Projet d’Innovation Industrielle d’année 5 (PI²5) du cycle ingénieur ESILV, 2023-2024
Dans le cadre de notre Pi2 en partenariat avec Deloitte, nous avons du développer un système permettant de bypass la sécurité physique d’une entreprise et notamment les accès gérés par badge. Ce système sera ensuite utilisé par les équipe de cybersécurité offensive dans le cadre de leurs audits chez les clients.
Bien que l’objectif soit défini et assez clair, la manière d’atteindre cet objectif n’était pas précisée. Grâce à de nombreuses heures de lecture sur le sujet, à de nombreuses discussions avec notre partenaire Deloitte, et à des tests en tous genre, nous avons pu développer nos connaissances sur les systèmes d’accès physiques, notamment les accès par badge NFC. Nous avons alors pu identifier les technologies les plus fréquemment utilisées, et les technologies les plus vulnérables.
Cette première phase nous a permis de recentrer notre réflexion et de nous projeter sur le développement d’une solution. Par étape, nous avons donc créé une preuve de concept. Cette preuve de concept a mené à la réalisation d’un premier prototype permettant de détecter un badge et sa technologie, et éventuellement, mener des attaques pour créer une copie de ce badge.
La dernière étape du projet consistait à améliorer ce prototype, notamment à le miniaturisé et à le rendre autonome suivant l’utilisation qui en sera faite. Deux cas d’usage ont été pris en compte :
– Une utilisation en mode « fausse badgeuse » : elle consiste à placer le module à la place ou à côté d’un lecteur de badge existant. Un collaborateur de la société cible viendrait alors badger sur ce faux lecteur et transmettrait ainsi les informations de son badge aux attaquants.
– Une deuxième utilisation impliquant du « social engineering ». Ce cas d’usage nécessite d’entrer en contact avec un collaborateur de la société cible pour avoir accès à son badge quelques secondes et utiliser discrètement notre solution pour récupérer un maximum d’informations sur le badge.
Pour plus de détails, veuillez consulter le rapport.
Retrouvez l’ESILV sur :
Facebook : http://facebook.com/esilvparis
Instagram : https://www.instagram.com/esilv_paris/?hl=fr
Twitter : http://twitter.com/esilvparis
Linkedin : http://bit.ly/25WVOCa
TikTok : https://www.tiktok.com/@esilv.ingenieurs
http://www.esilv.fr