«Quand j’ai placé mon smartphone sur le lecteur de badge, il s’est passé deux secondes interminables. Puis la porte s’est ouverte. Depuis le parking de la banque, on a ainsi pu pénétrer dans la bâtisse. On a pris l’ascenseur, grimpé aux étages, jusqu’à atteindre celui du grand patron. Ensuite, on a branché notre implant espion, une sorte de mouchard numérique, dans un open-space, sous un bureau. On s’est accordé une petite pause à la machine à café, en toute tranquillité. Et puis on s’est pris en photo pour prouver qu’on avait atteint notre premier objectif. Enfin, on est reparti et on est allé déjeuner avec un responsable de la banque pour lui expliquer ce qu’on avait fait.
L’après-midi, on a retenté le coup dans une agence, mais avec une autre méthode. Ce coup-là, on avait usurpé l’adresse email du responsable de la sécurité. En son nom, on avait envoyé un message à la directrice de l’agence pour la prévenir que deux auditeurs allaient venir faire des tests de sécurité et qu’il fallait leur ouvrir la porte de la sacro-sainte salle des serveurs. Problème : on ne parle pas un mot d’espagnol. Pour préparer notre arrivée, on avait donc appris par cœur une phrase qui disait «Bonjour, nous sommes ici pour effectuer des tests sur votre réseau. Vous avez reçu un email de votre responsable de sécurité».
Au début, ça s’est bien passé. La fille est allée vérifier sur son ordinateur, puis nous a ouvert les portes de la salle des serveurs. C’est ensuite que les choses ont mal tourné. Elle a voulu prévenir son chef qu’on était bien arrivés, en composant le numéro de téléphone dans l’email qu’on lui avait envoyé. Bien sûr, on avait prévu le coup : à la place du numéro de portable de son patron, j’avais glissé le mien. Et donc, on venait tout juste de s’installer dans la salle des serveurs, je reçois ce coup de fil sur mon portable et je repère immédiatement le numéro de téléphone de la directrice que j’avais enregistré. Elle est dans le bureau derrière-moi, je préfère ne pas répondre oralement, d’autant que je ne parle pas espagnol. Je réponds par SMS : "C’est à quel sujet, il y a un problème ?" Pas de réponse.
Le temps passe et on voit des gens passer dans le couloir, se diriger vers la sortie, puis on se retrouve seuls dans l’agence. Jusqu’à ce que les policiers débarquent, quelques minutes plus tard pour nous mettre les menottes…
La directrice avait fini par comprendre qu’un truc clochait, et faute d’avoir le big boss de vive voix, elle avait appelé un adjoint, qui n’avait jamais eu vent de ce supposé audit. Et qui savait très bien que son patron n’aurait jamais pu envoyer de SMS vu qu’il était à l’hôpital sur la table d’opération au moment où on venait d’entrer dans la salle des serveurs !
Ça faisait près de 3 semaines qu’on était sur cette mission, on avait fini par se faire repérer, tout près du but. Heureusement, notre commanditaire est intervenu, pour éviter que notre aventure se termine derrière les barreaux. On a même pu recommencer dans une autre agence, et cette fois on est parvenus à nos fins. Et pendant ce temps-là, depuis Paris, des collèges de Synacktiv avaient fini par pénétrer le serveur central de la banque. Ils avaient même trouvé le moyen d’effectuer des virements. Mission accomplie. Grâce aux rapports que nous leur avons communiqués, notre client a pu colmater ses failles de sécurité. Et moi, j’ai fait de gros progrès en espagnol !».
Ne manquez pas notre article consacré aux cyber-chasseurs de primes, ces hackers éthiques qui gagnent leur vie en débusquant les failles de sécurité informatique. Une enquête à lire dans le nouveau numéro du mensuel Capital, disponible dès aujourd'hui en kiosque.
- Accès à tous les articles réservés aux abonnés, sur le site et l'appli
- Le magazine en version numérique
- Navigation sans publicité
- Sans engagement
