Aller au contenu

Équipe rouge

Un article de Wikipédia, l'encyclopédie libre.

L'équipe rouge désigne un groupe prétendant être un ennemi. Ce groupe est missionné par une organisation pour effectuer une intrusion physique ou numérique contre celle-ci et produire un rapport afin que l'organisation puisse améliorer sa sécurité. Les équipes rouges sont embauchées par l'organisation. Leur travail est légal, mais peut surprendre les employés ignorants les activités de l'équipe rouge, ou trompés par celle-ci. Certaines définitions de l'équipe rouge sont plus larges et incluent tout groupe, au sein d'une organisation, chargé de sortir des sentiers battus et d'examiner des scénarios alternatifs considérés comme moins plausibles. L'objectif étant de protéger une entreprise des fausses hypothèses et de la pensée de groupe. Le terme équipe rouge né dans les années 1960 aux États-Unis.

L'équipe rouge « technique » se concentre sur l'attaque des réseaux informatiques. Elle peut faire face à une équipe bleue, un terme désignant les employés de la cybersécurité chargés de défendre l'organisation contre les attaques informatiques. Dans l'équipe rouge technique, des vecteurs d'attaque sont utilisés pour accéder au SI, puis une reconnaissance est effectuée pour découvrir d'autres dispositifs à compromettre. La recherche d'informations d'identification implique de parcourir un ordinateur à la recherche d'informations telles que des mots de passe et des cookies de session, et une fois ceux-ci trouvés, ils peuvent être utilisés pour compromettre d'autres ordinateurs. Lors d'intrusions de tiers, l'équipe rouge peut s'allier à l'équipe bleue défendre l'organisation. Les règles d'engagement et les procédures opérationnelles standard sont utilisées pour s'assurer que l'équipe rouge ne cause pas de dommages.

L'équipe rouge « physique » envoi d'une équipe pour accéder physiquement aux zones cibles, dans le but de tester et optimiser la sécurité physique comme les clôtures, les caméras, les alarmes, les serrures et le comportement des employés. Comme pour les équipes rouges techniques, des règles d'engagement sont utilisées pour qu'aucun dégâts excessifs ne soit causé pendant l'exercice. L'équipe rouge physique implique souvent une phase de reconnaissance au cours de laquelle les informations sont recueillies et les faiblesses de la sécurité sont identifiées, puis ces informations sont utilisées pour mener une opération (généralement la nuit) pour entrer physiquement dans les locaux. Les dispositifs de sécurité seront identifiés et déjoués à l'aide d'outils et de techniques. Les équipes rouges physiques se voient attribuer des objectifs spécifiques tels que l'accès à une salle de serveurs et la prise d'un disque dur portable, ou l'accès au bureau d'un cadre et la prise de documents confidentiels.

Les équipes rouges sont utilisées dans plusieurs domaines, notamment la cybersécurité, la sécurité des aéroports, les forces de l'ordre, l'armée et les services de renseignement. Au sein du gouvernement des États-Unis, les équipes rouges sont utilisées par l'armée, le corps des marines, le ministère de la défense, la Federal Aviation Administration et la Transportation Security Administration.

Le concept d'équipe rouge et d'équipe bleue est apparu au début des années 1960. L'un des premiers exemples d'équipe rouge impliquait le groupe de réflexion RAND Corporation, qui effectuait des simulations pour l'armée américaine pendant la guerre froide. L'« équipe rouge » et la couleur rouge sont utilisées pour représenter l'Union soviétique, et l'« équipe bleue » et la couleur bleue sont utilisées pour représenter les États-Unis[1]. Un autre exemple précoce concernait le secrétaire américain à la Défense Robert McNamara, qui réunit une équipe rouge et une équipe bleue pour déterminer quel entrepreneur gouvernemental devrait se voir attribuer un contrat d'avion expérimental[1]. Un autre exemple précoce modela la négociation d'un traité de maîtrise des armements et l'évaluation de son efficacité[1].

