Google a publié une série de vidéos documentaires sur YouTube appelée Piratage de Google.
Non, il ne s’agit pas d’une masterclass sur la violation des défenses de sécurité chez Google, mais plutôt d’un aperçu de la façon dont les équipes de sécurité au sein de Google protègent l’entreprise contre les cyberattaques: le groupe d’analyse des menaces, Project Zero et l’équipe rouge.
Ce dernier pirate en fait Google, ou tente de le faire, en utilisant les mêmes techniques que les vrais attaquants. Il y a six épisodes en tout, dont aucun ne dure plus de 20 minutes.
Ne chloroformez pas les agents de sécurité
Mon épisode préféré, parce qu’à vrai dire, je suis définitivement une personne de piratage pratique, est le troisième: Piratage de Google – Red Team. Cette vidéo de 17 minutes est un excellent aperçu de la façon dont cette équipe de sécurité particulière est employée par Google pour pirater Google de l’intérieur. Ne pensez pas que ces personnes passent leurs journées à effectuer des analyses de vulnérabilité ou à effectuer des tests d’intrusion ordinaires.
Non, une équipe rouge peut jouer (presque) comme les vrais acteurs de la menace jouent. Le mémoire est assez large, essayant de compromettre la sécurité des produits et services Google par (presque) tous les moyens nécessaires. Alors, qu’est-ce qu’il y a avec le presque?
Ne chloroformez pas les gardes de sécurité de Google!
Google (en anglais seulementEh bien, chaque organisation dictera la « portée » d’un tel exercice, et Google ne fait pas exception. Les règles d’engagement ici incluent ne rien enfreindre, pas d’accès aux données réelles des clients, pas de démantèlement d’aucun système, pas d’«attaques physiques » sur les bureaux d’Alphabet (la société mère de Google) et, euh, chloroformer les gardes de sécurité est également hors de question.
Il est bon, cependant, pour les pirates de l’équipe rouge de Google de cibler les services et les appareils détenus et gérés par Alphabet et de mener des attaques d’ingénierie sociale sur d’autres Googlers tant qu’il n’y a pas d’intimidation, de corruption ou de menaces impliquées. Cela m’amène à mon récit préféré dont ils parlent dans ce documentaire court mais fascinant: l’attaque du globe plasma USB de 2012.
L’équipe rouge en action, piratant les Google Glass
Cela visait les autres Googlers dans le but de voir si l’équipe rouge pouvait accéder à leurs ordinateurs de travail. Comme la plupart des projets d’ingénierie sociale réussis, l’intrigue était simple: envoyer aux employés un cadeau pour leur anniversaire de travail. Je veux dire, c’est le genre de chose que beaucoup d’organisations pourraient faire, n’est-ce pas? Les cadeaux ici étaient de petits globes plasma USB. Ou, plus précisément, de petits globes plasma USB de marque Google avec un peu de logiciel malveillant pour installer une porte dérobée. Vous devez vous rappeler qu’il y a dix ans, les bureaux étaient à un pic USB, avec des travailleurs branchant tout et n’importe quoi sur leurs ordinateurs de bureau et portables.
L’équipe Google Red a utilisé des globes de plasma USB infectés pour pirater des collègues
Google (en anglais seulementS’attaquer aux Google Glass avec des globes de plasma
Apparemment, la plupart des employés de Google étaient suffisamment avertis en matière de sécurité pour ne pas brancher les appareils au travail, mais « deux ou trois personnes » l’ont fait. Et il suffit d’un compromis pour commencer un compromis potentiellement beaucoup plus grand, par le biais d’un mouvement latéral. En effet, c’est un point à retenir ici, car l’équipe rouge était en fait chargée d’accéder aux ordinateurs appartenant à l’équipe Google Glass (vous vous en souvenez ?).
Aucun des employés qui ont branché le globe ne travaillait avec Google Glass. Il s’agissait toutefois d’une première étape réussie dans une chaîne de mise à mort plus longue. Dès le compromis initial, l’équipe rouge a eu accès en tant qu’utilisateur privilégié et pouvait ensuite accéder à tout ce qu’elle pouvait dans ce rôle, y compris son compte de messagerie d’entreprise. Des courriels prétendant provenir des employés compromis, eh bien, ils l’ont fait à toutes fins utiles, ont ensuite été envoyés aux vraies cibles de l’équipe Google Glass.
Suffisamment de cibles ont ouvert les e-mails, ce qui a permis aux pirates de saisir suffisamment de données pour accéder au compte de quelqu’un qui avait accès aux plans techniques des Google Glass. Ou, pour le dire autrement, l’équipe rouge avait maintenant accès aux plans techniques des Google Glass, qu’ils ont téléchargés et ont conclu que le brief était complet.
Et aucun agent de sécurité n’a été blessé dans le processus.
Pensez comme un pirate informatique et résolvez le défi Hacking Google CTF
Si vous avez une chance, regardez non seulement l’épisode trois, mais les six. Même si vous n’êtes pas un passionné de sécurité comme moi, vous êtes probablement un utilisateur de Google. En tant que tel, vous êtes probablement également intéressé par la sécurité de vos comptes Google et de vos données Google, n’est-ce pas? Cet aperçu prolongé du cœur et de l’âme des équipes de sécurité de Google devrait vous laisser plus, et non moins, confiant dans la sécurité de ces données.
Avez-vous ce qu’il faut pour terminer le Hacking Google CTF?
Google (en anglais seulementDe plus, après avoir regardé les six vidéos, pourquoi ne pas entrer le Piratage du défi Google « capturer le drapeau » (CTF)? Il y a 24 énigmes à essayer de résoudre en pensant comme un pirate, en utilisant des indices qui sont laissés tout au long des vidéos elles-mêmes si vous pouvez les trouver. Bonne chance!
