Asher de Metz franchit les portes d'un supermarché. Suspendu à ses côtés, à la place d'un fourre-tout réutilisable, se trouvait un sac discret pour ordinateur portable. De Metz ne faisait pas l'épicerie — c'était un cambriolage. Mais ni les acheteurs inspectant les avocats ni les caissiers utilisant les cartes de crédit n'ont réalisé qu'ils étaient attaqués.
De Metz traversa le magasin et trouva une pièce remplie de gens devant des ordinateurs. C'était une séance d'entraînement. Endroit parfait pour se fondre. Alors, il s'est assis et a détourné une machine .
"Je suis juste entré et j'ai débranché le câble à l'arrière de l'une des machines et je l'ai branché sur mon ordinateur portable", explique de Metz. "J'ai piraté pendant un moment et j'ai eu accès aux systèmes et aux bases de données assez rapidement depuis cette pièce."
À la poursuite d'un 'Hacker'
Peu de temps après, l'entraîneur s'est approché de Metz. Elle était polie mais incertaine à son sujet. "Je viens du siège social", a expliqué de Metz, pour installer des mises à jour, lui a-t-il dit. L'histoire l'a apaisée pendant quelques minutes, mais elle a décidé de faire appel à son superviseur.
C'est alors que de Metz a compris qu'il était temps de partir. "J'ai tout fermé et j'ai commencé à partir", se souvient de Metz, mais l'entraîneur était à ses trousses. "J'ai pris l'escalier et malheureusement, alors que je poussais la porte, l'alarme s'est déclenchée."
La poursuite s'est poursuivie sur la bande sonore des alarmes de sécurité retentissantes et d'un dernier crescendo hurlant alors que l'entraîneur hurlait à travers le magasin : "C'est lui ! C'est le gars !" Un autre employé du supermarché a approché de Metz, mais de Metz était prêt. Il avait un dossier manille avec un ordre de travail fabriqué.
Il leur a dit qu'il venait de l'entreprise et qu'il y avait eu un grave piratage dans le système du magasin. "Saviez-vous qu'il y a eu une brèche sur votre réseau la nuit dernière ? Des millions ont été volés." "Non," dit le superviseur. "Je n'en avais aucune idée." Le couple a accepté de s'appeler plus tard dans l'après-midi, pour éviter que des têtes ne tombent en raison de la grave infraction à la cybersécurité.
Une partie de l'histoire de de Metz au directeur du supermarché était vraie; il a été embauché pour être au supermarché - par la direction du supermarché. Cependant, le seul piratage qui s'était produit était celui que de Metz avait fait lui-même, et il n'avait pas volé un centime. Il a été embauché pour voir jusqu'où il pouvait pirater les systèmes du supermarché. Et dans ce cas, il est allé loin. Il avait maintenant des informations utiles à partager avec l'équipe de direction sur la façon de rendre leur sécurité plus efficace et plus sûre pour les employés et les clients.
Pourquoi les entreprises paient pour se faire pirater
De Metz est le directeur principal du conseil en sécurité chez Sungard Availability Services , une société mondiale de gestion de services informatiques. Il a plus de 20 ans d'expérience en tant que testeur d'intrusion - c'est ainsi qu'ils s'appellent - et a fourni des conseils inestimables à certaines des plus grandes entreprises du monde au Royaume-Uni, en Europe, au Moyen-Orient et en Amérique du Nord.
"La raison pour laquelle les entreprises ont des tests d'intrusion", explique de Metz, "c'est parce qu'elles ne savent pas ce qu'elles ne savent pas. Vous pourriez avoir une excellente équipe informatique ou de sécurité interne qui installe des packages et essaie de sécuriser les systèmes, mais jusqu'à ce que vous obtenez un pirate informatique qui creuse et fait des choses qu'il ne devrait pas pouvoir faire, pour trouver les risques que les gens ont manqués, les entreprises ne savent pas quels sont leurs risques."
L'objectif de De Metz est de trouver les vulnérabilités avant les méchants - une menace croissante pour les entreprises de toutes tailles. Selon l' étude 2017 sur le coût des violations de données parrainée par IBM Security, 60 % des petites et moyennes entreprises sont attaquées chaque année. Pire encore, parmi ces entreprises, 60 % ferment leurs portes dans les six mois suivant l'attaque. Le coût global moyen d'une seule violation est de 3,62 millions de dollars.
Mais les nouvelles empirent. Au cours des six premiers mois de 2021, le nombre d'entreprises touchées par des attaques de rançongiciels - celles où sont installés des logiciels malveillants qui bloquent l'accès aux réseaux jusqu'à ce qu'une "rançon" soit payée - a plus que doublé par rapport à 2020, selon une étude de Check Point Software Technologies . Et le rapport Mandiant M-Trends 2021 de FireEye a révélé 800 tentatives d'extorsion où des données d'entreprise avaient été volées entre le 1er octobre 2019 et le 30 septembre 2020.
Les enjeux sont très élevés
C'est pourquoi de plus en plus d'organisations embauchent des testeurs d'intrusion, également connus sous le nom de pirates au chapeau blanc (une pointe de chapeau littérale au symbolisme du film occidental du milieu du 20e siècle), comme de Metz pour pénétrer exprès dans leurs systèmes.
