Le Guide Pratique du Pain-Testing

Featured image

[NDLR : suite à un autre horrible accident de blockchain, notre journaliste qui travaillait sur le sujet du pain-testing est actuellement hospitalisé. L’article devrait sortir la semaine prochaine pour peu qu’il ait terminé sa rééducation. À la place, nous vous proposons cet article sur le pain-testing à la française, qui se base sur la tradition ancestrale de la boulangerie-pâtisserie.]

Cette semaine, la rédaction d’Infauxsec News est partie en reportage spécial pour découvrir le monde des pain-testeurs, ces experts en sécurité informatique spécialisés en tests d’intrusion avec des produits boulangers. À cette occasion, nous avons rencontré Jean-Touffe, capitaine de la Team Baguette, qui a accepté de nous dévoiler les ficelles de son métier.

Les ficelles du métier de Jean-Touffe

Utiliser les bons logiciels

Inévitablement, chaque pain-testeur devra au moins une fois au cours de sa carrière travailler sous un OS de qualité inférieure. Dans le cas des pain-testeurs toutefois, des outils ont été développés pour pallier à certaines limitations. « Dans la Team Baguette par exemple, quand on doit travailler sous Windows, on utilise un gestionnaire de paquets appelé Chocolatine. Ça nous permet d’installer rapidement les viennoiseries dont on a besoin pour notre travail. » raconte-t-il.

Nous changeons rapidement de sujet lorsque Jean-Touffe commence à s’énerver violemment contre certaines « personnes pénibles » de la communauté qui « exigent que cet outil soit renommé en “Pain Au Chocolat” » qu’il « [censuré] cordialement avec des [censuré] dans leur [censuré] de petits [censuré] ».

Automatiser les processus

Un pain-test complet et de qualité se doit d’être reproductible. Jean-Touffe et son équipe ont développé pour ceci leur propre cadre logiciel pour automatiser les attaques. Écrite en chocolat rubis, cette platforme peut se scripter dans un langage de programmation open-source créé pour l’occasion : le C-Roissant.

Là encore, Jean-Touffe porte des griefs à l’encontre de la communauté. « Lorsque j’étais à la DEF CON, j’ai un peu parlé du projet C-Roissant avec des américains. Depuis, ces rustres ont tenté de commercialiser le produit en réalisant leur propre flavor “Margarine” pour contourner notre licence d’appellation à origine contrôlée “Pur Beurre”. Ça me fait gerber. » précise-t-il en rajustant son béret-cagoule.

Falsifier des cookies

Tout pain-testeur se doit d’être capable de fabriquer des cookies dignes de ce nom, pour contourner les différents moyens d’authentification sur la toile. Un bon cookie contient des pépites de chocolat, mais en aucun cas des raisins.

Un cookie contaminé par Satan

Contourner les pare-feux

« Là on touche un peu aux arcanes les plus secrètes du métier » nous annonce Jean-Touffe « mais nous avons une technique fiable nous permettant de franchir n’importe quel pare-feu. C’est en fait très simple : on fait comme quand on a mangé un plat un peu trop épicé. Un bout de pain trempé dans du lait fait des miracles, et ça vous permet aussi de franchir n’importe quel pare-feu sans vous endommager les muqueuses. »

Jean-Touffe se lance alors dans un long monologue sur les réseaux neuronaux qu’il a mis en place pour déterminer le taux d’écrémage optimal du lait. Ses recherches sont toutefois pour le moins inconclusives.

Échapper à la surveillance

En toutes circonstances, le pain-testeur se doit d’être capable de contourner les systèmes de détection d’intrusion. Une technique simple consiste à obfusquer les charges utiles en utilisant le codage baguette64.

« On peut dire que baguette64 est devenu le standard dans l’industrie. C’est finalement un peu LA technique où se rejoignent pain-testing et paint-testing. »

Pour le détail, l’encodage baguette64 a été décrit dans la RFC1 4648. Le système est on ne peut plus simple, puisqu’il s’agit de coder le texte grâce à 64 images de baguettes classées de la plus cuite à la moins cuite. Une image de pot de confiture à la fraise est utilisée en tant que complément.

« baguette64 reste toutefois seulement de l’encodage » rappelle Jean-Touffe « dans les cas vraiment sensibles, on emprunte les techniques de l’école des pain-testeurs allemands en ayant recours à la cryptographie à tresses. »

Un message chiffré avec des tresses

Dénicher les informations critiques

« L’information, c’est le pouvoir. Souvent, des informations confidentielles mais critiques se retrouvent dans la nature sans que personne ne le remarque, car elles sont noyées dans la masse. Un bon-pain testeur doit s’attendre à passer beaucoup de temps à éplucher couche par couche le mille-feuille logiciel du système auquel il s’attaque. »

Pour illustrer son propos, Jean-Touffe nous a fourni une image très prisée du modèle réseau OSI tel qu’il est représenté dans sa branche :

Le modèle réseau OSI, en plusieurs couches

Des techniques de social engineering physique

« Lors de mes missions de red teaming, il m’arrive très souvent d’avoir besoin d’endormir la vigilance des employés. Pour ça, j’ai une technique infaillible : les petits pains fourrés au GHB. Ça marche particulièrement bien dans les grandes entreprises, où il y a des anniversaires tous les jours. Je suis fier de dire que chez [censuré], on est les premiers à avoir mis cette pratique en place. »

Des techniques de social engineering virtuel

Le phishing est tout un art, et Jean-Touffe l’a bien compris. Le paint-testing s’axe sur le réalisme profond des fausses pages réalisées. Cependant, c’est très différent pour le pain-testing.

« Nous, on préfère faire quelques fioritures, améliorer les pages qu’on usurpe en quelque sorte. Pour ça, j’ai une méthode infaillible : j’utilise la bibliothèque Python BeautifulSoup pour manipuler le HTML volé sur les sites que je veux représenter. L’innovation vient de la bibliothèque BeautifulCroûtonsDePain qui me permet d’agrémenter la page comme bon me semble, pour un résultat souvent meilleur que l’original. »

Le pain-testing est un secteur porteur qui permettrait de faire rayonner la culture culinaire de la France dans le domaine de la sécurité informatique international. Nous espérons que les techniques seront explorées et promues dans les plus grandes conférences par nos chercheurs.

Crédits

Article inspiré d’un tweet.

  1. De l’anglais « Request For Croissants »