Et si je n’étais pas un pirate éthique?
Un billet de Terry Cutler
Pirate éthique professionnel
Vice-président de la cybersécurité chez SIRCO
Ces dernières années, nous avons assisté à des intrusions d’ampleur comme Ashley Madison, la Convention démocrate nationale aux États-Unis, Yahoo, Telegram, Mossack Fonseca.
Et l’année 2017 devrait voir les brèches de sécurité exploser!
Pour plusieurs compagnies, la cybersécurité n’est pas une priorité et ne se voit allouer qu’une faible part des budgets d’exploitation. De fait, on ne voit pas le besoin d’investir dans la cybersécurité avant qu’il soit trop tard. À titre de pirate éthique professionnel (Professional Ethical Hacker), mon travail consiste à faire des tests d’intrusion et d’essayer de pirater votre système afin d’identifier les vulnérabilités et de vous offrir les meilleurs moyens de protection afin d’éviter le piratage de votre système. Comme le dit l’adage :
MIEUX VAUT PRÉVENIR QUE GUÉRIR!
De nos jours, les cyberpirates gagnent environ 10 fois mon salaire annuel. On me pose fréquemment la question : « Pourquoi faire ce genre de travail alors que je pourrais gagner tellement plus? » La réponse est simple : j’aime aider les autres! Cependant, voici comment je pourrais pirater votre compagnie, si j’étais attiré par le côté sombre…
ÉTAPE 1 – Reconnaître
En quelques minutes, je pourrais trouver vos employés sur les réseaux sociaux, leurs intérêts, avec qui ils se connectent, ainsi que leur adresse courriel pour les joindre. Je pourrais même savoir où habite le président, aller à son domicile et scanner son réseau wi-fi non sécurisé.
De même, je pourrais déposer quelques clés USB dans votre bureau comme je l’ai fait en 2011; une histoire détaillée à :“USB keys in the Urinal”, pour les curieux.
Les offres d’emploi publiées par certaines compagnies révèlent également beaucoup trop d’information concernant le type de logiciel qu’elles utilisent. Il n’y a rien que l’on puisse faire; puisque nous en avons besoin pour faire des affaires! Il y a tellement d’information concernant votre compagnie que je peux trouver de différentes sources, et je n’ai même pas encore abordé votre organisation!
ÉTAPE 2 – Scanner
Après avoir passé environ une journée à bâtir mon plan d’attaque, je vais maintenant scanner votre réseau pour voir si votre système est en ligne, les logiciels que vous utilisez, et le nombre de vulnérabilités de chacun de vos logiciels. Nous, les pirates informatiques, avons un système de soutien où nous partageons des informations, comme les façons de pénétrer certaines technologies ainsi que leur efficacité.
ÉTAPE 3 – L’attaque
Maintenant, mon VPN (réseau privé virtuel) est installé et j’ai changé mon adresse IP de Montréal, Canada, afin d’apparaître comme venant d’un autre pays, simplement pour semer la pagaille dans votre département TI. Ici, je n’ai pas de temps à perdre à essayer de cracker votre pare-feu et risquer d’être détecté quand tout ce que j’ai à faire est d’envoyer un courriel convaincant avec un lien à votre employé avec qui je me suis lié quelques jours auparavant. Votre employé ne pensera pas qu’il s’agit d’une arnaque et cliquera sur le lien, et me voici dans votre système presque sans détection! Je mentionne « presque » parce qu’à plusieurs endroits, l’événement est rapporté quelque part dans votre système. Malheureusement, votre département TI n’est pas formé pour détecter ce genre d’événement et il sera perdu…
Oh, et pour votre information, vos pare-feu et vos antivirus ne vous protégeront pas! Les pirates informatiques ont accès à des formations spécialisées pour contourner les principaux antivirus. Et c’est gratuit!
Maintenant que je suis dans votre système, je peux accéder à votre serveur qui me donnera la liste de tous vos utilisateurs ainsi que leur mot de passe. Je vais utiliser ces identifiants de connexion pour aller dans d’autres comptes, à l’intérieur du système et dans les médias sociaux. Je pourrais donc en prendre le contrôle et envoyer des messages embarrassants ou diffamatoires à partir du compte de votre compagnie et mettre en péril votre réputation!
Dans de précédents tests d’intrusion, j’ai mis la main sur des données relatives à des cartes de crédit, des listes de clients, des listes d’acheteurs, des certificats de naissance, des passeports, des signatures digitales pour signer des chèques, et des photos d’employés nus ou se livrant à des activités extra-conjugales, qui, tombées dans de mauvaises mains, pourraient être utilisées à des fins d’extorsion. Un pirate animé de mauvaises intentions pourrait ruiner votre entreprise!
ÉTAPE 4 – Maintenir l’accès
Une fois que je suis dans votre système, je prévois revenir sans être détecté autant de fois que je veux. Je peux même augmenter la sécurité de votre serveur à votre insu afin d’empêcher d’autres pirates d’entrer dans votre système et compromettre tout le travail que j’ai accompli. Je pourrais ainsi demeurer dans votre système pendant des années et collectionner vos toutes dernières innovations, et le meilleur de vos produits!
ÉTAPE 5 – Couvrir mes traces
Comme j’ai maintenant le contrôle total de votre système, je vais maintenant modifier les journaux systèmes (system logs) afin d’apparaître invisible. Je peux aussi créer une diversion pour diriger le département TI vers un problème ailleurs dans le système tout en demeurant caché.
En conclusion, trop souvent, je reçois l’appel après que le piratage se soit produit et que les preuves aient disparu. À ce moment, il est trop tard et la recherche de l’auteur du piratage s’avérerait très coûteuse. Je suis convaincu que vous préféreriez que votre système soit testé avant que le pirate ne s’attaque à vous!
Sécurité d’abord!