Se trouvant du bon côté de la barrière, les hackers éthiques pointent les failles des applications web, des réseaux et des systèmes pour le compte d’entreprises, avant que des hackers malveillants ne le fassent. Philipp Rohrbach fait partie de ces hackers éthiques. Il travaille pour la Red Team au sein de l’unité IT Security de PostFinance. Dans l’entretien, il expose en détail ses tâches et la manière dont il procède pour les mener à bien.

Tu travailles au sein de la Red Team dans l’unité IT Security de PostFinance. Quelle signification revêt la couleur rouge?

Au sein de la Red Team, nous jouons le rôle de l’assaillant pour la IT Security de PostFinance. Nous nous servons de techniques ou de scénarios d’attaque, comme ce serait le cas lors de vraies menaces, et nous les appliquons de manière ciblée à nos propres systèmes. Nous essayons par exemple d’utiliser nos services et systèmes dans un but qui n’était pas prévu, l’objectif étant de pointer les failles avant que d’autres ne les décèlent. En informatique, lorsque nous exploitons un service ouvert au public, il faut partir du principe que nous allons subir des attaques. La question n’est pas de savoir si ces menaces se concrétiseront, mais à quelle fréquence elles se produiront et si les attaques pourront être identifiées, repoussées et endiguées par notre Blue Team. Les désignations de couleur viennent du domaine militaire: la Red Team représente la partie offensive en sécurité informatique, et la Blue Team la partie défensive.

Comment procède la Red Team lors d’un contrôle?

Supposons que nous testons une application. Nous échangeons dans un premier temps avec les spécialistes responsables du développement ou de l’exploitation de l’application, et définissons les objectifs du test. L’un d’eux peut consister à manipuler une transaction financière dans un environnement de test ou à soustraire des informations en passant par une interface dans l’application. Il faut ensuite déterminer quelle approche nous souhaitons adopter: le test de la boîte noire, de la boîte grise ou de la boîte blanche. Dans la première approche, nous recevons l’application à tester sans avoir connaissance de la structure interne. Dans la deuxième, qui est de loin la plus répandue, nous recevons un peu plus de soutien en ayant par exemple la possibilité de travailler avec une version de l’application dans laquelle certaines mesures de protection sont désactivées. Cela nous permet d’avoir une longueur d’avance sur de potentiels attaquants, qui ont généralement plus de temps à disposition que nous et qui peuvent profiter de ce temps précieux pour contrôler, et non pour contourner les mesures de sécurité. Dans la troisième approche, nous faisons encore un pas supplémentaire: le code source est dévoilé de manière à ce qu’il soit plus facile pour nous, testeurs, de contourner les mesures de protection. Nous élaborons ensuite la configuration du test et nous nous mettons au travail. Nous contrôlons par exemple l’authentification, le processus de login ou la réinitialisation du mot de passe en repérant les erreurs de logique et les écarts par rapport aux normes. Nous observons également la manière dont réagit l’application lorsque nous l’alimentons en informations qui ne lui étaient pas destinées. Par exemple, si le paiement d’un client A à un client B s’effectue en arrière-plan en plus de 10 étapes, nous regardons ce qui ce se passe lorsque nous modifions l’ordre de ces étapes. Lorsque nous avons vérifié suffisamment d’approches, nous en tirons des enseignements et nous les documentons. Des mesures pour combler les failles sont prises si nécessaires.

Comment s’organise la Red Team?

Cela dépend de la portée du contrôle et de la charge de travail qui y est associée. Pour les petits tests, une personne suffit. Pour les plus importants, il faut plusieurs testeuses et testeurs. Nous faisons donc appel au personnel interne, mais aussi à des externes. Ce qui compte avant tout, c’est que ce ne soit pas toujours les mêmes personnes qui étudient les mêmes objets. En effet, c’est surtout lors de contrôles de sécurité qu’il faut penser aussi en dehors du cadre. L’expérience individuelle et le savoir-faire personnel jouent un grand rôle à cet égard.