Les équipes rouges sont parfois associées à la « pensée contraire » et à la lutte contre la pensée de groupe, la tendance des groupes à faire et à conserver des hypothèses même face à des preuves du contraire. Un exemple d'un groupe qui n'a pas été appelé équipe rouge, mais a sans doute été l'un des premiers exemples de formation pour lutter contre la pensée de groupe, est l'Israélien Ipcha Mistabra qui fut formé après les échecs de prise de décision israéliens pendant la guerre du Yom Kippour en 1973. L'attaque contre Israël prend le pays par surprise en dépit des nombreuses preuves d'une attaque imminente, et abouti presque à la défaite du pays. L'unité Ipcha Mistabra est formée après la guerre et se voit confier le devoir de toujours présenter une analyse contrariante, inattendue ou peu orthodoxe des rapports de politique étrangère et de renseignement, afin que les choses soient moins susceptibles d'être négligées à l'avenir[2].

Au début des années 2000, il existe des exemples d'équipes rouges utilisées pour des exercices sur table. Un exercice sur table est souvent utilisé par les premiers intervenants et implique d'agir et de planifier les pires scénarios, comme si vous jouiez à un jeu de société sur table. En réponse aux attentats du 11 septembre, avec l'antiterrorisme à l'esprit, la Central Intelligence Agency créé une nouvelle cellule rouge[3], et des équipes rouges sont utilisées pour modéliser les réponses à la guerre asymétrique comme le terrorisme[4]. En réponse aux échecs de la guerre en Irak, les équipes rouges deviennent courantes dans l'armée américaine[5].

Au fil du temps, l'usage d'équipe rouge s'est étendue à d'autres industries et organisations, y compris les entreprises, les agences gouvernementales et les organisations à but non lucratif. L'approche est devenue de plus en plus populaire dans le monde de la cybersécurité, où les équipes rouges sont utilisées pour simuler des attaques réelles contre l'infrastructure numérique d'une organisation et tester l'efficacité de leurs mesures de cybersécurité[6].

Cyber-sécurité

[modifier | modifier le code]

L'équipe rouge « technique » teste la sécurité numérique d'une organisation en tentant d'infiltrer numériquement ses réseaux informatiques.

Terminologie

[modifier | modifier le code]

L'équipe bleue est un groupe chargé de défendre l'organisation contre les intrusions.

En cybersécurité, un test d'intrusion implique des pirates éthiques (« pen testers ») qui tentent de s'introduire dans le système informatique, sans éléments de surprise. L'organisation est au courant du test d'intrusion et est prête à monter une défense[7].

L'équipe rouge va plus loin et ajoute l'intrusion physique, l'ingénierie sociale et la surprise. L'équipe bleue n'est pas avertie à l'avance des opérations de l'équipe rouge et la traitera comme une véritable intrusion[7]. L'un des rôles d'une équipe rouge interne permanente est d'améliorer la culture de sécurité de l'organisation[8].

L'équipe violette est la combinaison temporaire des deux équipes et peut fournir des réponses d'information rapides lors d'un test[9],[10]. L'un des avantages de l'équipe violette est que l'équipe rouge peut lancer certaines attaques à plusieurs reprises, et l'équipe bleue peut l'utiliser pour configurer un logiciel de détection, le calibrer et augmenter régulièrement le taux de détection[11]. Les équipes violettes peuvent s'engager dans des sessions de « chasse aux menaces », où l'équipe rouge et l'équipe bleue recherchent de véritables intrus. L'implication d'autres employés dans l'équipe violette est également bénéfique, par exemple des ingénieurs en logiciel peuvent aider à la journalisation et aux alertes logicielles, et des responsables qui peuvent aider à identifier les scénarios les plus dommageables sur le plan financier[12]. L'un des dangers de l'équipe violette est la complaisance et le développement d'une pensée de groupe, qui peuvent être combattus en embauchant des personnes ayant des compétences différentes ou en engageant un fournisseur externe[13].

L'équipe blanche est un groupe supervisant et gérant les opérations entre les équipes rouges et les équipes bleues. Il peut s'agir par exemple des managers d'une entreprise déterminant les règles d'engagement de l'équipe rouge[14].