"C'est comme une police d'assurance. Si les entreprises dépensent de l'argent maintenant pour la sécurité, cela leur évite les 10 ou 100 millions de dollars que cela leur coûtera en cas de violation", explique de Metz. "S'ils font évaluer leur rançongiciel et qu'ils s'inoculent, par exemple, cela évite aux entreprises des mois de maux de tête et de perte de revenus en raison de leur incapacité à faire des affaires."
L'autre raison pour laquelle les organisations paient pour se faire pirater est de s'assurer qu'elles respectent des normes réglementaires plus strictes. Les soins de santé, les organisations financières et les institutions gouvernementales, entre autres, doivent respecter les réglementations fédérales, étatiques et sectorielles en matière de cybersécurité , car le piratage devient plus courant et plus coûteux.
La cybersécurité est physique et technique
Lorsque les gens pensent au piratage, ils pensent généralement à un ranger solitaire attaquant les données privées d'une entreprise depuis la sécurité du sous-sol sombre de leur mère. Cependant, les testeurs d'intrusion examinent à la fois les aspects physiques et techniques du programme de sécurité d'une organisation, de sorte qu'ils piratent de l'intérieur de l'organisation elle-même.
"Les entreprises ne veulent rien laisser sur la table, ce qui pourrait faire partie d'une faiblesse de posture", déclare de Metz. « Nous testons les contrôles physiques ; pouvons-nous accéder à un bâtiment, passer la sécurité, passer par une porte dérobée ? Pouvons-nous accéder à des fichiers physiques ? Pouvons-nous entrer dans des zones où les entreprises impriment des cartes de crédit ou des cartes-cadeaux ? » Ce sont les choses critiques et physiques soulignées par de Metz, en plus du côté technique, comme l'accès au réseau ou aux données sensibles.
Il offre également des conseils, comme des recommandations pour les programmes de formation des employés afin que des personnes comme le superviseur qu'il a rencontré sachent comment vérifier les personnes qui sont censées être dans le bâtiment. Ou, que faire s'ils ne reconnaissent pas quelqu'un (au lieu de lancer une poursuite dans tout le magasin même si cela fait une bonne histoire). "Nous nous amusons beaucoup à faire cela, mais nous apportons également beaucoup de valeur au client."
Comment fonctionnent les tests d'intrusion
Les testeurs d'intrusion doivent avoir une connaissance détaillée de la technologie, et cela vient avec l'expérience, pas seulement avec des outils sophistiqués. "Les tests d'intrusion consistent à comprendre et à interagir avec la technologie - savoir comment cette technologie est censée fonctionner. C'est une méthodologie et peut-être aligner un outil sur elle, mais il ne s'agit pas simplement de scripts ou d'outils."
Une fois que de Metz est à l'intérieur d'un système, il recherche trois choses : où peut-il se connecter, quelles versions logicielles sont utilisées et si les systèmes sont correctement configurés. "Pouvons-nous deviner un mot de passe ? Pouvons-nous trouver un autre moyen d'accéder à une connexion ? Peut-être que le logiciel est obsolète et qu'il y a un exploit, alors nous essayons d'exploiter un code de ransomware contre lui pour essayer d'accéder au système", il dit. "Certaines choses peuvent être trouvées dans un audit, mais nous trouvons aussi des choses auxquelles [l'organisation] n'a pas pensé."
La pénétration va plus loin qu'un audit de réseau, et c'est une distinction importante. Un audit demande, le programme de sécurité est-il suivi ? Les tests d'intrusion demandent, le programme fonctionne-t-il ?
Les testeurs d'intrusion l'examinent du point de vue de la stratégie de sécurité. Le problème n'est peut-être pas aussi simple qu'un logiciel obsolète, mais toute une stratégie de sécurité qui doit être améliorée. C'est ce que découvre de Metz.
De nombreuses petites et moyennes entreprises ont du mal à financer des infrastructures de sécurité bien fondées. Pourtant, le piratage au chapeau blanc devient de plus en plus populaire auprès des organisations responsables des données personnelles, comme Facebook, qui est connu pour inciter les pirates au chapeau blanc via son programme Bug Bounty, à trouver des vulnérabilités dans leur système.
De Metz a également parlé sur des podcasts avec certaines de ses histoires les plus dramatiques de tests de pénétration. Son objectif est double : divertir les auditeurs avec des histoires folles, mais plus important encore, mettre en évidence la valeur des tests d'intrusion - et ce qui est en jeu si les entreprises ne le font pas. Vous ne les verrez peut-être jamais, vous ne saurez jamais qu'ils sont là, mais les testeurs d'intrusion aident à assurer la sécurité des entreprises et des clients, comme vous, plus en sécurité également.
Maintenant c'est intéressant
Les hackers noirs et blancs ne sont pas les seuls à pirater les systèmes des entreprises. Les pirates "chapeau gris" brouillent les frontières entre le "bon et le mauvais" piratage en pénétrant dans les systèmes pour révéler les vulnérabilités sans autorisation, puis en demandant parfois de petits frais pour résoudre les problèmes.
