Salut à tous, aujourd’hui je vous propose une vidéo (à la fin de l’article) sur le PenTest Physique. Il s’agit d’une intervention faite au wild west hacking fest 2017. Dans les trucs à retenir :
- L’états d’esprit d’un pentest en informatique et d’un pentest physique sont exactement les mêmes.
- Personne ne crochète des serrures, si un attaquant doit en arriver là c’est plutôt un bon signe.
- Les clé standards : c’est le mal.
- Ne faite pas de câlins à un inconnu, même s’il est sympa… et encore plus si vous avez votre carte d’accès sur vous…
- Personne ne se méfie du gars qui répare les ascenseurs, en particulier s’il a un badge et un paperboard.
- On peut troller les hotlines des d’urgence des ascenseurs (mais ne le faites pas, c’est comme les services de secours, hein).
- Comme en informatique, tous les outils qui vont bien existent.
- Ne laissez pas trainez vos clés sur une voiturette de golf…
Bref, tout ça pour vous (re)dire que s’il est utile de se toucher la nouille toute la journée sur d’éventuelles zero-day et de patcher vos serveurs à tout bout de champs. Si votre salle machine a une issue de secours avec une porte en carton pâte qui donne sur la rue… ne vous fatiguez pas trop non plus !
« Dans une chaine de sécurité, la résistance de la chaine est équivalente à celle du maillon le plus faible : Point de sécurité informatique sans protection physique. »
moa
Sur ce, je vous laisse à la vidéo (attention 45 min), et je vous dit à bientôt !
Bonjour,
C’est la vidéo de Video Underscore_ (Micode) qui m’a amené ici. Je ne connaissais pas du tout le concept de PenTest Physique.
Merci pour vos explications
Dans la pratique le pentest physique reste plutôt rare… C’est principalement du pentest en ligne ! Mais bon pour des sites industriels ça peut se révéler très intéressant !
Honnêtement je suis ton blog depuis le début , et franchement tu propose un contenue de qualité, qui fais que je reviens et recommande .
Bonjour et merci pour ce message ! Ça fait toujours plaisir de savoir que ce que j’écris est utile (ou intéresse ^^, au moins) à quelqu’un !
Ne pas hésiter pas à me contacter si besoin (le pire qui puisse vous arrivez c’est que je ne réponde pas).