Google a publié une série de vidéos documentaires sur YouTube appelée Piratage de Google.

Non, il ne s’agit pas d’une masterclass sur la violation des défenses de sécurité chez Google, mais plutôt d’un aperçu de la façon dont les équipes de sécurité au sein de Google protègent l’entreprise contre les cyberattaques: le groupe d’analyse des menaces, Project Zero et l’équipe rouge.

Ce dernier pirate en fait Google, ou tente de le faire, en utilisant les mêmes techniques que les vrais attaquants. Il y a six épisodes en tout, dont aucun ne dure plus de 20 minutes.

Ne chloroformez pas les agents de sécurité

Mon épisode préféré, parce qu’à vrai dire, je suis définitivement une personne de piratage pratique, est le troisième: Piratage de Google – Red Team. Cette vidéo de 17 minutes est un excellent aperçu de la façon dont cette équipe de sécurité particulière est employée par Google pour pirater Google de l’intérieur. Ne pensez pas que ces personnes passent leurs journées à effectuer des analyses de vulnérabilité ou à effectuer des tests d’intrusion ordinaires.

Publicité

Non, une équipe rouge peut jouer (presque) comme les vrais acteurs de la menace jouent. Le mémoire est assez large, essayant de compromettre la sécurité des produits et services Google par (presque) tous les moyens nécessaires. Alors, qu’est-ce qu’il y a avec le presque?

Eh bien, chaque organisation dictera la « portée » d’un tel exercice, et Google ne fait pas exception. Les règles d’engagement ici incluent ne rien enfreindre, pas d’accès aux données réelles des clients, pas de démantèlement d’aucun système, pas d’«attaques physiques » sur les bureaux d’Alphabet (la société mère de Google) et, euh, chloroformer les gardes de sécurité est également hors de question.

PLUS DE FORBESLe FBI cherche à calmer les craintes de piratage avant les élections de mi-mandat de 2022 aux États-Unis

Il est bon, cependant, pour les pirates de l’équipe rouge de Google de cibler les services et les appareils détenus et gérés par Alphabet et de mener des attaques d’ingénierie sociale sur d’autres Googlers tant qu’il n’y a pas d’intimidation, de corruption ou de menaces impliquées. Cela m’amène à mon récit préféré dont ils parlent dans ce documentaire court mais fascinant: l’attaque du globe plasma USB de 2012.

L’équipe rouge en action, piratant les Google Glass

Cela visait les autres Googlers dans le but de voir si l’équipe rouge pouvait accéder à leurs ordinateurs de travail. Comme la plupart des projets d’ingénierie sociale réussis, l’intrigue était simple: envoyer aux employés un cadeau pour leur anniversaire de travail. Je veux dire, c’est le genre de chose que beaucoup d’organisations pourraient faire, n’est-ce pas? Les cadeaux ici étaient de petits globes plasma USB. Ou, plus précisément, de petits globes plasma USB de marque Google avec un peu de logiciel malveillant pour installer une porte dérobée. Vous devez vous rappeler qu’il y a dix ans, les bureaux étaient à un pic USB, avec des travailleurs branchant tout et n’importe quoi sur leurs ordinateurs de bureau et portables.

S’attaquer aux Google Glass avec des globes de plasma

Apparemment, la plupart des employés de Google étaient suffisamment avertis en matière de sécurité pour ne pas brancher les appareils au travail, mais « deux ou trois personnes » l’ont fait. Et il suffit d’un compromis pour commencer un compromis potentiellement beaucoup plus grand, par le biais d’un mouvement latéral. En effet, c’est un point à retenir ici, car l’équipe rouge était en fait chargée d’accéder aux ordinateurs appartenant à l’équipe Google Glass (vous vous en souvenez ?).

PLUS DE FORBESLe logo Windows utilisé comme arme par des espions chinois APT10 soutenus par l’État dans des attaques en cours

Aucun des employés qui ont branché le globe ne travaillait avec Google Glass. Il s’agissait toutefois d’une première étape réussie dans une chaîne de mise à mort plus longue. Dès le compromis initial, l’équipe rouge a eu accès en tant qu’utilisateur privilégié et pouvait ensuite accéder à tout ce qu’elle pouvait dans ce rôle, y compris son compte de messagerie d’entreprise. Des courriels prétendant provenir des employés compromis, eh bien, ils l’ont fait à toutes fins utiles, ont ensuite été envoyés aux vraies cibles de l’équipe Google Glass.

Suffisamment de cibles ont ouvert les e-mails, ce qui a permis aux pirates de saisir suffisamment de données pour accéder au compte de quelqu’un qui avait accès aux plans techniques des Google Glass. Ou, pour le dire autrement, l’équipe rouge avait maintenant accès aux plans techniques des Google Glass, qu’ils ont téléchargés et ont conclu que le brief était complet.

Et aucun agent de sécurité n’a été blessé dans le processus.

PLUS DE FORBESLes pirates de Gmail ciblent les comptes Google – Voici comment les arrêter

Pensez comme un pirate informatique et résolvez le défi Hacking Google CTF

Si vous avez une chance, regardez non seulement l’épisode trois, mais les six. Même si vous n’êtes pas un passionné de sécurité comme moi, vous êtes probablement un utilisateur de Google. En tant que tel, vous êtes probablement également intéressé par la sécurité de vos comptes Google et de vos données Google, n’est-ce pas? Cet aperçu prolongé du cœur et de l’âme des équipes de sécurité de Google devrait vous laisser plus, et non moins, confiant dans la sécurité de ces données.

De plus, après avoir regardé les six vidéos, pourquoi ne pas entrer le Piratage du défi Google « capturer le drapeau » (CTF)? Il y a 24 énigmes à essayer de résoudre en pensant comme un pirate, en utilisant des indices qui sont laissés tout au long des vidéos elles-mêmes si vous pouvez les trouver. Bonne chance!

Rate this post
Publicité
Article précédentCritique : Maillot Gore Torrent | route.cc
Article suivantLord Larys Strong de House Of The Dragon est-il un Greenseer comme Bran Stark?
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici