Ethical Hacking : tout savoir sur les intrusions physiques

L’intrusion physique est une phase d’attaque qui consiste pour un attaquant à s’introduire par divers moyens dans les locaux d’une entreprise. L’objectif de cette phase est d’obtenir un accès initial sur la cible, notamment dans le cas où d’autres tentatives ont échoué (phishing, attaques par Internet), ou bien parce que l’objectif n’est atteignable que physiquement, ou encore lorsque sa réalisation semble présenter peu de difficultés.

Régulièrement négligée dans la sécurisation d’un SI, la possibilité d’une intrusion physique offre pourtant aux attaquants un moyen efficace d’accéder directement aux équipements informatiques d’une entreprise, et de se servir de leurs accès au réseau pour mener diverses attaques en interne.

Cela permet à l’attaquant d’avoir un accès direct à l’ensemble des ressources accessibles en interne en contournant l’ensemble des mesures de sécurité périmétrique en place (la ligne de défense entre Internet et le réseau interne de l’entreprise) constituée de pare-feu réseau, applicatifs, et d’autres équipements et configurations servant à empêcher un attaquant de passer cette frontière.

Cela peut donner l’opportunité à un attaquant d’obtenir un accès aux postes fixes des utilisateurs, disposant généralement d’un niveau de protection inférieur à celui des postes nomades car étant considérés comme moins exposés. De plus, l’accès physique aux serveurs de l’entreprise peut permettre à l’attaquant de réaliser un arrêt technique du SI par sabotage du matériel.

Comment s’y prendre ?

Une intrusion physique ciblée telle que pratiquée par nos experts, comporte d’abord une phase de préparation. Cette phase est particulièrement importante car elle permet de maximiser les chances de réussite de la mission. Elle consiste principalement en la réalisation de repérages et en la collecte d’informations afin de découvrir un maximum de vecteurs d’entrée et d’ajuster au mieux les scénarios qui seront mis en place.

Internet constitue la principale source d’informations pour cette étape. Nous distinguons trois principaux types de sources.

L’OSINT (Open Source Intelligence) : il s’agit de l’ensemble des données en libre accès. Nous pouvons par exemple citer le site institutionnel de l’entreprise, les appels d’offres publics – en particulier pour des projets de construction ou de sécurisation de locaux – les communiqués de presse ou encore la liste des prestataires de l’entreprise.

La SOCMINT (Social Media Intelligence) : il s’agit de l’ensemble des données disponibles sur les réseaux sociaux. Des informations utiles peuvent se trouver tant dans la communication des comptes officiels d’une entreprise que dans les publications publiques des employés (dates de vacances, photos des locaux lors d’afterworks, photos du badge obtenu le premier jour de travail, etc.).

La GEOINT (Geographic Intelligence) : ce sont les informations géographiques exposées par des sites tels qu’OpenStreetMap, Google Maps, Geoportail… Ces sites permettent de récupérer de nombreuses vues de la cible, tant aériennes que des clichés montrant directement la rue voire même, parfois, l’intérieur des locaux ou des campus.

Cette approche est généralement complétée par un ou plusieurs repérages physiques, directement sur les lieux et aux alentours.

Quelles informations recherchons-nous ?

Parmi les informations récoltées, celles présentant le plus d’intérêt sont les suivantes :

• Disposition géographique des lieux et entourage : les locaux sont-ils partagés ? Peut-on accéder aux plans des locaux ? Les locaux se trouvent-ils sur un site isolé ? Dans un quartier d’affaires ? De combien d’entrées le bâtiment dispose-t-il ? Notons-nous la présence d’un parking, d’une aire de livraison, d’un restaurant d’entreprise ?
• Mesures de sécurité en place : Y a-t-il un du personnel d’accueil ou de sécurité ? Un portique ? Une badgeuse individuelle ? Des caméras ? Un protocole précis pour les visiteurs ?
• Prestataires : Quels sont les prestataires pouvant régulièrement accéder aux locaux (entretien, distributeurs, restauration, etc.) ? Quels sont leurs horaires ?
• Réseau : Des prises réseau sont-elles accessibles en dehors du périmètre ? Le Wi-Fi est-il accessible depuis les environs ? Est-il correctement configuré ?

