Un PenTester raconte comment il a réussi à infiltrer le réseau d’une start-up ultra-sécurisée… en piratant la Tesla d’un employé. Une démonstration impressionnante qui illustre parfaitement la règle d’or de la cybersécurité : une chaîne ne vaut que par son maillon le plus faible.
PenTester, Red Team, Blue Team : le jeu du chat et de la souris
Le métier de PenTester (abréviation de Penetration Tester, soit testeur d’intrusion) consiste à rechercher les failles d’un système informatique, de façon légale et encadrée. L’objectif : découvrir les vulnérabilités avant les vrais pirates. La Red Team, quant à elle, va plus loin : elle simule une attaque complète, incluant du social engineering, des intrusions physiques et des tentatives de compromission réseau. En face, la Blue Team a pour mission de défendre, détecter et contrer ces attaques. C’est un entraînement grandeur nature entre « attaquants » et « défenseurs ».
Lors d’un exercice présenté à la conférence BSides, un membre d’une Red Team s’est retrouvé face à une start-up impeccablement protégée : serveurs blindés, pare-feux à jour, EDR (Endpoint Detection & Response) performant… Impossible de passer par la porte d’entrée. Il a donc cherché un autre accès : le parking.
La voiture, maillon le plus faible
L’attaquant repère que beaucoup d'employés connectent leur téléphone Android à leur Tesla de fonction chaque matin via Bluetooth pour écouter de la musique. C’est le point d’entrée idéal. Interruption / jamming : avec des microcontrôleurs et des modules radio bon marché, il perturbe le signal Bluetooth de la voiture (technique de jamming). Le téléphone perd la connexion et revient dans la liste des périphériques disponibles, prêt à se reconnecter.
Spoofing (usurpation) : il émet ensuite un faux signal Bluetooth qui imite celui du véhicule et utilise le spoofing pour afficher un nom d’appareil trompeur — l’employé croit reconnecter son téléphone à sa voiture et accepte la connexion. Le FlipperZero est l’outil central de cette étape : il sert à la fois à émettre le faux signal et à présenter le nom frauduleux.
BadUSB / émulation clavier : toujours avec le FlipperZero, l’attaquant active un mode « BadUSB » qui fait de l’appareil un clavier virtuel. Il envoie alors des commandes au téléphone, exploite ADB (Android Debug Bridge) si possible, et force l’installation d’un APK malveillant ou le téléchargement d’un package d’outils d’accès.
Pivot vers l’entreprise : une fois le mobile compromis, l’attaquant patiente jusqu’à l’arrivée au bureau. Dès que le téléphone se connecte au Wi-Fi de l’entreprise, il sert de porte d’entrée pour des mouvements latéraux vers des systèmes internes — accès aux partages, escalation de privilèges, et potentiellement atteinte à des serveurs critiques.
L’attaque s’appuie sur Android, mais le concept pourrait s’appliquer ailleurs : sur iOS, les protections sont plus strictes, mais aucun système n’est infaillible.
Sécurité : penser au-delà du serveur
Les entreprises sécurisent leurs serveurs, mais négligent souvent les périphériques « du quotidien » : voitures connectées, enceintes, imprimantes. Ces objets, rarement mis à jour, deviennent des portes d’entrée idéales. Quelques réflexes simples :
Segmenter les réseaux : séparer strictement les appareils personnels (BYOD, Bring Your Own Device) et les terminaux non gérés du réseau de production.
MDM & protections mobiles : imposer un Mobile Device Management et des solutions de type EDR (Endpoint Detection & Response) ou Mobile Threat Defense sur les appareils qui accèdent aux ressources sensibles.
Surveillance comportementale : détecter les connexions inhabituelles, l’installation d’applications non signées ou l’activation d’ADB (Android Debug Bridge).
Formation : apprendre aux employés à ne pas accepter automatiquement un périphérique inconnu en Bluetooth et à désactiver le pairing automatique.
Protéger le mobile personnel : installer une application de sécurité mobile fiable et maintenir le système à jour.
