Passer au contenu

Atelier Lab401 : Pentesting physique avec entrée couverte

Atelier Lab401 : Pentesting physique avec entrée cachée

Introduction

La pénétration physique sans infraction est la pierre angulaire des tests de pénétration.
Les clients de tous niveaux d'expérience quitteront cet atelier en tant que testeurs de pénétration physique compétents.

En mettant l'accent sur la formation pratique, les clients pourront crocheter des serrures, contourner des pênes dormants et des portes de sécurité, mouler des clés, décoder des clés à partir d'une photo, apprendre l'escalade de privilèges sur des systèmes de clés maîtresses simples et avancés, identifier et dupliquer des identifiants RF et RFID...

Après trois jours de formation, les clients auront les compétences et les outils nécessaires pour auditer et pénétrer dans un large éventail de lieux, y compris des sites publics (hôtels, etc.), commerciaux (bureaux, sièges sociaux, entrepôts) et industriels (infrastructures critiques : électricité, sécurité, etc.).

Alexandre Triffault

Expert en sécurité physique

Formateur en sécurité pour les pentesters, les informaticiens et les militaires depuis 10 ans, Alexandre Triffault ( @Frenchkey_FR ) développe des outils et techniques pour contourner les dispositifs de sécurité physique (https://www.intrusion.eu/) . Spécialisé dans l'impression 3D de clés et d'outils, son travail consiste à trouver et exploiter les failles des systèmes de contrôle d'accès, électroniques ou mécaniques.

Il est champion du monde en technique d'impression (LockCon 2016). Il est également chercheur associé au laboratoire de virologie et de cryptologie de l'ESIEA et donne des cours de sécurité physique dans plusieurs écoles d'informatique, et dispense des formations et des conseils à de multiples organisations gouvernementales et privées en Europe. Il a présenté ses recherches au fil des ans lors de diverses conférences et ateliers internationaux, tels que la Nuit du Hack (FR), Defcon Lockpick Village (US), Hackito Ergo Sum (FR), LockCon (NL), SigSegV1 (FR), IT Defense (DE), GS Days (FR)...

Public visé

  • Pentesters
  • Red-teamers
  • CISO
  • Professionnels de la sécurité
  • Application de la loi / gouvernement

Conditions préalables

  • Aucune connaissance préalable des serrures, des clés ou du lockpicking n'est requise.
  • Un intérêt pour la sécurité physique
  • Les clients peuvent apporter leurs propres serrures, clés et outils s'ils le souhaitent.

Matériel à emporter

  • Manuel de formation détaillé.
  • Kit de crochetage de serrure
  • Kit de contournement
  • Outils de reconnaissance RFID/RF

Prochaines dates

  • 📅 15-17 juin 2020 📍 Paris, France 🇫🇷/🇬🇧
  • 📅 15-17 juillet 2020 📍 Paris, France 🇫🇷/🇬🇧
S'inscrire à un prochain atelier
S'inscrire à un atelier
S'abonner aux mises à jour des événements

Aperçu détaillé du cours

Premier jour

Introduction à l'entrée physique + Attaques sur les serrures de bureau les plus courantes

Le premier jour est une vue d'ensemble des cibles et des scénarios possibles pour l'attaquant dans le monde réel, et la première session de lockpicking de la formation.

Vecteurs d'intrusion physique
  • Ingénierie sociale
  • Escalade
  • Ouverture d'accès
Découvrir la sécurité physique
  • Les différents types de serrures
  • Comment ils fonctionnent
  • Comment les identifier
Introduction aux scénarios
  • Intrus occasionnel (opportuniste)
  • Équipe de cambrioleurs organisée
  • Espionnage industriel
Serrure à gaufre
  • Identification
  • Lockpicking
  • Décodage
  • Jigglers
Serrures tubulaires
  • Identification
  • Auto-impression
  • Lockpicking

Deuxième jour

Serrures à goupilles + Cadenas (combinaisons et avec clés)

Le deuxième jour est consacré à l'apprentissage et à la pratique de diverses techniques de crochetage et de contournement de serrures à gorges, de cadenas et de combinaisons.

Le crochetage des serrures à goupilles
  • Piqueur de goupille simple
  • Outils spécifiques
  • Technique
  • Conseils et astuces
Pistolets de crochetage
  • Pistolet mécanique
  • Piqueur électronique
  • Outils de tension en profondeur
Cadenas à clé
  • Pics à cadenas
  • Peignes
  • Cales (si possible)
  • Contournement de lame (si compatible)

Troisième jour

La clé, la porte, la RF et les vecteurs RFID

Le troisième jour est le moment de sortir des sentiers battus avec de nombreux vecteurs d'attaque supplémentaires à la disposition du pentester.

Duplication de clé
  • Moulage
  • Classement
  • Décodage de photos
  • Techniques spéciales
Clés à percussion
  • Identification
  • Fabrication
  • Différentes techniques (push/pull)
Attaques de dictionnaire
  • Introduction
  • Identification
  • Verrous compatibles
Entrée non destructive
  • Loquets de jour
  • Verrous Via
  • Poignées Via
  • Sous la porte
  • Portes de secours / portes à barre de poussée
RF
  • Identification
  • Vecteurs d'attaque
  • Systèmes vulnérables
RFID
  • Introduction
  • Identification
  • Vecteurs d'attaque

Conclusion de l'atelier

  • Résumé : Vecteurs d'attaque
  • Résumé : Outils et techniques
  • Contre-mesures possibles
  • Travail à domicile : Comment développer les compétences
  • Juridique : Ne pas aller en prison

Comment participer ?

Les ateliers sont programmés régulièrement, avec la possibilité supplémentaire d'organiser des séances privées si nécessaire. Pour rester informé des dates des prochains ateliers, inscrivez-vous à notre liste de diffusion sur les ateliers.

S'inscrire à un prochain atelier
S'inscrire à un atelier
S'abonner aux mises à jour des événements