Sophie est une pen-testeuse, c’est-à-dire une experte en tests d’intrusion (parfois appelés tests de pénétration). Son boulot consiste à évaluer la robustesse des systèmes de sécurité en utilisant des méthodes de social engineering – ce qui signifie qu’elle se sert d’autrui pour arriver arriver à ses fins. Pour cela, elle trompe la confiance de ses interlocuteurs en communiquant avec eux de visu, par téléphone (vishing) ou par message (phishing), jusqu’à ce qu’ils lui obtiennent l’accès qu’elle désire. Consultante en gestion et en prévention des failles de sécurité, elle propose l’application de règles et de procédures efficaces aux organisations après avoir tenté de pénétrer leurs locaux ou leurs systèmes informatique. Elle propose également des formations personnalisées adaptées à différents environnements de travail. Avant de bosser dans le domaine nébuleux de l’infosecurité, Sophie était journaliste et photographe.
Salut, je m’appelle Sophie et je suis experte en intrusion. Je suis payée pour entrer dans des bâtiments sous haute surveillance et y récupérer des informations en utilisant la méthode la plus efficace possible, aussi malveillante soit-elle.
Videos by VICE
Mes employeurs sont généralement des organisations désireuses d’évaluer la sécurité de leurs installations et de leurs systèmes informatiques. Or, pour leur donner des informations précises, il n’y a pas 36 options possibles : je contourne les systèmes en question. Cela peut m’amener à crocheter des serrures, escalader des barrières, sauter par-dessus des murs couronnés de barbelés, me cacher dans des poubelles, ou utiliser des gadgets qui rendraient James Bond vert de jalousie.
Mais le plus souvent, j’utilise des techniques moins spectaculaires et beaucoup plus efficaces : je trompe la vigilance des employés afin qu’ils me laissent entrer dans la baraque – le plus naturellement du monde. C’est ce qu’on appelle le social engineering. Il m’arrive régulièrement de me faire passer pour quelqu’un d’autre par téléphone ou par email, mais le plus souvent, je vais à la rencontre des gens et je les mets en confiance jusqu’à ce qu’ils me laissent entrer.
On me demande souvent quel est le fait d’armes dont je suis le plus fière, ou si j’ai déjà employé des méthodes tellement borderline que j’en ressens encore de la honte aujourd’hui. Je profite donc de cette invitation à écrire sur Motherboard pour répondre à ces questions, sans lésiner sur les gifs.
Il y a quelques mois, un client m’a commissionnée pour tester trois de ses installations : une usine, un data center et un immeuble composé de bureaux – le siège social du groupe.
La première étape a consisté à récupérer des informations publiques (ou open source intelligence – OSINT) sur les bâtiments en question. J’ai donc examiné des plans, des images satellite, consulté les horaires de livraison et d’approvisionnement de l’usine, ce genre de truc.
L’usine ressemblait à une véritable prison : pas de fenêtres, de lourdes portes en fer, aucun aménagement paysager. C’est ce qu’on appelle un gros bloc bien hostile. Elle était surveillée par deux gardes armés, et des systèmes de lecture de badges et de contrôle biométrique assortis de tourniquets étaient disposés à chaque entrée du bâtiment.
Je me souviens avoir pensé : “Ça doit être l’enfer de bosser ici. L’enfer. Je dois pouvoir profiter de cette atmosphère inhospitalière d’une manière ou d’une autre.” Je me suis vite rendu compte que mes chances de suivre un employé à distance afin de me glisser en même temps que lui par une porte étaient de zéro. Pas d’autre choix que de mettre les deux mains dans le cambouis. J’allais devoir utiliser toutes mes ressources en matière de manipulation et de tromperie.
Dans ces cas-là, mon premier réflexe est d’aller sur LinkedIn. LinkedIn est mon meilleur pote. J’ai toujours plusieurs faux-profils LinkedIn à portée de main, et il y a de bonnes chances pour que je sois déjà dans vos contacts.
D’abord, j’ai espionné les profils des employés bossant pour l’usine en question, et je les ai croisés avec leurs profils sur les réseaux sociaux. C’est comme ça que j’ai découvert une jeune femme charmante, que j’appellerai Émilie.
