Audit de sécurité physique : la méthode Red Team
L’intrusion physique est une des composantes d’un test d’intrusion Red Team (Physique / Social / Vulnérabilités sur le SI / Exploitation).
Dans le cadre de l’intrusion physique, selon accord avec le client, le but de l’auditeur Certilience sera alors de s’infiltrer dans les locaux ciblés afin d’accéder au système d’information. La date d’intrusion n’est pas forcement communiquée aux équipes pour garder l’effet de surprise et analyser également la réaction des équipes (Blue Team).
Pour cette approche, plusieurs scénarios peuvent alors être envisagés.
Ingénierie sociale : comment réalisons-nous cette mission d'intrusion ?
Le facteur humain est très souvent le moyen le plus efficace et le moins onéreux pour les attaquants de s’infiltrer chez leur cible.
En général plutôt exploité grâce à des attaques de phishing, il est aussi possible d’utiliser l’ingénierie sociale directement sur site (audit physique) : une personne se présente à l’accueil d’une de vos succursales avec, au tour du cou, un badge du prestataire que vous êtes habitués à voir sur des questions d’infogérance ou de fonctionnement de l’entreprise (gestion de la photocopieuse, machine à café, livreur, opérateur internet, etc.).
Il annonce devoir accéder au local informatique / effectuer une opération sur le PC de l’accueil et présente un faux PV avec le nom du directeur en bas et une signature.
Parfois, il suffit de techniques simples et éprouvées pour accéder au réseau interne de votre entreprise telles que le tailgating : un inconnu, habillé spécialement ou non, se faufile à la suite d’un groupe d’employés revenant de leur pause par une entrée auxiliaire du bâtiment. Il contourne ainsi efficacement les contrôles d’identités de l’entrée principale. Une fois installé dans une pièce libre, quelles sont les chances que quelqu’un vienne lui demander des comptes ?
-
Pensez-vous que vos process soient assez robustes ?
Vos employés sont-ils sensibilisés à l'intrusion physique ? Testez cette approche Red Team !
Ces scénarios ont été exécutés avec succès pour le compte de clients Certilience.
Les conséquences peuvent être très rapidement élevées compte tenu du niveau de sécurité moindre sur le LAN qu’en périmétrique : installation de programmes malveillants sur certains postes (connexion de clefs USB malveillantes) ou sur le réseau de l’entreprise (borne Wifi pirate accessible de l’extérieur).
Comment contourner les contrôles physiques ?
Le plus souvent, et de manière analogue à la sécurité informatique, la sécurité physique se concentre essentiellement sur les barrières périmétriques. Une fois celles-ci contournées, l’attaquant peut vaquer librement à ses occupations.
Un mauvais modèle de carte/badge magnétique peut également permettre à un attaquant de cloner un badge existant et ainsi s’introduire dans des zones à accès restreint. Kevin Mitnick, référence en la matière, a démontré ainsi qu’en utilisant un outil camouflé (proxmark) dans une pochette pour ordinateur, il était possible en quelques secondes de copier le badge d’un employé légitime. Un simple smartphone disposant de la fonctionnalité NFC et de la bonne application peut remplir tout aussi bien ce rôle dans certains cas.
- Connaissez-vous suffisamment vos contrôles physiques ?
Certilience vous accompagne dans l’évaluation des contrôles de sécurité physique en place dans vos locaux en démontrant directement l’impact d’une intrusion réussie sur votre système d’information et vous propose également les préconisations associées pour limiter ce risque.
Pour plus d’informations sur
les audits de sécurité Certilience :
Pour demander une étude personnalisée :