Audit Red Team

Audit Red Team

Les audits de type Red Team visent à simuler une attaque réelle afin d'éprouver la sécurité globale d'un système d'information ainsi que la sensibilisation des employés. Le but est de démontrer les conséquences potentielles d'une attaque, et également de tester la réactivité des équipes de défense en place.

Il diffère du test d'intrusion par le fait qu'il ne se limite pas à la recherche exhaustive de vulnérabilités sur un périmètre bien délimité.

  • Il cible un écosystème entier : système d'informations et employés.
  • Il est moins limité dans son périmètre d'exécution, comme une attaque réelle.

L'audit Red Team peut être vu comme une combinaison de scénarios d'attaque et d'objectifs à réaliser. Ils sont définis conjointement par AlgoSecure et le client, en fonction du secteur d'activité et des risques identifiés. Quelques exemples :

  • Intrusion distante : identification et exploitation de toutes les ressources publiques tels que les sites et applications web, interfaces de messagerie...
  • Hameçonnage des utilisateurs : emails de phishing, dépose de clés USB malicieuses près des points de passage des employés...
  • Intrusion physique : intrusion non destructive dans les locaux du client dans le but de connecter un implant sur son réseau.

audit-red-team

Seuls quelques employés du client sont informés de cet audit, et il est en général mené sur une période relativement longue, typiquement plusieurs mois, afin que le client ne puisse pas prévoir quand seront déclenchés les différents scénarios, et ainsi éprouver la sécurité en conditions réelles.

Exemples de méthodes utilisées par la Red Team AlgoSecure

Nous soulignons l'importance d'inclure un périmètre aussi large que possible : en situation réelle, un attaquant n'a pas de limites, et les missions Red Team sont justement là pour répliquer une attaque réelle, sans l'impact négatif qu'elle pourrait avoir. Cela dit, nous respectons toujours le périmètre que vous nous imposez, et mettons en oeuvre tout ou partie des méthodes indiquées ci-dessous en fonction des contraintes de temps qui nous ont été imposées.

La phase de reconnaissance est beaucoup plus large que pour un audit classique. En effet, nous ne cherchons pas seulement à cartographier les ressources informatiques, mais aussi à identifier le personnel que nous pourrions compromettre dans une phase ultérieure.

Pour cela, nous effectuons différentes opérations dans le but :

  • d'identifier le personnel de la société à partir d'un organigramme sur le site Internet de la société
  • d'identifier le personnel de la société à partir des informations postées sur les réseaux sociaux
  • d'identifier le personnel bénéficiant d'accès larges au système d'information, tels que des administrateurs ou du support informatique
  • d'identifier le personnel moins formé à l'informatique et à la sécurité, tel que des secrétaires ou des responsables d'entreprise
  • d'identifier les technologies informatiques utilisées à partir des offres d'emploi postées sur Internet
  • et bien sûr, l'identification des services à visibilité publique : webmail, accès VPN, Extranet, administration de pare-feu ou serveurs...

Cette phase s'apparente simplement à un audit externe et à un audit d'applications web.

C'est là l'une des principales différences entre un audit classique et un audit Red Team : nous ne cherchons pas uniquement à exploiter des faiblesses logicielles, mais également à tirer partie du manque de vigilance des employés. Grâce aux informations récoltées durant la phase de reconnaissance, nous allons tenter de nous introduire sur votre réseau informatique par le biais du personnel.

Quelques exemples de méthodes mises en oeuvre :

  • envoi d'emails de phishing spécialement conçus pour cibler un ou plusieurs employés
  • appel d'employés sous l'identité d'un agent du support technique
  • dépose de clés USB malicieuses à proximité des locaux
  • dépose de flyers à l'accueil proposant des avantages pour des magasins ou restaurants locaux

Cette phase peut répondre à différents objectifs. D'une part, nous pouvons tester les processus d'accueil des personnes externes, et voir s'il est possible d'accéder aux zones à accès restreint en contournant la vigilance du personnel. D'autre part, nous allons chercher à brancher un implant sur le réseau interne, qui nous permettra de passer à la phase suivante sans rester physiquement au sein des locaux.

Nous pouvons pour cela procéder de différentes manières :

  • intrusion par des portes dérobées : portes de service, garages...
  • intrusion par des fenêtres ou portes-fenêtres mal fermées
  • intrusion en se mêlant à un groupe d'employés légitimes
  • intrusion par les accès principaux à l'aide de prétextes tels qu'une livraison, un besoin pressant...

Si nous avons réussi à connecter un implant sur votre réseau, cette phase s'apparente simplement à un audit de réseau interne (LAN).

Vous avez activé l'option "Do Not Track" dans votre navigateur, nous respectons ce choix et ne suivons pas votre visite.