Developpez.com - Rubrique Humour

Le Club des Développeurs et IT Pro

Un consultant en sécurité de Pen Test Partners indique qu'il est entré par effraction dans un centre de données

Via un chemin caché derrière les toilettes

Le 2022-07-13 11:08:05, par Stéphane le calme, Chroniqueur Actualités
De nombreuses failles de sécurité impliquent des fuites, mais peut-être pas de la même manière que celle révélée par le célèbre consultant en sécurité Andrew Tierney, qui a réussi à obtenir un accès non autorisé à un centre de données via ce qu'il appelle le « couloir de la pisse ».

Tierney, qui travaille comme consultant pour la société de services de sécurité Pen Test Partners, a révélé dans un fil Twitter comment l'un de ses exploits les plus mémorables consistait à démontrer qu'il était possible d'accéder physiquement à la zone supposée sécurisée d'un centre de données via ses toilettes.

En affichant un diagramme pour illustrer, Tierney a montré que l'installation sans nom avait des toilettes séparées pour l'espace de bureau général et la zone sécurisée où l'infrastructure informatique est hébergée. Cependant, les deux toilettes étaient contiguës et Tierney s'est rendu compte qu'il y avait en fait un espace d'accès partagé pour desservir les toilettes derrière les deux ensembles de cabines, qu'il a baptisé le «couloir de la pisse».

Il s'est avéré que cet espace d'accès pouvait être atteint par une porte dissimulée dans une cabine d'accessibilité - une cabine plus grande conçue pour l'accès en fauteuil roulant - de chaque côté de la séparation sécurisée/non sécurisée. C'est donc exactement ce que Tierney a fait, en entrant dans les toilettes du côté de l'espace de bureau général et en accédant au « couloir de la pisse » via la cabine d'accessibilité, en sortant du côté supposé sécurisé de la même manière.

Tierney omet de mentionner si les portes dissimulées étaient verrouillées pour empêcher tout utilisateur curieux des toilettes d'entrer dans l'espace d'accessibilité, ou s'il devait crocheter les serrures pour entrer.

Le seul moment gênant aurait pu survenir si la cabine accessible du côté sécurisé avait été occupée lorsque Tierney a ouvert la porte dissimulée, et il prétend donc qu'il ne l'a fait qu'après s'être « « vraiment assuré qu'il n'y avait personne d'autre dans l'autre cabine ».

Ravi de son succès, Tierney a noté qu'il venait de réussir à vaincre la protection de sécurité du centre de données qui impliquait des portes d'entrée mantrap où le personnel devait « rendre tous les appareils numériques » à l'entrée. Pire encore, la disposition des toilettes était visible sur les documents de planification publique, ce qui signifie que n'importe qui aurait pu comprendre comment contourner la sécurité.

La leçon pour les opérateurs d'installations sécurisées est de faire très attention à ne pas être pris de court avec des moyens aussi évidents de contourner les contrôles de sécurité physiques.


Source : Explications d'Andrew Tierney

Et vous ?

Qu'en pensez-vous ?
  Discussion forum
7 commentaires
  • sevyc64
    Modérateur
    Le diable se cache toujours dans les détails

    ... et dans les wc aussi, en l’occurrence
    le 13/07/2022 à 12:28
  • behe
    Membre chevronné
    Un vide sanitaire n'a rien à voir avec les canalisations même si on les retrouve souvent dedans

    Un vide sanitaire est un espace vide situé sous le sol de la maison dont l'objectif principal est de lutter contre les remontées d'humidité. Concrètement, il s'agit d'un volume d'air laissé vide entre le plancher de la maison et la terre sur laquelle elle est construite.

    Dans mon batiment au boulot il y a des couloirs entre les differents blocs de toilettes pour stocker les produits d'entretien, chariot etc du personnel du ménage entre autre. On accède au couloir en passant par une porte dans les toilettes pour personnes à mobilité réduite (seules toilettes assez grande pour pouvoir y manipuler un chariot) .

    On y trouve également les conduites d'eau. Mais au moins les 2 blocs de toilettes reliés se trouvent dans la même zone (donc mêmes droits nécessaires pour y accéder)
    le 26/07/2022 à 15:20
  • Paul_Le_Heros
    Membre averti
    Les seuls pompiers devaient être au courant de ce passage !
    le 24/07/2022 à 4:02
  • sevyc64
    Modérateur
    Même pas sur.
    D'après le explications données, l'espace en question ne semble pas être un accès pompier, mais plutôt un espace technique donnant accès à la plomberie des wc.
    le 24/07/2022 à 9:05
  • Paul_Le_Heros
    Membre averti
    Envoyé par sevyc64
    Même pas sur.
    D'après les explications données, l'espace en question ne semble pas être un accès pompier, mais plutôt un espace technique donnant accès à la plomberie des wc.
    On appelle ça un / des vides sanitaires. En France et sauf erreur, ils ne sont accessibles que par des trappes, pas des portes, même si un homme peut entrer par la trappe !
    le 25/07/2022 à 8:31
  • Escapetiger
    Expert éminent sénior
    Envoyé par sevyc64
    Le diable se cache toujours dans les détails

    ... et dans les wc aussi, en l’occurrence
    Forum => Le club des professionnels en informatique => La taverne du Club : Humour et divers

    wc - Afficher le nombre de lignes, de mots et d'octets d'un fichier

    https://man.developpez.com/man1/wc/
    Man page 1 : wc
    (word count)

    bis
    le 31/07/2022 à 22:18
  • tGQ7zxFY
    Membre à l'essai
    une backdoor en réel en quelque sorte accessible via la cacadoor ...
    le 29/08/2022 à 15:20
  Poster une réponse