En poursuivant votre navigation sur ce site, vous acceptez nos CGU et l'utilisation de cookies afin de réaliser des statistiques d'audiences et vous proposer une navigation optimale, la possibilité de partager des contenus sur des réseaux sociaux ainsi que des services et offres adaptés à vos centres d'intérêts.
Pour en savoir plus et paramétrer les cookies...

“ On peut s'introduire dans un réseau à l'aide d'un faux livreur de pizzas ”

“ On peut s'introduire dans un réseau à l'aide d'un faux livreur de pizzas ”
 

C'est une méthode utilisée par NBS, spécialiste du test d'intrusion, que nous avons reçu en chat vidéo. L'occasion de faire le point sur les techniques d'intrusion.

Inscrivez-vous à la Newsletter BFM Business

Newsletter BFM Business

A voir aussi

Votre opinion

Postez un commentaire

8 opinions
  • 13ansetpassioné
    13ansetpassioné     

    boujour j'aimerais savoir si vous auriez des adresses d'entreprise d'audit de securité a lyon merci d'avance

  • Philippe Humeau
    Philippe Humeau     

    La différence entre nos équipes et des blackhats sont les suivantes :

    - Nous avons un code déonthologie, un contrat et un temps précis pour réaliser la prestation, ce qui est plus contraignant que dans le cas des pirates.

    - Nous travaillons toujours en groupe, avec des moyens de société et sans devoir prendre autant de précautions pour ne pas se faire attraper. Nous restons discrets, mais si jamais on est "vu" par un administrateur, ce n'est pas grave pour nous. Ca fait un bon point pour le service informatique, on explique notre démarche et tout est bon. Pour des pirates c'est plus risqué et donc plus long.

    - On peut communiquer entre experts sur nombre de technos et rester discrets sur certains de "nos secrets de fabrication". On a des "exploits" et deux techniques qui ne sont connus que de nous (enfin en tout cas on le pense, peut être que d'autre ont la meme chose et n'en parle pas non plus).

    Mais nos buts sont différents, on cherche les maillons faibles et les solutions pour renforcer ces points. La démarche est faite pour pérenniser alors qu'un ou des pirate(s) agissent rapidement et disparaissent.

    L'un dans l'autre on a des facilités ou des contraintes différentes, ca doit s'équilibrer :)

    Nul doute que certains groupes possèdent une maitrise équivalente et quelques rares une plus grande capacité d'intrusion encore. Heureusement les WhiteHat et les Greyhat peuvent vivre sans passer du mauvais coté de la barriere donc les forces restent assez équilibrées.

  • KAAF
    KAAF     

    Si vous arrivez à entrer dans 90% des système en quelques semaines maximum, est ce que cela veux dire que les pirates ont les même pourcentages de réussite que les vôtres? Ou bien possédez-vous un avantage par rapport à eux?

  • Philippe Humeau
    Philippe Humeau     

    Je pense, mais ca n'engage que moi, que l'ingénierie sociale est effectivement un des meilleurs vecteurs d'intrusion, encore plus depuis l'avènement des réseaux sociaux online où tout le monde dit tout et fait confiance à n'importe qui.

    Couplé l'IS à la technique c'est encore mieux, les effets sont synergiques et l'un décuple l'autre. Dans les tests de sécurité assez faciles on s'en sert peu mais dès qu'on attaque du très sécurisé, c'est une option qui est presque toujours de mise !

    Cartographier le réseau social de personnes clef ou utiliser des ingénieries social par mail, tout cela marche encore très bien. Le phishing se repère bien car c'est une IS très simple et générique mais dès qu'on personnalise l'attaque c'est redoutable.

    Enfin, très peu de personnes savent qu'il est simplissime de falsifier son identité par mail. Donc envoyer un mail de la part d'un patron à un employé de la boite c'est à la portée de tout le monde mais ca reste très efficace.

    On peut meme le faire avec outlook directement, créer un nouveau compte, lui donner le nom qu'on veut, l'email que l'on veut, la signature que l'on veut, ce n'est pas plus compliqué que ca. Par contre votre IP est visible dans les logs mais ca se contourne en envoyant d'un lieu publique. Bref, tant que les utilisateurs ne seront pas éduqués et formés, l'IS sera toujours un vecteur d'attaque très puissant.

  • Philippe Humeau
    Philippe Humeau     

    Désolé de mes réponses tardives, ce chat m'a tellement fatigué que j'ai pris des vacances ;-)

    Il est vrai que certaines approches d'ingénierie sociale, notamment les clefs USB et les livreurs de pizza sont devenues plus connues. Alors optons pour des variantes : "oubliez" votre clef USB dans une salle de réunion où vous présentez un produit révolutionnaire à l'entreprise ciblée. Un malin la récupérera et la branchera. Envoyez un mini CD promotionnel "cadeau" à l'entreprise, avec une soit disant base de données de prospection offerte, au service commercial.

    Bref, variez les plaisirs !

  • Jiken
    Jiken     

    Cette histoire de livreur de pizza est du social engineering?
    Est ce le moyen le plus sûr de rentrer dans le système d'une entreprise ou faut il combiner cette approche avec d'autres?

  • DroitDansLeMurEnBriques
    DroitDansLeMurEnBriques     

    Estime toi heureux de ne pas avoir la fouille approfondie qui nécessite une paire de gants....

    Dsl je sorts ^^

  • LUIS MARIO
    LUIS MARIO     

    ca fait la quatrieme entreprise ou les secretaires me déshabillent pour trouver la fameuse clé USB...livreur de pizzas métier devenu à risques!

Votre réponse
Postez un commentaire