Un chercheur en sécurité explique comment la mère d’un hacker a piraté le réseau informatique d’un établissement pénitentiaire du Dakota du Sud.
« Pentesteur ». C’est un titre d’emploi unique, bien sûr, mais pour John Strand, c’est une description précise de ce qu’il fait dans la vie. Les entreprises et les organisations embauchent des pirates éthiques comme Strand pour sonder leurs réseaux, testant leurs défenses avant que des individus ou des groupes malveillants puissent exploiter les vulnérabilités à des fins personnelles.
Strand effectue généralement ces tests par lui-même, mais comme il l’a partagé lors de la conférence RSA de la semaine dernière à San Francisco, pour un job en 2014, il a fait appel à un complice que la cible n’a jamais vu venir: sa mère.
Un établissement pénitentiaire du Dakota du Sud a fait appel à Strand pour tester sa sécurité numérique, mais il a envoyé sa mère Rita, 58 ans, à la prison. Se faisant passer pour un inspecteur de la santé de l’État avec de fausses informations d’identification, elle a pu s’infiltrer dans la prison sans éveiller les soupçons et brancher des «Rubber Duckies», des clés USB malveillantes, dans les ordinateurs de l’établissement.
Les clés ont été transmises à Strand et à ses collègues, leur donnant ainsi accès au réseau pénitentiaire.
De manière assez alarmante, Rita n’a rencontré aucune résistance. Elle a même pu entrer avec son téléphone portable et a été laissée errer dans la prison sans escorte. Pire encore, à la fin de son «inspection», le directeur de la prison l’a invitée dans son bureau pour discuter des moyens d’améliorer les pratiques de restauration. Elle a remis une autre clé USB malveillante avec une «liste de contrôle d’auto-évaluation utile», un document Word malveillant qui a permis à Strand d’accéder à l’ordinateur du patron.
« La cybersécurité en prison est cruciale pour des raisons évidentes », a déclaré Strand. «Si quelqu’un pouvait pénétrer par effraction dans la prison et prendre le contrôle de systèmes informatiques, il devient très facile de sortir quelqu’un de la prison.»
Plus inquiétant encore est le fait que des histoires comme celle-ci ne sont pas si rares dans la communauté des Pentesteurs. David Kennedy, fondateur de la firme de test TrustedSec, a déclaré au site Wired qu’ils effectuaient des tâches similaires tout le temps et se faisaient rarement prendre. « Si vous prétendez être des inspecteurs, des auditeurs, une personne d’autorité, tout est possible », a ajouté Kennedy.