Hacker professionnel, David Kennedy a commencé par travailler à la NSA. Intervenant pour tester la sécurité des entreprises, il nous décrit la facilité avec laquelle il peut ouvrir les portes du SI et accéder à nos données, même sans faire appel à des technologies.
On imagine les pirates informatiques experts en programmation qui utilisent des outils sophistiqués pour violer le réseau de l’entreprise. Ou alors bricoleurs pas toujours très doués mais qui utilise des outils en vente libre sur le dark web, en particulier les outils qui ont échappé aux espions américains…
Entrer dans l’entreprise
Après avoir œuvré à la cyberguerre pour la NSA et le gouvernement américain, David Kennedy a basculé dans le privé, devient hacker professionnel, et réalise aujourd’hui des tests de pénétration dans les systèmes des entreprises américaines. Avec une certaine facilité, et sans utiliser de technologies sophistiquées, voire d’ailleurs sans utiliser de technologie du tout, comme il nous en a apporté la preuve !
Premier test chez un client, la sécurité physique. David Kennedy va chercher à pénétrer physiquement dans un bureau qui l’intéresse, pour y dérober de l’équipement ou directement des données. Une mission d’une grande facilité, il suffit de porter un costume, de mettre un téléphone à l’oreille, et de marcher pour aller où vous le souhaitez !
Ouvrir les portes et accéder au PC
Pour pénétrer dans un bureau normalement fermé, notre hacker se contente tout d’abord de vérifier si tout simplement la porte n’est pas ouverte ! Il peut également attendre qu’une personne entre ou sorte pour retenir la porte et se glisser à l’intérieur.
C’est également l’esprit ‘MacGyver’ qui domine. Par exemple si une porte est verrouillée avec un capteur de mouvement, une cigarette électronique suffit pour souffler de la fumée dans la fente de la porte, et ainsi projeter suffisamment de fumée sous la lame du capteur pour que la porte s’ouvre. Une expérience qui peut également être réalisée en projetant du whisky !
Une fois à l’intérieur d’un bureau, le plus simple est de se présenter comme un membre du département informatique venu faire une mise à jour. Un truc imparable qui fonctionne jusque sur les guichets des banques… Pas besoin de mot de poste, la boutique est ouverte, il suffit de se servir !
Ingénierie sociale
Mais la méthode la plus efficace, même sans se déplacer, la préférée de David Kennedy, c’est l’ingénierie sociale. Elle consiste principalement à repérer les employés sur les réseaux sociaux et à recueillir des informations les concernant, qui seront judicieusement exploitées dans des emails afin de les inciter à cliquer sur un lien malicieux ou à télécharger un document emballé avec des logiciels malveillants.
Il n’y a là rien de magique, les pirates se contentent de construire des attaques basées sur les informations que les gens partagent sur LinkedIn, Facebook et Twitter. Qu’ils obtiennent des informations sur le passé d’un employé, et c’est l’ensemble du réseau qui sera impacté… Et il suffit qu’un seul employé cède à la tentation, et c’est toute l’entreprise qui mettra un genou à terre !
Image d’entête 643396472 @ iStock Lightcome