L’ensemble de ces informations sont alors agrégées et utilisées afin de mettre en place un ou plusieurs scénarios d’intrusion.

Les méthodes d’intrusion physique peuvent se classer en 3 catégories. Ces catégories sont complémentaires et doivent être combinées afin de maximiser les chances de réussite d’une mission.

La première catégorie concerne le hack social (ou ingénierie sociale), et repose donc sur le facteur humain. C’est l’aspect le plus complexe à maîtriser pour une entreprise et cela représente donc souvent le moyen le plus efficace de pénétrer dans les locaux ciblés. Le hack social consiste à tromper la vigilance du personnel de l’entreprise pour ne pas éveiller de soupçons, voire même, dans le meilleur des cas, obtenir de l’aide de la part d’employés. Ainsi, certains scénarios réalisés avec succès consistent par exemple à se faire passer pour un prestataire informatique ayant besoin d’accéder à la salle serveur afin de réaliser une mise à jour.

La deuxième catégorie, dite de hack physique, consiste à contourner les mesures de protection physique. Pour cela, de nombreuses techniques existent telles que le crochetage de serrures pour ouvrir les portes ou les casiers verrouillés. Des méthodes permettant de neutraliser des alarmes ou d’ouvrir des issues de secours depuis l’extérieur sont également utilisées. La technique la plus simple (mais la plus éprouvée) reste cependant le « tailgating » : l’attaquant profite d’une porte ouverte (ou tenue par courtoisie) par un employé ayant les accès, notamment lorsque ceux-ci rentrent de pause. C’est particulièrement efficace sur les entrées auxiliaires où une seule personne peut badger et réaliser l’ouverture pour un groupe de collègues.

La dernière catégorie relève du hack digital. L’une des principales attaques dans ce domaine consiste à créer le double du badge d’un employé. Selon la technologie utilisée, il peut en effet être très abordable de cloner un badge d’accès sans contact (RFID) en un temps raisonnable, grâce à un équipement dédié dissimulé par exemple dans une sacoche d’ordinateur. Il suffit alors de passer à proximité de la cible (dans un couloir ou une rame de métro, à l’accueil ou à la sortie de l’entreprise) pour obtenir les données du badge et pouvoir ensuite se créer un accès valide aux locaux.

Cette catégorie inclut également l’ensemble des techniques d’intrusion logique qui sont déployées une fois l’intrusion physique réussie. Au niveau du réseau, il est possible de déposer un implant fournissant un accès distant au réseau interne de la cible. Cet implant peut au besoin contourner le mécanisme de protection d’accès réseau (802.1x) notamment grâce au projet dédié Fenrir. Au niveau des postes de travail et serveurs, le but sera d’y installer des backdoors grâce à différentes vulnérabilités dont l’exploitation est rendue possible grâce à l’accès physique à la machine :

• poste(s) non-verrouillé(s) et laissé(s) sans surveillance ;
• absence de chiffrement du disque dur ;
• absence de protection du BIOS[1] ;
• attaque de type DMA[2] ;
• défaut de configuration du PXE[3] ;
• keyloggers matériels dont certains transmettent les frappes clavier capturées via Wi-Fi ou 4G ;
• etc.

Les audits d’intrusion physique peuvent être réalisés en tant que pentest à part entière. Cependant, ils sont généralement inclus dans les audits techniques de type Red Team en tant que moyen efficace d’obtenir un accès au SI et aux données d’une entreprise.

En effet, au cours d’une opération Red Team, l’entreprise est ciblée par nos experts, qui tentent de s’introduire grâce à des techniques réalistes utilisées par les cybercriminels, durant une période pouvant s’étendre d’un à plusieurs mois. Une multitude de vecteurs sont utilisés comme l’exploitation des services exposés sur Internet, le spear phishing[4], les appels téléphoniques dans le but de soutirer des informations aux employés ou encore l’intrusion physique dans les locaux.

La date d’intrusion exacte n’est généralement pas communiquée aux équipes du client afin de garder l’effet de surprise et d’évaluer au mieux les équipes de sécurité, la qualité des processus mis en place et leur respect en conditions réelles. Les objectifs sont fixés en accord avec le client et varient selon ses besoins.

