Un consultant en scurit de Pen Test Partners indique qu’il est entr par effraction dans un centre de donnes, via un chemin cach derrire les toilettes

LinkedIn est la marque la plus usurpe par les cybercriminels et reprsente 52 % de toutes les attaques de phishing mondiales Il s'agit d'une hausse de 44 % par rapport au trimestre prcdent



De nombreuses failles de scurit impliquent des fuites, mais peut-tre pas de la mme manire que celle rvle par le clbre consultant en scurit Andrew Tierney, qui a russi obtenir un accs non autoris un centre de donnes via ce qu’il appelle le couloir de la pisse .

Tierney, qui travaille comme consultant pour la socit de services de scurit Pen Test Partners, a rvl dans un fil Twitter comment l’un de ses exploits les plus mmorables consistait dmontrer qu’il tait possible d’accder physiquement la zone suppose scurise d’un centre de donnes via ses toilettes.

En affichant un diagramme pour illustrer, Tierney a montr que l’installation sans nom avait des toilettes spares pour l’espace de bureau gnral et la zone scurise o l’infrastructure informatique est hberge. Cependant, les deux toilettes taient contigus et Tierney s’est rendu compte qu’il y avait en fait un espace d’accs partag pour desservir les toilettes derrire les deux ensembles de cabines, qu’il a baptis le couloir de la pisse.

Il s’est avr que cet espace d’accs pouvait tre atteint par une porte dissimule dans une cabine d’accessibilit – une cabine plus grande conue pour l’accs en fauteuil roulant – de chaque ct de la sparation scurise/non scurise. C’est donc exactement ce que Tierney a fait, en entrant dans les toilettes du ct de l’espace de bureau gnral et en accdant au couloir de la pisse via la cabine d’accessibilit, en sortant du ct suppos scuris de la mme manire.

Tierney omet de mentionner si les portes dissimules taient verrouilles pour empcher tout utilisateur curieux des toilettes d’entrer dans l’espace d’accessibilit, ou s’il devait crocheter les serrures pour entrer.

Le seul moment gnant aurait pu survenir si la cabine accessible du ct scuris avait t occupe lorsque Tierney a ouvert la porte dissimule, et il prtend donc qu’il ne l’a fait qu’aprs s’tre vraiment assur qu’il n’y avait personne d’autre dans l’autre cabine .

Ravi de son succs, Tierney a not qu’il venait de russir vaincre la protection de scurit du centre de donnes qui impliquait des portes d’entre mantrap o le personnel devait rendre tous les appareils numriques l’entre. Pire encore, la disposition des toilettes tait visible sur les documents de planification publique, ce qui signifie que n’importe qui aurait pu comprendre comment contourner la scurit.

La leon pour les oprateurs d’installations scurises est de faire trs attention ne pas tre pris de court avec des moyens aussi vidents de contourner les contrles de scurit physiques.

Source : Explications d’Andrew Tierney

Et vous ?

Qu’en pensez-vous ?





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.