Émilie venait d’être recrutée par la boite en qualité d’assistante, et possédait un compte Facebook sur lequel elle postait de nombreuses photos de réunions familiales.
J’ai ainsi noté quel lycée elle avait fréquenté, le nom de jeune fille de sa mère, et le nom de tous ses animaux familiers. C’est ce genre d’informations qui permet, entre autres, de répondre aux “questions de sécurité” exigées pour réinitialiser un mot de passe sur un grand nombre de sites web. Je les collecte toujours par réflexe. Ajoutons que je savais où elle bossait, dans quelle école allaient ses enfants, où elle avait passé ses dernières vacances. En vérité, récupérer ces infos a été un jeu d’enfant. Je ne suis pas détective privé, et je n’ai jamais été formée à des techniques d’investigation avancées. Je ne dispose pas non plus des fichiers de la NSA. Tout ce dont j’ai besoin, c’est de méthode, de rigueur, et d’un peu d’inventivité. La négligence des gens fait le reste.
Émilie postait beaucoup de photos en lien avec les bébés. Elle avait fait un stage bénévole dans une maternité, sa passion pour les soins aux nourrissons et aux jeunes mamans semblait sincère. Évidemment, j’en ai profité.
Pour ce test d’intrusion, il m’aura suffit de jouer deux rôles distincts. Pour le premier, j’ai spoofé ma ligne téléphonique pour faire croire que j’appelais depuis le siège de l’entreprise. J’ai alors appelé la réception de l’usine, et ai demandé à ce que mon appel soit transféré au poste d’Émilie. “Bonjour ! Je m’appelle Barbara. Je suis coordinatrice de la gestion des bâtiments du groupe. Nous rénovons certaines locaux et j’ai besoin de vous envoyer une designer demain au plus tard afin qu’elle vous fasse des propositions de réaménagement de votre espace de travail.”
Émilie a répondu avec enthousiasme “oh, c’est chouette, mais pourquoi on ne m’a pas prévenue avant ?” Je sentais qu’elle devenait méfiante, alors j’ai joué mon atout. “Ah, Émilie… je suis vraiment désolée, normalement je suis mieux organisée, je donne un préavis plus long. Mais là je suis débordée de travail, je suis vraiment en panique. Je vais accoucher dans six mois, si mon chef apprend que j’ai merdé, je suis foutue.”
J’étais vraiment dedans. Ma voix tremblait, je parlais comme si j’avais la gorge serrée. J’ai même crachoté un peu. C’est mal, c’est vrai – mais c’est le jeu.
Cette brave Émilie a fait preuve de compassion quasi instantanément. “Oh ma puce, c’est pas grave ! Ça va le faire ! Parle-moi de ton bébé, c’est un garçon ou une fille ? C’est ton premier ?” Ce n’était pas une nana stupide, juste une personne décente, sympathique et compréhensive. Elle voulait sincèrement m’aider.
On a parlé bébé et accouchement pendant un moment, Émilie a noté le nom de la designer puis nous avons raccroché. Si elle avait vérifié mon identité auprès de ses collègues, elle aurait probablement évité une migraine carabinée au directeur d’usine par la suite. (Bien évidemment, lors du compte-rendu de l’opération, j’ai anonymisé tous les dossiers afin que la direction ne sache lequel des employés avait fait preuve de négligence. Émilie est toujours en poste .)
Le jour suivant, je me suis présentée sous le nom de “Claire”, munie de la carte de visite d’un cabinet d’architectes fictif dont j’ai réalisé le site web moi-même. Quand je suis arrivée, Émilie et sa chef m’attendaient, tout sourire. Je leur ai serré la main et leur ai tendu la carte, imprimée la veille. On m’a donné un badge visiteur, et hop ! Le tapis rouge de l’intrusion s’est miraculeusement déroulé sous mes yeux.
J’ai échangé avec les employés présents, leur posant des questions anodines sur leur espace de travail. Ils étaient tout excités. Dans la foulée, j’ai expliqué que j’avais fait partie de l’équipe qui avait conçu le siège social de Google… je ne peux jamais m’empêcher de pousser le bouchon le plus loin possible. “Vous voulez un bureau debout ? Des nouvelles chaises, peut-être ? Allez, tournée de claviers ergonomiques pour tout le monde ! Regardons les échantillons.”
