John Strand est un pentesteur. Son métier consiste à s'introduire dans les réseaux numériques d'entreprises et de divers organismes avant que de véritables pirates ne le fassent, pour vérifier la fiabilité des systèmes de sécurité. Il bosse pour Black Hills Information Security, une entreprise basée dans le Wyoming, aux États-Unis.
En juillet 2015, il se préparait à briser les défenses numériques d'un établissement pénitentiaire du Dakota du Sud quand sa mère a voulu prendre sa place –pour essayer.
Quelques mois auparavant, Rita Strand, 58 ans, avait rejoint l'entreprise de son fils en tant que directrice financière. Après trois décennies à travailler dans l'industrie alimentaire, elle désirait se lancer dans une autre aventure.
«Elle n'avait aucune expérience dans le pentesting»
«Elle est venue me voir un jour et m'a dit: “Tu sais, je veux m'introduire quelque part”», a expliqué John Strand lors de la RSA Conference de San Francisco, fin février. «C'est ma mère, qu'est-ce que j'étais censé faire?» Alors la mère, confiante, a fait en sorte que le fils, un brin angoissé, fasse d'elle une pentesteuse en herbe.
L'entreprise de John Strand a donc préparé à Rita un faux badge de la prison, ainsi qu'une carte de visite la présentant comme un membre de l'inspection sanitaire, avec les contacts de son fils dessus. Lui ont aussi été fournis un smartphone, pour prendre des photos des équipements techniques depuis l'intérieur, et un paquet de clés USB infectées de virus et malwares à même d'installer des portes dérobées, à brancher partout où elle le pouvait.
Le jour J, John et plusieurs de ses collègues ont conduit Rita à la prison. Ils se sont ensuite installés dans un café, avec une part de tarte aux noix de pécan à grignoter et leur PC en main, attendant de voir si les clés USB seraient implantées correctement. «Elle n'avait aucune expérience dans le pentesting. Aucune expérience dans le piratage informatique. Je lui ai dit: “Maman, si ça tourne mal, tu prends ton téléphone et tu m'appelles immédiatement.”»
Au bout de quarante-cinq minutes, puis d'une heure, toujours pas de nouvelle de Rita. John panique et ne sait que faire. Soudainement, les ordinateurs décèlent une activité. Les clés USB envoient aux équipes de Black Hills l'accès à plusieurs ordinateurs et serveurs à l'intérieur de la prison.
En réalité, Rita n'a eu aucun problème à s'introduire dans la prison, au prétexte d'une inspection sanitaire surprise. Elle a aussi pu garder son smartphone et accéder au centre opérationnel de la prison. Mieux: à la fin de la visite, le directeur de la prison l'a invitée à discuter des améliorations sanitaires à réaliser dans son bureau. Devinez la suite: elle lui a donné une clé USB infectée, qu'il a immédiatement branché à son PC.
