Getty Images
John Strand fait irruption dans les choses pour gagner sa vie. En tant que testeur de pénétration, il est engagé par des organisations pour attaquer leurs défenses, aidant à révéler les faiblesses avant que les méchants réels ne les trouvent. Normalement, Strand se lance lui-même dans ces missions ou déploie l’un de ses collègues expérimentés à Black Hills Information Security. Mais en juillet 2014, se préparant pour un test au stylo d’un établissement correctionnel du Dakota du Sud, il a pris une décision résolument différente. Il a envoyé sa maman.
En toute justice, c’était l’idée de Rita Strand. Alors âgée de 58 ans, elle avait signé en tant que directrice financière de Black Hills l’année précédente après trois décennies dans l’industrie des services alimentaires. Compte tenu de son expérience professionnelle, elle était convaincue qu’elle pourrait se faire passer pour un inspecteur de la santé publique pour avoir accès à la prison. Tout ce qu’il fallait, c’était un faux badge et le bon bagout.
« Elle m’a approché un jour et m’a dit: » Vous savez, je veux entrer par effraction quelque part « », explique Strand, qui partage l’expérience cette semaine lors de la conférence RSA sur la cybersécurité à San Francisco. « Et c’est ma maman, alors qu’est-ce que je suis censé dire? »
Ce n’est pas un appel aussi facile qu’il y paraît. Les testeurs de pénétration disent toujours que vous pouvez aller incroyablement loin avec juste un presse-papiers et une certaine confiance, mais un novice exécuté dans un établissement correctionnel d’État est tout simplement intimidant. Et tandis que les testeurs sont autorisés par contrat à pénétrer dans les systèmes d’un client, s’ils sont pris, les tensions peuvent dégénérer rapidement. Deux stylos testeurs qui ont fait irruption dans un palais de justice de l’Iowa dans le cadre de leur travail ont récemment passé 12 heures en prison après une rencontre avec les autorités locales.
La mission de Rita Strand serait également compliquée par son manque d’expertise technique. Un stylo testeur professionnel serait en mesure d’évaluer la sécurité numérique d’une organisation en temps réel et de planter des portes dérobées adaptées à ce qu’il a trouvé sur le réseau spécifique. Rita a eu l’inspecteur de santé déguisé froid, mais elle n’était pas un pirate informatique.
Pour l’aider à entrer, Black Hills a fait à Rita un faux badge, une carte de visite et une carte de « manager » avec les coordonnées de John. En supposant qu’elle soit entrée à l’intérieur, elle prendrait ensuite des photos des points d’accès et des dispositifs de sécurité physique de l’établissement. Plutôt que de tenter de pirater elle-même des ordinateurs, John a équipé Rita de soi-disant Rubber Duckies, des clés USB malveillantes qu’elle brancherait sur tous les appareils qu’elle pourrait. Les clés USB seraient de retour à ses collègues de Black Hills et leur donneraient accès aux systèmes de la prison. Ensuite, ils pouvaient travailler à distance sur le côté numérique du stylo, tandis que Rita continuait son déchaînement.
« Pour la plupart des gens, les premières fois où ils font cela, ils sont vraiment mal à l’aise », explique Strand. « Mais elle était prête à partir. La cybersécurité en prison est cruciale pour des raisons évidentes. Si quelqu’un pouvait pénétrer par effraction dans la prison et prendre le contrôle de systèmes informatiques, il devient vraiment facile de sortir quelqu’un de la prison. »
Le matin du stylo test, les Strands et quelques collègues ont fait du covoiturage dans un café près de la prison. Au-dessus d’un rouleau de caramel préparatoire et d’une tranche de tarte aux pacanes, ils ont mis en place une salle de guerre d’ordinateurs portables, de points chauds mobiles et d’autres équipements. Quand tout a été réglé, Rita est partie seule pour la prison.
« Elle décolle, et je pense à l’arrière de ma tête que c’est une très mauvaise idée », a déclaré Strand. « Elle n’a aucune expérience de test de stylo. Aucune expérience de piratage informatique. J’avais dit: ‘Maman, si ça va mal, tu dois décrocher le téléphone et m’appeler immédiatement.' »
Les stylos testeurs essaient généralement d’entrer et de sortir d’un établissement le plus rapidement possible pour éviter d’éveiller les soupçons. Mais après 45 minutes d’attente, il n’y avait aucun signe de Rita.
