De nombreuses failles de sécurité impliquent des fuites, mais peut-être pas de la même manière que celle révélée par le célèbre consultant en sécurité Andrew Tierney, qui a réussi à obtenir un accès non autorisé à un centre de données via ce qu'il appelle le « couloir de la pisse ».Tierney, qui travaille comme consultant pour la société de services de sécurité Pen Test Partners, a révélé dans un fil Twitter comment l'un de ses exploits les plus mémorables consistait à démontrer qu'il était possible d'accéder physiquement à la zone supposée sécurisée d'un centre de données via ses toilettes.
En affichant un diagramme pour illustrer, Tierney a montré que l'installation sans nom avait des toilettes séparées pour l'espace de bureau général et la zone sécurisée où l'infrastructure informatique est hébergée. Cependant, les deux toilettes étaient contiguës et Tierney s'est rendu compte qu'il y avait en fait un espace d'accès partagé pour desservir les toilettes derrière les deux ensembles de cabines, qu'il a baptisé le «couloir de la pisse».
Il s'est avéré que cet espace d'accès pouvait être atteint par une porte dissimulée dans une cabine d'accessibilité - une cabine plus grande conçue pour l'accès en fauteuil roulant - de chaque côté de la séparation sécurisée/non sécurisée. C'est donc exactement ce que Tierney a fait, en entrant dans les toilettes du côté de l'espace de bureau général et en accédant au « couloir de la pisse » via la cabine d'accessibilité, en sortant du côté supposé sécurisé de la même manière.
Tierney omet de mentionner si les portes dissimulées étaient verrouillées pour empêcher tout utilisateur curieux des toilettes d'entrer dans l'espace d'accessibilité, ou s'il devait crocheter les serrures pour entrer.
Le seul moment gênant aurait pu survenir si la cabine accessible du côté sécurisé avait été occupée lorsque Tierney a ouvert la porte dissimulée, et il prétend donc qu'il ne l'a fait qu'après s'être « « vraiment assuré qu'il n'y avait personne d'autre dans l'autre cabine ».
Ravi de son succès, Tierney a noté qu'il venait de réussir à vaincre la protection de sécurité du centre de données qui impliquait des portes d'entrée mantrap où le personnel devait « rendre tous les appareils numériques » à l'entrée. Pire encore, la disposition des toilettes était visible sur les documents de planification publique, ce qui signifie que n'importe qui aurait pu comprendre comment contourner la sécurité.
La leçon pour les opérateurs d'installations sécurisées est de faire très attention à ne pas être pris de court avec des moyens aussi évidents de contourner les contrôles de sécurité physiques.
Source : Explications d'Andrew Tierney
Et vous ?
Qu'en pensez-vous ? 
Envoyé par sevyc64
bis