Un aspect souvent délaissé
Ce projet, réalisé en black-box, nous a été confié avec pour seule information l’adresse physique de l’entreprise. Souvent négligée au profit des aspects de sécurité externe, la dimension physique d’un test d’intrusion est cruciale, car les attaquants contournent les défenses en place pour cibler directement l’infrastructure interne.
Des accès renforcés
En disposant de deux points d’accès permettant de s’introduire dans l’entreprise, une tentative a été bloquée par un utilisateur vigilant qui a immédiatement alerté le service informatique.
Le facteur humain décisif
Cependant, malgré des portes équipées de badges et des caméras de sécurité, notre approche a mis en évidence le point faible le plus critique : le facteur humain. En se présentant comme une personne pressée, au téléphone avec un badge reproduit (dont le modèle avait été récupéré sur les réseaux sociaux) attaché à la chemise, nous avons rapidement obtenu l’aide involontaire d’un employé qui nous a ouvert la porte.
Une fois à l’intérieur, des failles dans le contrôle d’accès au réseau nous ont permis de brancher discrètement un boîtier de rebond derrière une imprimante, rétablissant ainsi un accès à distance depuis notre infrastructure sécurisée.
Au total, en moins de 10 minutes, nous avons réussi à implanter un dispositif malveillant, conservant ainsi un accès discret derrière les systèmes de défense de l’entreprise.