Cet homme est payé pour mentir et manipuler : ce métier très utile est parfaitement légal
Le matin, il se mêle aux salariés, un café à la main, riant avec eux. Mais derrière cette apparente légèreté se cache un expert de l'intrusion et de la manipulation : un pentester. Jérémy Nedjar a cofondé, en 2023, la société L-Xploit Cyber Experts, spécialisée dans les tests d'intrusion. Sa mission : s'introduire dans des locaux d'organisations, à leur demande, pour mettre à l'épreuve la sécurité des systèmes d'information et la vigilance des salariés.
Jérémy Nedjar débute généralement ses missions en observant les habitudes des salariés pour mieux les manipuler. Il discute avec les fumeurs situés à l'entrée des bâtiments pour sympathiser avec eux. Progressivement, ils sont persuadés qu'il est lui aussi salarié de l'organisation. Il en profite alors pour leur demander de lui ouvrir la porte du bâtiment, prétextant qu'il a oublié son badge. Souvent, l'un d'eux lui rend ce service facilement.
Celui qui est aussi surnommé Santo dans la communauté des hackers connaît d'autres méthodes d'intrusion efficaces. Pour déjouer les contrôles de sécurité à l'entrée, il lui arrive d'enfiler un gilet jaune, de s'emparer d'un gros carton vide et de demander à des salariés situés à l'entrée du bâtiment : "Pouvez-vous m'ouvrir s'il vous plaît ? J'ai les mains pleines !".
Si cette manipulation ne produit pas l'effet attendu, il essaie de s'introduire dans les locaux grâce à un outil : le flipper zero. Celui-ci permet de copier des badges d'accès. "Je prends un grand gobelet de café fermé par un couvercle et y place le flipper zero. Je parle avec un salarié à l'entrée du bâtiment afin d'approcher le flipper de son badge pour qu'il le copie. Grâce à cela, je peux facilement entrer dans le bâtiment".
Une fois à l'intérieur du bâtiment, son défi est de compromettre le système d'information. Pour cela, il s'installe avec assurance devant un ordinateur, comme si sa présence y était normale. Plus sa présence dure, plus elle paraît légitime aux yeux des autres. Toutefois, il lui arrive de devoir la justifier : "Quand je m'installe à un ordinateur verrouillé et que j'essaie de contourner son mot de passe, le risque est que le salarié auquel il appartient me repère. Si cela arrive, je lui explique que je suis membre du service informatique de l'entreprise. Cette technique est efficace. Dans un aéroport pour lequel j'étais en mission, j'ai dit à une employée qu'on devait installer un logiciel sur son poste de travail. Elle m'a laissé accéder à celui-ci".
Devant l'ordinateur déverrouillé, le pentester n'a plus qu'à y insérer une clé USB malveillante pour tester la robustesse du système d'information. Il peut aussi chercher de dangereuses failles de sécurité. "Lors d'un test pour une prison, on a réussi à accéder au serveur en mode administrateur. Nous nous sommes aperçus que nous pouvions pirater la base de données des détenus ainsi que celle des visiteurs. Nous étions en capacité d'assimiler un détenu à un simple visiteur. Par ce procédé, nous aurions pu faire sortir tranquillement un prisonnier, sans hélicoptère et sans coups de feu."