Rapidement, on est devenus super potes et j’ai pu me balader à loisir dans les locaux : j’avais obtenu un accès illimité et non-accompagné dans un bâtiment haute sécurité dans lequel je suis restée plusieurs heures. Enfin, je me suis débrouillée pour obtenir un accès au réseau de la boite, et j’ai volé quelques milliers de dollars en crochetant des portes physiques, le plus naturellement du monde.
(Merci à Deviant Ollam pour l’animation)
Mon client était persuadé que je ne parviendrais jamais à rentrer dans l’un des trois bâtiments qu’il voulait tester, et certainement pas à faire intrusion dans deux bâtiments successivement, dans la même journée. Le type m’avait clairement sous-estimée.
Me sentant pousser des ailes, je suis retournée au bureau d’Émilie après avoir visité tout le bâtiment comme si j’étais chez moi. “Merci, je crois que j’ai tout ce qu’il me faut. Tu sais comment on va au siège social ?” Elle a alors regardé sa montre, et renchérit “c’est bientôt l’heure de la pause dej. Je vais t’y emmener directement !” Nous avons alors suivi toute une troupe d’employés, je suis montée dans une bagnole et tout ce petit monde m’a emmenée… manger des tacos. J’adore mon taf. Après manger, ces gens charmants m’ont déposée au siège social, et quelques-uns m’ont accompagnée dans les bureaux pour me faire visiter.
J’ai passé un temps infini à examiner tous les espaces de travail d’un air concentré, plissant les yeux en examinant le mobilier et marmonnant entre mes dents. Puis je leur ai dit au revoir en prétextant une réunion. Le bâtiment avait une politique très stricte concernant l’accompagnement des visiteurs, mais comme je me suis présentée en compagnie d’employés familiers, personne ne m’a jamais posé de questions. J’étais libre. Et mon prochain objectif était de me faufiler dans l’aile privée du bâtiment.
J’y suis parvenue sans trop de mal, ce qui m’a permis de profiter au mieux de la meilleure partie de l’opération : toquer à la porte du bureau de mon client. C’est jouissif. Steve était bien là, plongé dans son travail. Il a brièvement levé les yeux. “Bonjour, je peux vous aider ?”
J’ai souri. “Salut Steve ! Je suis Sophie, de Sincerely Security. Ravie de vous rencontrer enfin !”
Je n’oublierai jamais l’expression qui s’est dessinée sur son visage. C’était extraordinaire. “Qui ? Quoi ? Attendez ? Comment avez-vous fait pour arriver jusqu’ici ?”
Nous nous sommes entretenus très longtemps afin que je lui explique toutes les étapes de mon périple, et surtout, pour lui détailler les règles de sécurité toutes simples qui auraient pu m’empêcher d’arriver jusque là. J’étais à peu près certaine que les règles de vérification d’identité des visiteurs n’avaient pas été suivies. L’idée était de renforcer la sécurité de l’entreprise en sensibilisant les employés à une forme de méfiance systématique, sans pour autant les dissuader d’être des personnes sympathiques et prévenantes – à l’image de tout ceux qui avaient croisé mon chemin. Il fallait également expliquer aux employés que, lorsqu’un visiteur inattendu se présente en racontant des trucs bien trop beaux pour être vrais – en claironnant qu’il a conçu le design des bureaux Google par exemple – il y a anguille sous roche. Un visiteur important n’arrive jamais à l’improviste. De même, l’équipe qui m’a escortée sur le second site aurait dû dépêcher un employé pour m’accompagner dans les locaux. À aucun moment je n’aurais dû me trouver seule, libre de vagabonder où bon me semble.
Je fais ce boulot depuis plus de deux ans maintenant. Chaque nouvelle mission est une variante de la précédente, ce qui me permet d’utiliser une panoplie de techniques fiables, encore et encore, avec succès. Je ne m’en sors quasiment jamais sans social engineering. Morale de l’histoire : en matière de piratage, une bonne dose de psychologie est souvent plus utile que des compétences techniques.
N’hésitez pas à me contacter sur @HydeNs33k.