Le Red Teaming est une mise à l’épreuve qui consiste à soumettre une entreprise à une attaque réaliste, mise en œuvre par des attaquants motivés, compétents et outillés, afin de tester ses défenses techniques, physiques ainsi que le degré de sensibilisation de ses collaborateurs. Yves Duchesne, co-fondateur d’ACCEIS, est intervenu le 14 janvier afin de présenter son activité.
ACCEIS est une entreprise rennaise, spécialisée dans l’expertise de pointe en cybersécurité. Elle emploie une dizaine de personnes dans le cadre de prestations à forte valeur ajoutée.
Son activité se segmente autour de quatre pôles :
-
Audit : évaluation du niveau de sécurité
-
Conseil : analyse de risque, conformité norme ISO, PSSI (Politique de Sécurité du ou des Systèmes d’Informations)
-
Formation et sensibilisation
-
Intelligence économique : renseignement en sources ouvertes, protection du patrimoine informationnel de l’entreprise.
L’audit de sécurité regroupe un grand nombre de spécialités : l’objectif est de tester la résistance d’un site web, d’une entreprise ou d’un réseau afin d’évaluer les risques et leur l’impact sur l’organisation étudiée. Ces audits sont bornés et ont un périmètre bien défini pour chacune de ces spécialités comme illustré ci-dessous :
Le red teaming a pour but de mettre fin à cette organisation en silos et utilise une vision globale et transverse.
Le but est de soumettre l’entreprise dans sa globalité à une attaque orchestrée par des gens compétents et motivés. Dans la plupart des cas, un objectif est défini à l’avance (vol de données, liquidités). Cet objectif permet de supprimer une possible contestation et constitue un très bon moyen de sensibilisation. Ces attaques sont principalement commanditées par la Direction des Services d’Information (DSI) dans le but de provoquer une prise de conscience du personnel à tous les niveaux de leur structure. En effet, encore aujourd’hui, le maillon faible de la sécurité informatique demeure l’humain. Sans cette prise de conscience, tous les moyens techniques de protection s’avèrent inutiles.
Plusieurs méthodes complémentaires existent afin de préparer et exécuter une attaque sur une entreprise :
Étape 1 : cadrer l’attaque grâce au renseignement en sources ouvertes
-
Identifier des personnes clefs (listes de mails, recherche booléenne…)
-
Rechercher des faiblesses du dispositif (codes-usines / code maître de systèmes électroniques)
-
Visualiser le lieu (Google street view, plans trouvés sur internet)
Étape 2 : rechercher des mots de passe dans les fuites de données connues
-
Beaucoup de gens utilisent leur adresse professionnelle comme identifiant de connexion
-
Peu définissent des mots de passe uniques
-
Cela permet d’obtenir un accès distant avant même d’arriver sur le site du client
Étape 3 : réaliser une attaque par phishing ciblé (spearphishing)
-
Extrêmement efficace pour voler des mots de passe
-
Envoi de mails frauduleux en usurpant la DSI, marketing, direction, etc.
-
Efficace à 20 % environ
Étape 4 : envoyer des pièces jointes malveillantes
-
Vient en complémentaire du phishing
-
Envoi de fichiers Office avec macro malveillante pour lancer une prise en main à distance
-
Téléchargement de fichiers
-
Vol de mots de passe
-
Méthode plus complexe, car nécessite de passer les antispams, les antivirus
-
Très efficace, car les pièces jointes sont parfois transférées en interne par les victimes
Étape 5 : compromettre les systèmes via une clef USB
-
Clefs USB volontairement « perdues », contenant des pièces jointes vérolées
-
Permet de contourner toutes les défenses et procédures techniques mises en place par la DSI en infectant directement le cœur du réseau
-
Variante : une pseudo clef USB appelée « Rubber Ducky » qui permet d’être identifié comme un clavier et non un périphérique de stockage. L’insertion de celle-ci permet d’exécuter un script, dès l’insertion dans la machine afin de lancer le téléchargement d’un fichier malveillant par exemple.
Étape 6 : s’introduire par « attaque logique »
-
Connexion sauvage à une prise Ethernet RJ45 accessible
-
Connexion sauvage à un réseau wifi depuis l’extérieur de l’entreprise
-
Intrusion sur un extranet ou serveur FTP
Étape 7 : s’introduire physiquement (effraction)
-
Utiliser la ruse : bras chargés, fausse femme enceinte, tasse de café pour suivre des employés
-
Lockpicking (crochetage de serrure)
-
Négligence humaine (porte laissée ouverte par des fumeurs)
-
Contrôles d’accès désuets (copie de badge)
L’objectif de la Red Team est de soumettre l’entreprise à une situation d’attaque. Ces dernières sont menées sur plusieurs canaux en simultané afin de maximiser les chances de réussite. L’aspect réel et concret de cette démarche en fait un véritable outil de sensibilisation et de prise de conscience. Ces « fausses » attaques permettent de mettre en avant des failles, parfois basiques, mais décisives, pour être mieux préparé pour une « vraie intrusion ».
Bertrand Teissier
Pour le Club Cyber