« Cela peut prendre environ une heure et je panique », dit-il. « Et je pense que j’aurais dû y réfléchir, parce que nous sommes tous allés dans la même voiture, donc je suis au milieu de nulle part dans un magasin de tarte sans aucun moyen de l’atteindre. »
Soudain, les ordinateurs portables Black Hills ont commencé à clignoter avec de l’activité. Rita l’avait fait. Les clés USB qu’elle avait plantées créaient des soi-disant coquilles Web, ce qui permettait à l’équipe du café d’accéder à divers ordinateurs et serveurs à l’intérieur de la prison. Strand se souvient d’un collègue criant: « Ta maman va bien! »
En fait, Rita n’avait rencontré aucune résistance à l’intérieur de la prison. Elle a dit aux gardes à l’entrée qu’elle procédait à une inspection sanitaire surprise et qu’ils l’ont non seulement autorisée à entrer, mais l’ont laissée garder son téléphone portable, avec lequel elle a enregistré toute l’opération. Dans la cuisine de l’établissement, elle a vérifié les températures dans les réfrigérateurs et les congélateurs, a fait semblant de tamponner les bactéries sur les planchers et les comptoirs, a cherché des aliments périmés et a pris des photos.
Mais Rita a également demandé à voir les zones de travail des employés et les zones de pause, le centre des opérations réseau de la prison et même la salle des serveurs – tous prétendument pour vérifier les infestations d’insectes, les niveaux d’humidité et les moisissures. Personne n’a dit non. Elle a même été autorisée à errer seule dans la prison, ce qui lui a donné amplement le temps de prendre des photos et de planter ses canards en caoutchouc.
À la fin de l ‘«inspection», le directeur de la prison a demandé à Rita de visiter son bureau et de suggérer comment l’établissement pourrait améliorer ses pratiques de restauration. Elle a traversé quelques inquiétudes, informée par des décennies étant de l’autre côté des inspections sanitaires. Elle lui a ensuite remis une clé USB spécialement préparée. L’État avait une liste de contrôle d’auto-évaluation utile, a-t-elle dit au directeur, qu’il pourrait utiliser à l’avenir pour identifier les problèmes avant qu’un inspecteur ne se présente.
Le document Microsoft Word était entaché d’une macro malveillante. Lorsque le directeur de la prison a cliqué, il a par inadvertance donné à Black Hills l’accès à son ordinateur.
« Nous étions juste abasourdis », explique Strand. « Ce fut un succès retentissant. Et il y a beaucoup à tirer pour la communauté de la sécurité des faiblesses fondamentales et de l’importance dans la sécurité institutionnelle d’une autorité politiquement exigeante. Même si quelqu’un dit qu’il est inspecteur d’ascenseurs ou inspecteur sanitaire ou autre, nous devons faire mieux en posant des questions aux gens. Ne présumez pas aveuglément. «
D’autres testeurs de stylos soulignent que si l’histoire de Rita est exceptionnelle, elle reflète fortement leur expérience quotidienne.
« Les aspects physiques des choses et ce que vous pouvez affirmer sont incroyables. Nous faisons des travaux similaires tout le temps et nous nous faisons rarement prendre », explique David Kennedy, fondateur de la firme de test de stylos TrustedSec, qui a d’abord entendu une version abrégée de l’histoire de Strand à la conférence de sécurité de Derbycon, dirigée par Kennedy. « Si vous prétendez être des inspecteurs, des auditeurs, une personne d’autorité, tout est possible. »
En 2016, Rita est décédée d’un cancer du pancréas; elle n’a jamais eu l’occasion de faire un autre test au stylo. Strand a refusé de dire dans quelle prison sa mère s’était infiltrée, mais seulement qu’elle a depuis fermé. Mais ses efforts ont eu un impact. « La prison a amélioré la sécurité à la suite du test au stylo », explique Strand. « Je pense également que leur programme de santé a également été amélioré. »
Cette histoire est apparue à l’origine sur wired.com.
