Contraction de penetration et de tester, le métier de pentester se répand dans toutes les entreprises, qu’elles soient petites ou grandes. Vous avez d’ailleurs déjà peut-être croisé un de ces hackers officiels dans votre boîte sans le savoir. Son rôle ? Tester les failles de sécurité de la société qui l’emploie, quitte à piéger ses salariés. Rencontre avec l’un de ces spécimens.
Pentester est un métier qui n’est pas encore rentré dans le langage commun. Pouvez-vous nous expliquer en quoi il consiste ?
C’est l’entreprise cliente qui fait le premier pas vers nous. Elle nous contacte pour tester la sécurité de son réseau informatique ou de ses locaux. Nous endossons donc le rôle de hacker, mais avec la complicité de l’entreprise visée. On entame des actions pour récupérer des données depuis chez nous, on vérifie si les sites respectent bien le RGPD (Règlement Général sur la Protection des Données, ndlr), on exploite les différentes failles de sécurité, et ensuite on écrit un rapport à la société cliente pour qu’elle corrige les différents défauts que nous avons identifiés. Nous essayons aussi de voler les mots de passe des comptes des collaborateurs. Cela s’appelle du phishing. Le but est de vérifier à quelle vitesse le service informatique réagit.
Les entreprises sont-elles très exposées au phishing ?
Votre adresse professionnelle a beaucoup plus de chance d’être la cible d’un phishing que votre adresse personnelle. Les pirates sont à la recherche de données qu’ils essayent d’échanger contre une rançon. On peut prendre comme exemple ce qu’il s’est passé en 2017 avec Wannacry ransomware. Ce logiciel malveillant a été utilisé dans une cyberattaque qui a touché plus de 300 000 ordinateurs dans plus de 150 pays. Ce « piratage à rançon » a concerné des grandes entreprises comme Renault, FedEx, Vodafone… Une attaque qui pousse aujourd’hui les sociétés à prendre toutes leurs précautions.
Ne branchez jamais de clés USB dont on ne connait pas l’origine.
Quelles sont les plus grosses failles pour une société ?
La première faille, c’est le facteur humain. Même si le système est parfaitement sécurisé, si quelqu’un clique sur un lien malveillant, cela casse tout. Former les gens à ne pas cliquer sur les liens dans les mails :’est la plus grosse difficulté.
Quelques conseils à donner pour ne pas se faire avoir ?
Tout d’abord une évidence rarement respectée : une pièce jointe Word en doc.x ne devrait jamais s’envoyer par mail. Il y a des macros dedans. Si vous recevez une pièce jointe avec les macros désactivées, surtout, ne les activez pas si vous n’êtes pas certain de l’expéditeur. Méfiez-vous aussi des adresses expéditrices. Les hackers utilisent une astuce toute bête pour piéger les collaborateurs : envoyer des mails avec – à première vue – une adresse de l’entreprise. Sauf qu’en fait, un tout petit caractère, comme un tiret ou un pointa été remplacé. Donc n’hésitez pas à bien lire jusqu’au bout les adresses des expéditeurs. Autre conseil, lancez une politique de mot de passe forte, en excluant soleil123 – le mot de passe le plus utilisé en France en 2018. Dernière chose : ne branchez jamais des clés USB dont on ne connait pas l’origine dans un ordinateur.
Pourquoi cette précaution ?
Il y a un type d’attaque qu’il ne faut pas sous-estimer : des attaques planifiées physiques. Un pirate dépose une clé USB quelque part. Quelqu’un la branche sur son ordinateur, et c’est comme ça que le virus se déploie en interne. Pour éviter ce danger, il faut favoriser les serveurs partagés, préférer les mails et limiter l’usage de la clé USB au maximum. C’est un type d’attaque que nous mettons nous-mêmes en place pour tester la sécurité des entreprises. Nous mettons une clé USB par terre, à côté d’une photocopieuse, avec à l’intérieur un fichier bien tentant, type « Salaires 2019 ». Nous n’avons plus qu’à attendre qu’un employé tombe dans le piège. Et ça marche à tous les coups ! On a des dizaines de collaborateurs qui se laissent prendre. Certains s’acharnent à cliquer sur le fichier 50 fois avant de comprendre que c’est un leurre…
Un bon pare-feu coûte au moins 6 000 euros à une entreprise.
Ce n’est pas un peu limite niveau éthique ?
On ne pousse pas les gens à agir dans le mauvais sens. On laisse la clé là et on voit leurs réactions. Après, le fichier intitulé « Salaire », c’est évidement pour tenter les salariés. En général, il y a tellement de gens qui cliquent qu’on ne peut même pas donner de noms, on parle en termes de pourcentage.
Nous avons de plus en plus conscience des dangers qui nous entourent au niveau du web. Avec toutes les précautions qui sont prises, est-ce que le nombre d’attaques diminue ?
Au contraire, il y en a de plus en plus. Et plus la sécurité contre les attaques augmente, plus les techniques des pirates deviennent poussées… Que ce soit en termes de fishing, de virus, ou d’attaques planifiées physiques.
Combien cela coûte-il à une entreprise de se protéger des piratages ?
Cher ! Mais tout dépend de l’entreprise. Un bon pare-feu coûte au moins 6 000 euros pour une entreprise. Dès que celle-ci grandit, la note grossit. Cela doit chiffrer dans les milliards pour les grosses boîtes comme Apple ou Google.
Super Article. Clair, synthétique et surtout précis et juste.
Merci
Par RG, le 10 septembre 2020