) Parce que, dès lors que la communication n’est pas cryptée, je peux injecter certaines choses. Ce qui veut dire que je peux faire afficher une fenêtre pop-up pour procéder à de l’hameçonnage.

 

3) Perdre son portable ou son ordinateur

 

Pour ceux d’entre vous qui ne travaillent pas dans la défense, qui essaient simplement de faire des affaires dans le secteur privé ou public, essayez de vous protéger en priorité contre les attaques opportunistes. Certains de vos collaborateurs oublieront leur ordinateur portable dans le taxi, leur téléphone dans l’autobus… Et il faut protéger ces appareils afin que des gens comme moi ne puissent pas entrer dans votre entreprise, en utilisant ces attaques assez simples.

 

4) Prendre une photo au bureau et la poster sur Instagram

 

Voici une jolie capture d’écran d’un compte Instagram. Il se vante de son nouveau bureau. C’est génial ! Félicitations ! Et il nous montre toutes les applications qu’il utilise le plus, et nous pouvons le cibler. Parce que maintenant, nous savons sur quels programmes concentrer nos efforts, ce qui signifie que nous allons travailler plus rapidement pour le même résultat.

 

5) Jeter ses emails à la poubelle

 

On va voler vos ordures, beaucoup de vos ordures. C’est généralement comme ça que les professionnels juniors débutent dans le monde du Red Teaming. Ils sont chargés de voler des ordures. Ce qui n’est pas si facile, en fait. Les déchets et certains composés de haute sécurité sont bien gardés (…) Pourquoi voulons-nous vos poubelles ? Nous y trouverons des e-mails. Il y aura des discussions, des numéros de série, tout ce que nous pouvons utiliser à des fins d’ingénierie sociale, pour obtenir plus d’informations, ou un accès. C’est l’idée.

  

6) Ramassez une clé USB dans un couloir et la connecter à son ordinateur

 

Nous allons aussi laisser ces petits cordons, avec une clé et une clé USB. Nous en avons un tas et nous les déposons, vous savez, dans l’abri à vélos, dans le parking, pour qu’un bon Samaritain pense « ooh, quelqu’un a perdu sa clé ! Peut-être que le nom de la personne est sur la clé USB. N’est-ce pas ? Il y a un document appelé « salary.xls » et d’autres choses. Et vous cliquez dessus, et il est écrit : « Le salaire de Tom : valeur non-affichée. Activer les macros ? ». Vous activez les macros, et c’est terminé pour vous.

 

7) Laisser son badge accroché à son pantalon

 

Après le travail, les employés rentrent chez eux. Et que font-ils ? Ils laissent leur carte d’accès suspendue à leur pantalon, n’est-ce pas ? Mais c’est une clé. Vous l’utilisez pour ouvrir des portes, pour ouvrir des compartiments, pour ouvrir des étagères. Elle vous donne accès à des informations professionnelles. (…) Si vous regardez sur Twitter, en tapant le hashtag #protectyouraccesscard, vous verrez beaucoup de photos que j’ai prises de personnes dans des lieux publics avec leur carte encore accrochée à leurs vêtements (…)Vous savez, vous pourriez la perdre, ce qui est un peu stupide, ou pire encore, quelqu’un comme moi pourrait en fait la voler, la réutiliser ou la copier, ce qui est extrêmement facile à faire, je dois dire, avec les technologies existantes. (…) Comment cloner cette carte ? Eh bien, en utilisant un très petit appareil. Ce petit objet blanc qui ressemble à une télécommande de télévision, c’est ce que nous utilisons pour cloner des cartes. Le bouton rouge copie, le bouton bleu l’écrit. C’est très facile. Ce petit objet, il coûte 4 €. Frais d’expédition inclus.

 

8) Ne pas se laver les mains

 

J’ai aussi mentionné les lecteurs d’empreintes digitales, n’est-ce pas ? Empreintes digitales, très difficiles à copier, c’est sécurisé. Eh bien, votre empreinte digitale n’est pas votre mot de passe. Votre empreinte digitale est votre nom d’utilisateur. Elle vous identifie. Elle doit être utilisée pour l’identification et non pour l’authentification. Comment procédons-nous ? Nous utilisons du papier toilette. Parce que les gens ne se lavent pas toujours les mains. Vous prenez du papier toilette, vous le mouillez, vous le mettez là, et il rejoue la dernière empreinte, qui est toujours sur le morceau de verre. Des « trucs » vraiment idiots. Mais nous le faisons tous les jours.

Toutes ces erreurs permettent à Tom Van de Wiele d’obtenir des informations et de s’infiltrer au sein des organisations.

Vous souhaitez savoir ce qu’il fait une fois à l’intérieur d’une entreprise ? Découvrez-le en visionnant la vidéo de la conférence du FIC dans son intégralité.

 


Poster un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s