Salut à tous, aujourd’hui je vous propose une vidéo (à la fin de l’article) sur le PenTest Physique. Il s’agit d’une intervention faite au wild west hacking fest 2017. Dans les trucs à retenir :
- L’états d’esprit d’un pentest en informatique et d’un pentest physique sont exactement les mêmes.
- Personne ne crochète des serrures, si un attaquant doit en arriver là c’est plutôt un bon signe.
- Les clé standards : c’est le mal.
- Ne faite pas de câlins à un inconnu, même s’il est sympa… et encore plus si vous avez votre carte d’accès sur vous…
- Personne ne se méfie du gars qui répare les ascenseurs, en particulier s’il a un badge et un paperboard.
- On peut troller les hotlines des d’urgence des ascenseurs (mais ne le faites pas, c’est comme les services de secours, hein).
- Comme en informatique, tous les outils qui vont bien existent.
- Ne laissez pas trainez vos clés sur une voiturette de golf…
Bref, tout ça pour vous (re)dire que s’il est utile de se toucher la nouille toute la journée sur d’éventuelles zero-day et de patcher vos serveurs à tout bout de champs. Si votre salle machine a une issue de secours avec une porte … Lire la suite