Test de robustesse

Objectifs

Test de robustesse

Le test de robustesse a pour objectif premier la vérification de l'étanchéité des informations inscrites sur un support amovible ou sur un périphérique (fixe ou mobile).

Ce test simule principalement l'accès à un périphérique (laptop, smartphone, tablette) par un attaquant externe, par exemple, à l'issu d'un vol ou d'une intrusion physique dans des locaux d'entreprise. Il permet de fait d'avoir une vision précise de ce à quoi peut avoir accès un tiers malveillant dans les situations précédemment citées.

Seront donc notamment validés ou invalidés les points suivants :

  • Chiffrement des supports de stockage
  • Robustesse de l’authentification
  • Verrouillage de l’accès au BIOS
  • Mises à jour des systèmes
  • Fonctionnement de dispositifs d'auto effacement après un vol
  • Protection de l'accès à toute ressource sensible, même lors d'une prise de contrôle à chaud
Demande d'informations

Méthodologies

Lors des tests de robustesse, nous mettons en œuvre tout notre savoir-faire afin de tester un maximum de points pouvant conduire à l'extraction d'informations sensibles, au contournement des mécanismes d'authentification en place ou à la compromission d'un dispositif.

Lors de la première phase, les tests comme la détection de compte faibles ou la détection d'authentification sont effectués manuellement.
Vient ensuite une seconde phase où nous utilisons de multiples outils dédiés. Les outils utilisés pour cette prestation sont en grande majorité libres, mais certains outils payant peuvent être utilisés en cas de besoin, la liste suivant n'est pas exhaustive :

  • KonBoot ;
  • OphCrack ;
  • Inception ;
  • John The Ripper

Enfin, lorsque les outils cités n'ont pas amené de résultats concluants, nous nous documentons sur les publications de chercheurs en sécurité informatique ou disponibles dans l'actualité afin de construire une attaque spécifique sur un système.
Une partie de l'emploi du temps des consultants Sysdream étant réservée à la veille technologique et à l'entretien de techniques d'exploitation peu communes, l'efficacité de cette dernière phase devient accrue.


Livrables

Le livrable fournit dans un premier temps une éventuelle liste de vulnérabilités que le consultant aura mis en évidence durant la prestation. Au-delà de mettre en évidence des points techniques perfectibles, cela permet d'améliorer la cohérence globale en détaillant les différentes étapes pouvant être chaînées pour mener à terme une extraction de données ou une compromission.
Chaque point technique incriminé fait l'objet d'une analyse et des protections idoines sont proposées.

Une conclusion générale est finalement émise sur la globalité de la prestation : seront notamment rappelés les objectifs attendus en termes de sécurité, mais également les besoins spécifiques à chaque cas. Le niveau de conformité par rapport à la politique de sécurité est mesuré, ainsi que la pertinence de la politique elle-même.
Elle rappellera finalement quelles informations ont pu être accédées, et si une intrusion technique a pu avoir lieu.


Cas d'études

Un grand groupe de prestations de services d'audit fiscaux et de conseil emploie 6 000 personnes en France. La moitié du personnel occupe un poste géographiquement fixe dans trois métropoles françaises (Paris, Lyon et Bordeaux). L'autre moitié regroupe entre autre des experts comptables et des consultants. Ces derniers suivent un emploi du temps variable en fonction des contrats et alternent donc sur des missions en itinérances et des missions réalisables dans les locaux de la maison mère.

Les locaux disposent au cumulé d'un parc de 4200 machines fixes, et d'un lot de 2000 ordinateurs portables réservés aux profils itinérants. En fonction des besoins du personnel itinérant, l'entreprise met également à disposition des téléphones portables professionnels pour faciliter l'accès aux mails ainsi qu'à l'emploi du temps.

La sécurité physique du siège de l'entreprise est bonne, mais vous avez des doutes sur celle de Lyon. Vous aimeriez également avoir une vision précise des conséquences qu'aurait un vol d'équipement auprès d'un de vos profils itinérants (téléphone portable et ordinateur portable). Vous faites appel à nos services et nous faites part de nos besoins.

La prestation se déroule alors en deux phases :

  • une phase sur site, où le consultant sera placé face une machine d'entreprise, sans connaissance particulière sur les technologies utilisées et sans identifiants ;
  • une phase hors-site, où le consultant sera chargé de travailler sur les périphériques que vous désirez tester.

