Un hacker éthique est parvenu à s’infiltrer dans un Data Center en passant par les toilettes. Il raconte cette expérience insolite sur Twitter, afin de rappeler à quel point la sécurité physique est aussi importante que la cybersécurité.
La moindre faille de sécurité peut causer une fuite de données. Les entreprises pensent souvent à la sécurité de leurs systèmes informatiques, mais les cyberattaques peuvent aussi prendre place dans le monde réel. Et les hackers peuvent même passer par les toilettes.
C’est ce que révèle le consultant Andrew Tierney, qui est parvenu à accéder à un Data Center sans autorisation en passant par le petit coin. Ce hacker éthique de l’entreprise Pen Test Partners a raconté sur Twitter comment il a réussi ce test d’intrusion peu ordinaire.
Comme l’explique Tierney avec un diagramme, le Data Center avait des toilettes séparées pour les bureaux et pour la zone sécurisée où l’infrastructure IT était hébergée.
One of my favourite physical access jobs to a datacenter involved toilets.
Let me explain.
I needed to gain access from the less-secure side of a sub basement floor to the more-secure side.
General office space to data centre. pic.twitter.com/5C4yXD1Yeq
— Cybergibbons 🚲🚲🚲 (@cybergibbons) July 4, 2022
Toutefois, ces deux toilettes étaient adjacentes. En y regardant de plus près, l’expert s’est aperçu qu’il y avait un accès partagé pour l’entretien des toilettes qui passait derrière les deux ensembles de cabines.
Or, cet espace était accessible par une porte cachée dans la cabine pour handicapés… dans les deux toilettes. Ainsi, Tierney n’a eu qu’à entrer dans les toilettes du bureau et accéder au couloir via la cabine pour handicapés et sortir du côté « sécurisé ».
L’expert ne précise pas si les portes cachées étaient ouvertes, ou s’il a dû crocheter la serrure. Il ne mentionne pas non plus si les toilettes du Data Center étaient occupées lorsqu’il a fait irruption, ce qui peut être embarrassant.
Ironiquement, le Data Center était censé être hautement sécurisé. Au portail d’entrée, le personnel devait par exemple déposer tous ses appareils numériques.
Pourtant le passage secret des toilettes était facilement accessible, et n’importe qui pouvait voir la disposition sur le plan disponible publiquement. N’importe quel hacker aurait donc pu découvrir cet accès caché en étudiant un peu le plan.
Quand le cybercrime passe par le monde réel
En conclusion, il est essentiel pour les opérateurs de Data Centers de penser à tout. Le moindre accès oublié, même le plus incongru, est potentiellement exploitable par les criminels.
Or, à l’heure du Cloud, les Data Centers hébergent des données hautement sensibles et confidentielles. Certaines fuites de données pourraient avoir des répercussions financières colossales, des conséquences diplomatiques ou nuire à la sécurité nationale.
La cybersécurité du Cloud et des Data Centers s’améliore, mais les cybercriminels redoublent d’ingéniosité et n’hésitent pas à passer par le monde réel. Il est par exemple possible pour un hacker de s’arranger pour faire boire l’employé d’un Data Center rencontré dans un bar de façon faussement fortuite.
Dès lors, le malandrin n’a plus qu’à profiter de ce moment de faiblesse pour s’emparer d’une clé USB ou d’un ordinateur portable. Il peut y trouver les identifiants permettant d’accéder au réseau et déployer un malware.
Les cybercriminels utilisent aussi l’ingénierie sociale, et notamment les techniques de phishing ou de hameçonnage. En usurpant l’identité d’un tiers de confiance, il est possible d’extorquer de l’argent ou de soutirer les identifiants d’un employé peu vigilant.
Par exemple, un hacker a utilisé un Deep Fake pour se faire passer pour le patron d’une entreprise et dérober des millions à un employé en exigeant un virement urgent. Une grande partie des fuites de données sont causées par des erreurs humaines…
https://www.youtube.com/watch?v=kd33UVZhnAA
- Partager l'article :