Quels sont les prérequis pour pouvoir travailler au sein d’une Red Team?

Comme prérequis, il faut posséder de solides connaissances en matière de réseaux, et comprendre en détail comment fonctionnent les applications web, comment un ordinateur et un serveur interagissent et comment ils sont conçus (voir également l’encadré). Toutefois, le plus important est la curiosité: un hacker éthique cherche à comprendre le monde virtuel, et à toujours l’observer avec un regard différent. Il cherche à regarder derrière les coulisses. Le hacker éthique fait preuve de persévérance: il alimente l’objet étudié jusqu’à ce qu’il se produise quelque chose d’inattendu. Il s’efforce ensuite de comprendre pourquoi l’incident s’est produit. Notre objectif est de repérer des failles qui sont passées jusqu’ici inaperçus auprès d’autres personnes et d’outils automatisés d’assurance qualité.

Existe-t-il une formation officielle?

Pour ce qui est du classique test d’intrusion  Un test d’intrusion est un type de test, tout comme la revue de code ou le Red Teaming, qui est effectué sur la base de scénarios et de processus d’attaques définis. La testeuse ou le testeur repère toutes les failles de sécurité possibles., il existe des certifications qui sont reconnues dans la branche. En revanche, aucun cursus ne couvre l’ensemble de notre domaine d’activité. Les personnes qui souhaitent devenir hackers éthiques peuvent et doivent acquérir la plupart des connaissances en autodidacte. La communauté, qui partage volontiers son savoir, leur apporte son soutien dans cette démarche. Il est possible d’exercer ses compétences sur des plateformes proposant des défis, telles que Try Hack me ou Hack the Box, ou des programmes bug bounty.

Qu’est-ce qui te fascine dans ta fonction de hacker éthique?

L’énorme diversité. Je peux d’une part me familiariser sans cesse avec toute une variété de technologies, de langages de programmation, d’applications ou d’environnements. D’autre part, je noue en permanence des contacts avec des personnes de tous horizons. Nous ne sommes pas spécialistes dans tous les domaines, mais nous avons beaucoup de personnes très compétentes chez PostFinance. Lorsque nous nous préparons pour un test, nous pouvons tirer profit de leurs connaissances et de leur expérience. C’est vraiment tout à fait passionnant. De plus, nous appliquons une même méthode lors des tests, tout en l’utilisant constamment sur d’autres objets. Cela va de la reconnaissance vocale à une application web normale, en passant par des systèmes très complexes permettant de traiter des transactions financières. D’ailleurs, ce job n’est pas seulement un travail, mais aussi un engagement: je veux contribuer à ce que le monde virtuel devienne toujours plus sûr.

Quel est le parcours personnel qui t’a mené à la Red Team de PostFinance?

À la base, j’ai appris le métier d’électronicien, et me suis perfectionné dans le montage d’installations en m’orientant dans la direction de projet. Comme l’aspect technique me manquait quelque peu, j’ai étudié l’informatique et la technique des systèmes dans une école supérieure. Puis j’ai été responsable d’un service dédié aux nouveaux médias dans une agence, où j’ai pu approfondir ma compréhension des applications web et mobiles dans de nombreux projets. J’ai ensuite fait des études en informatique en me spécialisant dans la sécurité. Le thème du hacking éthique m’a accompagné tout au long de mon parcours. Par intérêt personnel, j’ai développé de très nombreuses connaissances à ce sujet. Après mes études, j’ai finalement opté pour la fonction de spécialiste en exploitation dans le service informatique de la Poste, dans le domaine du vote électronique, et me suis familiarisé avec les contrôles de sécurité. Lorsque PostFinance a mis au concours un poste de spécialiste en sécurité informatique dans le domaine du hacking éthique, je me suis dit que c’était ma chance. Depuis lors, j’ai eu l’occasion de faire mes preuves au sein de cette équipe.