Featured post

Connaître l’audit de sécurité interne : ce que vous devez savoir

Lorsque l’on parle attaque informatique, on pense souvent à un activiste ou un criminel assis devant son écran à l’autre bout de la planète… alors que la moitié des attaques implique des acteurs internes, selon le Insider Threat Report 2018. Ainsi, 58 % des sondés ont confirmé avoir subi une cyberattaque lié à la menace interne. Se protéger de l’intérieur contre ces attaques est donc tout aussi important que de se défendre contre l’extérieur.

Description

Audit de sécurité interne

Lors d’un audit de sécurité interne, les tests d’intrusion se font depuis l’intérieur de l’entreprise ou parfois via un VPN. Le plus souvent, les pentesters se déplacent dans les locaux de l’entreprise, amènent leur matériel et se mettent dans la configuration d’un attaquant interne.

Lire la suite

Comprendre les attaques par port USB

Les périphériques USB sont tellement pratiques. Lorsque l’on a besoin de stocker des petites quantités de données, nous utilisons une clé USB. Tout le monde en a une, et nous leur faisons confiance. Les clés USB sont l’un des moyens principaux pour faire de l’espionnage industriel, mais les attaques au hasard contre des civils et des entreprises sont également courantes.
Le rapport Honeywell 2018 sur les menaces USB pour les opérateurs industriels (en anglais) a analysé un échantillon de 50 sites. Energie, chimie, pâte et papiers, pétrole et gaz et autres secteurs industriels étaient concernés par l’étude. Parmi les sites ciblés, 44 % ont bloqué un fichier suspect venant de ports USB, et 15 % des menaces détectées et bloquées étaient des menaces de haut niveau, comme Stuxnet, Wannacry et Mirai.

Attaques par port USB

Une expérience conduite sur le campus de l’université Illinois Urbana-Champaign en 2016 a montré que sur les 297 clés USB déposées dans l’université, les étudiants et membres du personnel en ont ramassé 98 %.  Pour près de la moitié des clés ramassés, quelqu’un les a branchées et a cliqué sur un fichier. Un sondage est ensuite mené auprès des personnes ayant utilisé les clés USB. 68 % des répondants n’ont pris aucune mesure de sécurité en branchant la clé USB. 68 % déclarent avoir pris un périphérique pour le redonner et 18% l’ont pris par curiosité. Cette étude montre à quel point un simple périphérique USB peut être dangereux.

Lire la suite

Pentest IoT : 10 types de tests hardware et software

La sécurité des objets connectés est un sujet d’actualité, cependant les tests d’intrusion IoT sont encore loin d’être une pratique généralisée. La plupart des constructeurs priorisent d’abord les fonctionnalités et le design du produit. Cependant, même avec une approche « security by design », le test d’intrusion reste incontournable pour connaître les risques de sécurité réels, puis pour prendre les mesures nécessaires.

Pentest Internet of Things : 10 types de tests hardware and software

Qu’est-ce qu’un pentest IoT ?

Un objet connecté est une solution complexe, avec différents points d’entrée potentiels pour un attaquant. Un audit de sécurité d’objet connecté (ou pentest IoT) comprend des tests sur l’ensemble de l’écosystème de l’objet, c’est-à-dire : la couche électronique, le logiciel embarqué, les protocoles de communication, le serveur, les interfaces web et mobiles. Les tests côté serveur, interfaces web et applications mobiles ne sont pas spécifiques à l’IoT, cependant ce sont des tests importants, car il s’agit de pans particulièrement à risques. Les tests côté électronique, logiciel embarqué et protocoles de communication concernent des vulnérabilités plus spécifiques à l’IoT.

Il existe trois types d’attaques spécifiques sur les objets connectés et les systèmes embarqués. Les attaques software, les attaques hardware non invasives et les attaques hardware invasives. Les premières profitent des failles logicielles, les secondes récupèrent des informations du hardware sans l’endommager tandis que les dernières impliquent l’ouverture des composants et donc leur destruction pour pouvoir en tirer des secrets. Si les deux premiers types d’attaques ne nécessitent pas beaucoup de moyens, ce n’est pas le cas des attaques invasives pour lesquelles des équipements très coûteux sont nécessaires.

Voici dix types de tests concrets conduits lors de l’audit de sécurité d’un objet connecté, illustrés par quelques exemples médiatisés et emblématiques. Pour chaque point abordé ci-dessous, il existe de nombreux outils et méthodes qui profitent de failles très diverses. Il s’agit donc d’une liste non exhaustive.

Lire la suite