Dire et répéter que la vulnérabilité des entreprises est proportionnelle à leur exposition au cyberespace est devenu un truisme. Tout le monde le dit, y compris les Béotiens.

Ce qui est intéressant, c’est lorsque certains expliquent comment ils ont fait pour couler (ou tenter) une entreprise. Hacking Team est un cas d’école.

Source.

Nous n’allons pas poursuivre le débat de savoir si ce que faisait Hacking Team était ou non éthique (l’entreprise s’en explique ici), mais nous allons nous concentrer sur ce qui a permis la quasi-réussite de l’opération. Selon les articles lus, il y a eu 6 étapes ou il aurait fallu suivre 10 commandements.

N’ergotons pas.

Que ressort-il de la confession de l’auteur ?

Être discret quand on mène une attaque. Bien sûr, c’est comme dans le monde réel. Enfin, il recommande de ne pas se connecter directement à Tor car « il y a déjà eu des attaques réussies » sur ce réseau. Mieux vaut donc passer par un réseau Wi-Fi tiers, comme celui de son voisin. De toute façon, quand on veut pirater une entreprise, il va bien falloir franchir la linge de l’illégalité. Donc autant commencer en faisant de son voisin un pigeon/ennemi/gogo.

Collecter des informations. Oui, cela permet de mener à bien la suite des opérations ou de la réitérer (on ne change pas une équipe qui gagne).

Trouver un 0 day, c’est effectivement pas mal, cela évite d’être décelé immédiatement, et puis ça se trouve ne vente (presque) libre. Ce qui permet par la suite de créer une brèche qu’on utilise à discrétion.

Devenir administrateur. Le graal, en effet.

Faire ses courses. Une fois que vous êtes là, vous avez quasiment gagné. Pourquoi seulement quasiment ? Parce que j’ajouterais une autre étape qui est réussir l’exfiltration. Pour cela, il y a abondance de moyens, mais l’exfiltration est toujours délicate.

Et à la fin, l’auteur se justifie ainsi : C’est la beauté et l’asymétrie du hacking : avec 100 heures de travail, une personne peut détruire des années de travail d’une entreprise qui réalise plusieurs millions de chiffre d’affaires. Le hacking donne à l’opprimé une chance de se battre et de gagner.

Comment se protéger ? Du grand classique que vous trouverez notamment ici, afin d’éviter :

Source.