Certains sont assez génériques comme un simple dépôt de notre implant réseau ou de clés USB contenant une charge virale au sein des locaux. D’autres demandes peuvent être plus précises comme l’attaque d’une zone spécifique à l’accès restreint comme une salle d’archives ou un data center, le vol de documents papier, la récupération d’algorithmes mathématiques, etc.

Voici quelques exemples d’intrusions que nous avons réalisées pour le compte de nos clients.

Exemple 1 : intrusion favorisée par le manque de maîtrise du périmètre 

L’objectif était la compromission du SI de l’entreprise dans le cadre d’une mission Red Team. Après la phase de repérage, une première intrusion est tentée à travers le parking de l’entreprise. Une fois sur place, l’auditeur a pu accéder au data center de l’entreprise via une porte non-verrouillée accessible directement depuis le parking. À partir de là, il a pu rester suffisamment longtemps pour compromettre l’ensemble du SI, y introduire une backdoor et quitter les lieux sans être détecté.

Exemple 2 : intrusion favorisée par la faiblesse du contrôle d’accès et le manque de vigilance du personnel 

Après une rapide attente aux abords de l’entrée principale de l’entreprise, l’auditeur a pu s’introduire dans les locaux en suivant un employé (tailgating). Le personnel à l’accueil n’ayant pas eu de réaction malgré l’absence de badge visible, l’auditeur a pu librement circuler dans les locaux, prendre quelques photos, déposer et dissimuler un implant réseau au niveau d’une imprimante et ressortir à l’aide de la même méthode. À noter que malgré ces défauts de sécurité physique, l’équipe de sécurité informatique de l’entreprise (appelée Blue Team) détectera quelques jours plus tard une attaque menée depuis l’implant sur le réseau. Sans leur vigilance, cette courte intrusion aurait suffi à compromettre l’intégralité du SI.

Exemple 3 : intrusion réussie grâce à la création d’une copie d’un badge d’accès

Après s’être installé à l’accueil d’un des bâtiments de la société cible et en dehors du champ des caméras grâce aux repérages en amont, l’auditeur a intercepté quelques employés munis de badge RFID d’accès à l’entreprise. Il s’est présenté en tant que prestataire devant effectuer une vérification de mise à jour des badges, badges qu’il a ainsi pu compromettre grâce à un équipement dédié.

De plus, grâce à la collecte d’informations sur les réseaux sociaux, le visuel du badge a pu être reproduit à l’identique permettant ainsi à nos équipes de disposer de copies fonctionnelles et réalistes des badges d’accès aux locaux. Ceux-ci ont pu être utilisés pour s’introduire dans les locaux sans éveiller le moindre soupçon et les documents confidentiels demandés ont été récupérés. Une fois sur place, les auditeurs ont également compromis plusieurs postes utilisateurs grâce à l’attaque BadUSB[5]. Cette attaque permet, à l’aide d’une clef USB dédiée, de simuler un clavier et de « saisir » à très haute vitesse des séries de commandes préprogrammées.

Comme nous avons pu le voir, la possibilité d’une intrusion physique repose sur des éléments de protection physique, de surveillance, sur des procédures ainsi que leur bon respect, mais aussi sur le niveau de sensibilisation des employés et prestataires.

Afin d’éviter ce genre d’écueils, il est recommandé de se poser les questions suivantes :

• Pensez-vous qu’il soit possible pour une personne malintentionnée de pénétrer dans vos locaux sans habilitation ?
• À quels systèmes et applications métiers pourrait-elle accéder ?
• Quels secrets pourrait-elle récupérer ?
• Quels en seraient les impacts pour votre société ?

Les expert.e.s d’Orange Cyberdefense peuvent vous accompagnent pour y répondre et vous conseiller dans la sécurisation de vos locaux. N’hésitez pas à les contacter !

Notes :

[1]Basic Input Output System

[2]Direct Memory Access

[3]Pre-boot Execution Environment

[4]Le spear-phishing est une technique de phishing très personnalisée, basée sur l’ingénierie sociale.

[5]BadUSB est une attaque qui exploite une vulnérabilité inhérente aux microprogrammes USB.