Le point d'entrée initial d'une équipe rouge ou d'un adversaire s'appelle la « tête de pont ». Une équipe bleue mature est souvent qualifiée pour trouver la tête de pont et expulser les attaquants. Le rôle de l'équipe rouge est d'augmenter les compétences de l'équipe bleue[15].

Lors de l'infiltration, il est possible d'adopter une approche « chirurgicale » furtive qui reste sous le radar de l'équipe bleue et nécessitant un objectif clair. Il est aussi possible d'adopter une approche bruyante de « carpet bombing » ressemblant plus à une attaque par force brute. L'approche « carpet bombing » est souvent l'approche la plus utile pour les équipes rouges, car permettant de découvrir des vulnérabilités inattendues[16].

Il existe une grande variété de menaces de cybersécurité. Les menaces peuvent aller du classique piratage du contrôleur de domaine du réseau, à la mise en place d'un mineur de crypto-monnaie, l'allocation de trop d'accès aux donnes personnelles aux employés, ce qui ouvre l'entreprise aux amendes du RGPD[17]. Chacune de ces menaces peut être testée par une équipe rouge afin d'explorer la gravité du problème. Les exercices sur table, où les intrusions sont organisés de la même manière dont on jouerait à un jeu de société. Elles peuvent être utilisées pour simuler des intrusions trop coûteuses, trop compliquées ou illégales pour être exécutées en direct[18]. Il peut être utile de tenter des intrusions contre l'équipe rouge et l'équipe bleue, en plus des cibles plus traditionnelles[19].

Diagram of a graph database. Contains three circles with text inside them and lines with arrows between them.
Un exemple de base de données de graphes. Pour les équipes rouges, ce logiciel peut être utilisé pour créer une carte d'un réseau infiltré. Les nœuds (les cercles) sont généralement des ordinateurs, des utilisateurs ou des groupes d'autorisation.

Une fois l'accès à un réseau obtenu, une reconnaissance peut être effectuée. Les données recueillies peuvent être placées dans une base de données graphique : un logiciel retraçant visuellement les nœuds, les relations et les propriétés. Les nœuds typiques sont les ordinateurs, les utilisateurs ou les groupes d'autorisations[20]. Les équipes rouges ont généralement de très bonnes bases de données graphiques de leur propre organisation, car elles peuvent utiliser l'avantage du terrain, notamment en travaillant avec l'équipe bleue pour créer une carte complète du réseau et une liste complète des utilisateurs et des administrateurs[21]. Un langage de requête tel que Cypher peut être utilisé pour créer et modifier des bases de données de graphique[22]. Les comptes d'administrateurs sont des éléments centraux à placer dans la base de données graphique, y compris les administrateurs d'outils tiers tels qu'Amazon Web Services (AWS)[23]. Les données sont parfois exportées à partir d'outils puis insérées dans la base de données de graphes[24].

Une fois que l'équipe rouge a compromis un ordinateur, un site Web ou un système, une technique efficace consiste à rechercher les informations d'identification. Les informations d'identification sont tout ce qui vous donne un accès. Elles peuvent prendre la forme de mots de passe en clair ou chiffrés, de hashs ou de jetons d'accès. L'équipe rouge accède à un ordinateur, recherche des informations d'identification pouvant être utilisées pour accéder à un autre ordinateur, puis répète l’opération, dans le but d'accéder à de nombreux ordinateurs[25]. Les informations d'identification peuvent être volées à de nombreux endroits, y compris les fichiers, les référentiels de code source tels que Git, la mémoire d'ordinateur et les logiciels de traçage et de journalisation. Des techniques telles que transmettre le cookie et transmettre le hash peuvent être utilisées pour accéder aux sites Web et aux machines sans entrer de mot de passe. Des techniques telles que la reconnaissance optique de caractères (ORC), l'exploitation des mots de passe par défaut, l'usurpation d'une invite d'identification et l'hameçonnage peuvent également être utilisées[26].

