Une fausse tasse à café, une pause cigarette, une fontaine connectée… Les techniques physiques des cybercriminels
La compromission de la sécurité physique d'un système d'information (SI) est une attaque régulièrement utilisée par les cybercriminels. Elle désigne toute situation où un attaquant accède physiquement à des équipements informatiques, des objets connectés et les locaux qui les hébergent pour attaquer un SI. Dans son rapport sur le coût d'une violation de données de 2024, IBM estime qu'elle représente 6% des attaques. Selon Guillaume Jicquel, directeur du département cybersécurité du bureau d'études GLI, elle est utilisée dans deux cas : "Quand la protection logicielle du système d'information ciblé est si robuste qu'il ne peut qu'être attaqué physiquement. Ou quand un Etat ou une organisation souhaite espionner une cible".
Ingénierie sociale et failles d'accès : les raccourcis vers l'attaque
Les cybercriminels pratiquent l'ingénierie sociale et exploitent les failles techniques pour s'introduire dans les locaux qui hébergent le SI à compromettre, observe Mickael Wajnglas, secrétaire général de Smart physical access control alliance, un consortium européen réunissant des acteurs de la sécurité physique et logique. Il précise : "En règle générale, les attaquants soudoient le personnel de l'organisation et compromettent les outils de sécurité physique électronique".
"Les attaquants adaptent leurs techniques en fonction du degré de maturité de la cible en termes de sécurité", précise le pentester Jérémy Nedjar. Pour cela, ils se renseignent sur le personnel de l'organisation ciblée grâce à des solutions d'open source intelligence et à de l'observation physique. Celui qui est aussi fondateur de L-Xploit Cyber Experts, une société spécialisée dans les tests d'intrusion, imite ces attaquants avec ses équipes : "Les deux premiers jours d'une mission sont consacrés à la reconnaissance physique : on vient tous les matins fumer des cigarettes avec le personnel devant les locaux de l'organisation pour sympathiser avec eux, observer leurs habitudes, regarder si des portes sont ouvertes, des caméras de vidéosurveillance et autres dispositifs de sécurité installés".
"Le troisième jour, les salariés de l'organisation testée nous prennent généralement pour des collègues. On leur dit qu'on a oublié notre badge et ils nous font entrer dans les locaux sans problème", poursuit le pentester. Toutefois, il arrive que cette technique d'ingénierie sociale échoue. Dans ce cas, "les attaquants se font par exemple passer pour des techniciens chargés de l'entretien de la climatisation ou de la réparation des ascenseurs", précise Mickael Wajnglas. En agissant ainsi, leur demande d'accès aux locaux est souvent acceptée par les membres de l'accueil. Ils peuvent aussi s'introduire dans l'infrastructure en passant par les parkings souterrains, car "il est souvent possible d'accéder aux étages supérieurs sans badge à partir de ceux-ci", affirme Jérémy Nedjar.
Les attaquants peuvent aussi accéder aux locaux en copiant les badges permettant d'y accéder. Pour cela, ils utilisent un flipper zero, qui est un outil de la taille d'une petite télécommande. Celui-ci est capable de capturer les données des badges. "On peut le placer dans un grand gobelet de café fermé par un couvercle comme ceux que fournissent Starbucks. Puis, une fois qu'on a sympathisé avec les salariés à l'entrée du site, on approche le gobelet de leur badge pour que le flipper récupère les données identifiantes", affirme Jérémy Nedjar. Le flipper zero copie ensuite ces données dans un badge vierge qui permettra aux attaquants de l'utiliser pour accéder aux locaux. Il leur est aussi possible d'arracher un lecteur de badge pour y brancher un analyseur de bus ou d'autres appareils. Ils récupèrent ainsi les données nécessaires pour créer des badges d'accès au site.
Du bureau au réseau
Une fois qu'ils ont réussi à s'introduire dans les locaux de l'organisation ciblée, les attaquants peuvent compromettre son SI par différents moyens. Le moins risqué est de déposer sur plusieurs bureaux des clés USB contenant un malware : "Il suffit qu'un seul employé la branche sur un ordinateur de l'organisation pour que le système d'information soit totalement compromis", observe Mickael Wajnglas. Ils peuvent aussi insérer eux-mêmes la clé USB dans un ordinateur. Et pour cause, "lors de nos tests, nous réussissons souvent à nous installer devant un ordinateur déverrouillé et avec beaucoup d'aplomb pour être le moins suspect possible. D'ailleurs, plus le temps passé devant l'ordinateur est long, moins l'on est suspect", affirme Jérémy Nedjar. Le pentester réussit aussi à s'installer devant un ordinateur déverrouillé en se faisant passer pour un membre de l'équipe informatique de l'organisation.
Lorsque l'attaquant dispose d'un accès physique à un poste de travail, il peut brancher une clé USB malveillante qui injecte un script à très haute vitesse pour installer une backdoor. Elle permet à l'attaquant d'accéder au SI de l'organisation à distance pour l'attaquer ou exfiltrer des fichiers vers un serveur externe. Un keylogger matériel ou logiciel peut aussi être installé pour permettre à l'attaquant de récupérer à distance l'intégralité de ce que saisit sur son clavier l'utilisateur légitime du poste de travail, comme ses identifiants de connexion, ses messages privés et autres informations sensibles.
Enfin, les attaquants peuvent compromettre des objets connectés mal configurés pour attaquer le SI de l'organisation ciblée : "Il est par exemple possible de sniffer l'intégralité du réseau grâce à une fontaine à eau connectée avec un câble RJ-45", affirme Jérémy Nedjar. Ce type d'attaque s'effectue grâce à des dispositifs installés sur le câble permettant de capturer toutes les données visibles (adresses IP, flux internes, etc.). L'attaquant utilise ensuite ces informations pour cartographier la partie du réseau à laquelle l'objet est connecté, repérer d'autres machines vulnérables, et tenter de rebondir sur d'autres segments du SI. "Dans un casino, un confrère a réussi à compromettre un thermomètre connecté d'un aquarium. Il était mal sécurisé avec des identifiants par défaut. Cela lui a permis d'accéder au réseau interne du casino, d'intercepter des requêtes des machines à sous et de modifier les montants crédités. Cela leur permettait de modifier le montant des requêtes jusqu'à 80 000 euros par jour."