Jason E. Street est un spécialiste en test d’intrusion qui a découvert et aidé à résoudre des failles de sécurité dans de nombreuses banques autour du monde. Toutefois, même les professionnels les plus réputés peuvent commettre des erreurs.
Un jour, Street a été engagé pour exécuter une formation de sensibilisation à la sécurité dans une banque à Beyrouth.
Cette formation de sensibilisation peut être décrite comme une atteinte à la sécurité physique stimulée qui vise à développer la sécurité de l’établissement en sensibilisant le personnel aux dangers existants et aux façons de les affronter.
Comment le fait-il ?
“Je n’ai pas besoin de contourner le pare-feu si j’arrive à contourner votre réceptionniste”.
Jayson E. Street
Afin de comprendre ce que Street fait et comment il le fait, nous pouvons retourner en arrière, quelques années avant qu’il n’a gâché de travail d’une banque à Beyrouth.
En 2013, Street a complété avec succès la formation à la banque de Beyrouth.
L’épreuve était de tester la sécurité des 3 différentes branches de la banque et de trouver l’identifiant de l’utilisateur, le mot de passe, une carte à puce et un accès au réseau afin de réussir la mission.
Cependant, les techniques principales que Street a employées dans son travail lui ont confié la validité et la confiance des employés, des responsables et des directeurs – ils ont peut-être même ignoré ses techniques. Comment ?
Par exemple, lorsqu’il est entré dans la première branche avec confiance, il s’est précipité vers le bureau du directeur, sans se retourner vers les responsables. Il s’est mis devant la porte pour quelques minutes, sans rencontrer le directeur, avant de retourner au bureau des responsables comme s’il savait très bien ce qu’il faisait.
Ensuite, il a dit à une responsable qu’il avait besoin de jeter un coup d’œil sur son ordinateur parce qu’il effectuait un audit, tout en basculant des termes techniques pour prouver sa légitimité.
La responsable, qui a automatiquement relié son arrivé du bureau du directeur, validité et sa légitimité, lui a permit de brancher sa clé USB Rubber Ducky (une clé USB programmable utilisée pour le piratage qui est capable de causer de gros dégâts) sur son ordinateur.
Bien que dans ce cas, le Rubber Ducky de Street était uniquement programmé pour ouvrir un bloc-notes ; vu que ce n’était pas un vrai cambriolage ; il a fragilisé la sécurité de la banque. Street avait à peine commencé.
À ce moment, on l’a supposément vu au bureau de directeur ainsi qu’au bureau de l’un des responsables ce qui a augmenté sa validité dans les yeux du personnel.
Il a piraté ensuite l’ordinateur d’un autre responsable et celui de toutes les personnes au guichet – en deux minutes et demie après qu’il est entré dans la banque pour la première fois dans sa vie.
Après qu’il ait pratiquement cambriolé la banque, il a rassemblé le personnel pour leur raconter ce qu’il a venait de faire.
Il a expliqué à quel point ils ont été piraté et les a ensuite sensibilisés sur les méthodes préventives.
Street a reproduit la même simulation dans les deux autres branches tout en révélant les identifiants des utilisateurs, les mots de passe, les cartes à puce et la preuve de l’accès aux réseaux. Les responsables étaient stupéfiés.
Le moment où ça a mal tourné
Quelques années plus tard, Street est retourné à Beyrouth de nouveau et a contacté la banque où il était supposé exécuter une formation de sensibilisation à la sécurité. Il a raconté son histoire lors d’un épisode de Darknet Diaries.
Lorsqu’il est arrivé, il avait besoin d’utiliser les toilettes. Il est monté au deuxième étage, supposant (selon son expérience) que les toilettes étaient là-haut.
Une fois de retour à l’étage, il a aperçu 2 personnes qui travaillaient dans un bureau. Il s’est rapproché d’eux prétendant qu’il était un envoyé de Microsoft, tout en leur montrant un faux badge. Ainsi, il a commencé son travail.
Il a branché son Rubber Ducky sur leur ordinateur et aurait dû terminer son travail directement, vue que pirater un seul était suffisant pour s’emparer du system complet.
Mais il voulait inclure chaque employé dans cette expérience afin qu’ils retiennent la leçon. De ce fait, il continua à pirater le reste des ordinateurs.
En plein piratage, une personne s’est rapproché de lui et lui a demandé qu’il faisait. Street lui a redit qu’il travaillait pour Microsoft et qu’il effectuait un audit.
Il lui a même montré l’email du directeur administratif et financier (DAF) de la banque sur un iPad qu’il avait sur lui. Cette méthode était une autre façon de promouvoir sa légitimité. En effet, l’email l’autorisait à travailler, mais ce dernier était erroné aussi.
L’homme a informé Street qu’il avait besoin de l’autorisation de ses superviseurs. Ainsi, le hacker leur a montré l’email sur son iPad. Toutefois, il ne s’attendait pas à entendre ce qu’on lui a dit.
“Cet email revient à la banque d’à côté. Que faisiez-vous ici et qu’avez vous branché sur nos ordinateurs ?”, lui a demandé le superviseur tout en le prenant par surprise.
Street a réalisé qu’il cambriolait la mauvaise banque. Il a paniqué et les seuls mots que sont ressorti de lui sont : “Quelle malchance… Je ne suis pas supposé être ici”.
Street se tenait à ce moment dans le bureau du directeur et parmi le personnel frustré.
Il a essayé de les convaincre que sa clé USB était inoffensive et qu’il était simplement en train d’effectuer son boulot. Il leur a même demandé de le rechercher sur Google, mais en vain.
En ce moment, il a cru que brancher sa clé USB sur l’ordinateur du directeur serait une bonne idée.
Dès qu’il a établi son plan, et un bloc-notes est apparu sur l’écran, mais Street a tout de suite réalisé que son idée n’a pas plu aux autres vue la tête qu’ils faisaient.
Ils ne voyaient qu’un intrus qui venait de pirater un autre appareil ; celui du directeur.
Pendant ce temps, le dirigeant qui avait embauché Street afin d’effectuer ces opérations, était à sa recherche vu qu’il s’était retardé.
Celui-ci l’a finalement retrouvé et a expliqué au personnel de la banque ce qui s’était passé.
On a ordonné Street de se diriger vers le bureau principal afin qu’on s’assure que ses outils étaient inoffensifs. Nerveux, il a rejoint l’adresse sous escorte.
Là-bas, il a passé 4 heures dans le département de sécurité : deux heures pour une interrogation, et deux heures pour effectuer l’entraînement après qu’ils se soient assurés de lui et de son Rubber Ducky sur Google.
Jayson E. Street a eu la chance de quitter le Liban sans subir de graves répercussions juridiques.
Il a également fini par exécuter la formation à la banque initiale dans laquelle il était censé entrer, et l’opération a été couronnée de succès.