Afin que les résultats soient au maximum en accord avec la réalité, il est important que les périphériques sur lesquels nos consultants vont travailler aient été configurés exactement de la même manière que vous un employé réel, voir que ceux-ci intègrent de la donnée métier, même fausse. Cela permet de valider précisément si les objectifs ont été atteints ou non.

Attaque sur les ordinateurs fixe et portables

La première phase, et celle-ci sera commune à toutes les tests de robustesse, va consister en l'identification précise du type de système utilisé et des mécanismes qui protègent l'accès aux informations ou aux fonctionnalités avancées : BIOS, authentification, chiffrement etc.
Les machines généralement testées fonctionnent sur une architecture de domaine Windows, il est donc impossible de s'authentifier sans connaître d'identifiants du domaine. Il peut néanmoins arriver que des comptes locaux ou de tests soient présents de manière durable sur certains postes, nous nous assurons que ce genre de compte n'est pas présent avec un mot de passe faible.
Si un tel compte venait à être découvert, il deviendrait alors capital de réaliser une élévation de privilège verticale afin de compromettre la confidentialité des informations manipulées par le système d'exploitation et ainsi extraire les données métiers stockées sur la machine.

Le prochain objectif est le démarrage sur un support alternatif afin de pouvoir monter la partition du disque principal et lire ses informations. Cette étape nécessite une configuration particulière dans le BIOS, l'accès à celui-ci sera donc également testé.
Le démarrage sur un support alternatif ne peut avoir lieu que si l'ordre de démarrage le permet, ordre qu'il est impossible de modifier sans accès au BIOS. Certaines machines d'entreprises ayant un mot de passe configuré pour l'accès à celui-ci, l'objectif devient le contournement de cette authentification. Il est également possible de tester plusieurs mots de passe faibles mais la majorité des BIOS modernes se verrouillent au-delà de quelques tentatives échouées.
La rétro-ingénierie de BIOS étant une discipline prisée par certains chercheurs en sécurité, des outils et articles sont régulièrement publiés sur le sujet. Ainsi, il existe publiquement des outils capables de générer, en fonction du modèle de la machine, des clés de déverrouillage valides qui permettent de récupérer l'accès au BIOS lorsque celui-ci est verrouillé pour les raisons cités dans le précédent paragraphe. Que le consultant ait réussi ou non à démarrer sur un support alternatif, différentes attaques physiques sont ensuite réalisées.

Attaques physiques

Une attaque physique qui sera systématique réalisée sera le démontage du disque dur pour le monter en support amovible sur un autre système d'exploitation. En l'absence de chiffrement, les données n'étant pas stockées un conteneur protégé type TrueCrypt pourront être accédées. Outre l'accès à l'information métier, différents tests seront déroulés sur les informations techniques comme la robustesse des mots de passe contenus dans le fichier d'empreinte de ceux-ci. Si jamais des identifiants venaient à être extrait, la validité de ceux-ci sur différents points d'entrée pourra l'objet d'un test à part entière (webmail, VPN, etc.)
Si un port FireWire est présent sur la machine, une attaque DMA (Direct Memory Access) avec des outils comme Inception pourra être menée afin de contourner l'authentification.

Attaque sur le téléphone mobile

Les tests déployés sur ce genre de périphériques sont intimement liés au type de matériel et de système d'exploitation ciblé. Il est néanmoins possible d'identifier trois étapes récurrentes sur les tests de téléphones mobiles :

Le contournement d'authentification

Le contournement d'authentification va consister en la réalisation de plusieurs tests connus afin d'obtenir un accès normal au téléphone (une série d'actions à réaliser, comme des touches particulières à maintenir, des menus à afficher/cacher etc.) Le succès des tests dépend du niveau de mise à jour des équipements.

L'élévation de privilèges horizontale ou verticale

Lorsqu'un accès au téléphone à pu être obtenu, les élévations de privilèges vont permettre d'étendre le contrôle sur le périphérique ou la récupération d'informations techniques comme des mots de passe systèmes ou applicatifs.

L'extraction de données

L'extraction de données est l'aboutissement des tests sur téléphone portable, elle peut être tentée via un accès (normal ou étendu) au téléphone ou bien sans accès avec des logiciels adéquats.