L’origine du terme Red Team
Le terme est reconnu pour avoir été développé lors de la Guerre froide par le camp américain pour faire face aux ennemis du bloc soviétique. Le concept est globalement simple à décrire, ce terme militaire désigne ceux qui ont pour but d’attaquer leur propre camp, la “red team” pour évaluer les tactiques existantes et les capacités défensives de la “blue team”. L’intérêt est de prendre en compte les résultats de cette expérience et agir en fonction des faiblesses en sécurité perçues afin de les renforcer.
En cybersécurité
Le concept reste considérablement le même dans le secteur de la cybersécurité, seuls les moyens se distinguent. L’entreprise que l’on peut associer à la “blue team” va réclamer notre aide en tant que “red team” pour attaquer l’entreprise de l’extérieur ou l’intérieur et cela par quasiment tous les moyens existants (il existe une certaine limite!). Le résultat final escompté est de déceler les failles existantes, dysfonctionnement au sein de la sécurité actuelle de l’entreprise afin de faire prendre conscience à l’entreprise ses besoins à ce sujet. Il est souvent mené ultérieurement des modifications, par le biais de l’agence de cybersécurité sur le parc informatique de l’entreprise.
La méthode d’action généralement suivie:
La phase d’observation:
Une des phases la plus importante est de collecter des informations sur la cible de l’attaque, en entreprise les moyens d’approche sont nombreux, exemple les employés ciblés peuvent être observés et/ou atteint par des moyens tels que Facebook, Linkedin, Twitter,… Il est ainsi possible de soutirer des informations à propos de l’entreprise, de son environnement, de ses employés assez aisément.
Préparation:
La préparation peut recourir à de nombreuses formes, les stratégies et moyens sont pensés suivant le client et ses caractéristiques d’organisation. Les supports créés pour soutirer des éléments au client peuvent prendre la forme d’un site de phishing, fausse campagne de mail, par téléphone ou encore par une intrusion physique.
Le lancement:
Les membres de la Red team lancent l’opération. Ils recueillent les éléments nécessaires à sa réussite. Cela peut consister à de l’ingénierie sociale, le doublage des badges d’accès, la recherche de vulnérabilités techniques ou bien encore du crochetage.
Exploitation:
C’est le moment crucial, il s’agit de “pénétrer” l’entreprise. Cela peut prendre différentes formes, infiltrer les serveurs, réseaux ou locaux ; éviter les contrôles physiques (caméras, portes, fenêtres,…) ou encore profiter de l’ingénierie sociale réalisé au préalable. Ceci va permettre l’étape suivante.
Implantation:
Le but est de rester implanté dans les systèmes de l’entreprise attaqué, cela s’opère majoritairement de manière technologique et non physique. L’intérêt est de garder une vision sur l’activité et de pivoter au sein de l’entreprise.
Phase de retour sur objectif:
L’ultime phase de la mission Red Team. Il est rendu un rapport au client vis-à-vis de l’expérience et des failles détectées par rapport aux objectifs initiaux.
Pour aller plus loin, la purple team. Cette méthode consiste en la coopération en continu des red et blue teams afin d’avoir des retours et axes d’amélioration continus.
Les points de vulnérabilité, menaces potentielles ainsi que l’organisation du réseau sont mieux appréhendés et les risques réduits de cette manière.
Une méthode à trouver plus en détail ici.