L'équipe rouge peut utiliser des scripts de programmation informatique et d'interface de ligne de commande (CLI) pour automatiser certaines de leurs tâches. Par exemple, les scripts CLI peuvent utiliser le Component Object Model (COM) sur les machines Microsoft Windows afin d'automatiser les tâches dans les applications Microsoft Office. Les tâches utiles peuvent inclure l'envoi d'e-mails, la recherche de documents, le chiffrement ou la récupération de données. Les équipes rouges peuvent prendre le contrôle d'un navigateur à l'aide du COM d'Internet Explorer, de la fonction de débogage à distance de Google Chrome ou du framework de test Selenium[27].

La défense

[modifier | modifier le code]

Lors d'une véritable intrusion, l'équipe rouge peut travailler avec l'équipe bleue pour aider à la défense du SI. Ils peuvent ainsi fournir une analyse prévoyant les prochains mouvements des intrus. Lors d'une intrusion, l'équipe rouge et l'équipe bleue ont un avantage sur le terrain car elles connaissent mieux les réseaux et les systèmes de l'organisation que l'intrus[11].

Diagram of a network firewall. Contains computers on the left and right side, a wall icon in the middle, lines connecting the computers that symbolize network connections, and all the lines on each side merge together before going through the firewall.
Un pare-feu réseau (illustré) peut être utilisé pour limiter l'accès à un réseau privé à partir d'Internet au sens large. Un pare-feu logiciel, tel qu'un pare-feu intégré au système d'exploitation d'un ordinateur, peut être utilisé pour limiter l'accès à distance à cet ordinateur.

L'équipe rouge d'une organisation peut être une cible attrayante pour de vrais attaquants. Les machines des membres de l'équipe peuvent contenir des informations sensibles sur l'organisation. Ainsi, les machines des membres de l'équipe rouge sont souvent sécurisées[28]. Les techniques de sécurisation des machines incluent la configuration du pare-feu du système d'exploitation, la restriction de l'accès Secure Shell (SSH) et Bluetooth, l'amélioration de la journalisation et des alertes, la suppression sécurisée des fichiers et le chiffrement des disques durs[29].

Une tactique consiste à s'engager dans une « défense active », consistant à installer des leurres et des honeypots pour aider à suivre l'emplacement des intrus[30]. Ces honeypots peuvent aider à alerter l'équipe bleue d'une intrusion sur le réseau qui, autrement, n'aurait pas été détectée. Divers logiciels peuvent être utilisés pour configurer un fichier honeypot en fonction du système d'exploitation : les outils macOS incluent OpenBMS, les outils Linux incluent les plug-ins auditd et les outils Windows incluent les listes de contrôle d'accès au système (SACL). Les notifications peuvent inclure des fenêtres contextuelles, des e-mails et l'écriture dans un fichier journal[31]. La surveillance centralisée - où les fichiers journaux importants sont rapidement envoyés au logiciel de journalisation sur une autre machine - est une technique de défense du réseau utile[32].

Gestion d'une équipe rouge

[modifier | modifier le code]

L'utilisation de règles d'engagement peut aider à délimiter les systèmes interdits, à prévenir les incidents de sécurité et à garantir le respect de la vie privée des employés[33]. L'utilisation d'une procédure d'exploitation standard (SOP) peut garantir que les bonnes personnes sont informées et impliquées dans la planification, et améliorer le process de l'équipe rouge, en le rendant mature et reproductible[34]. Les activités de l'équipe rouge ont généralement un rythme régulier[35].

Photo of a security operations center. Contains 5 computers on tables, 10 televisions on the wall, and 2 cybersecurity personnel.
Un centre d'opérations de sécurité (SOC) à l'Université du Maryland

Le suivi de certaines mesures ou indicateurs clés de performance (KPI) peut aider à s'assurer qu'une équipe rouge atteint le résultat souhaité. Des exemples d'indicateurs de performance clés de l'équipe rouge incluent le nombre de tests de pénétration par an ou la croissance de l'équipe d'un certain nombre de pentesters dans un certain laps de temps. Il peut également être utile de suivre le nombre de machines qui sont ou peuvent être compromises et d'autres mesures liées à l'infiltration. Ces statistiques peuvent être représentées graphiquement par jour et placées sur un tableau de bord affiché dans le centre des opérations de sécurité (SOC) pour motiver l'équipe bleue à détecter et à fermer les failles[36]. Afin d'identifier les pires contrevenants, les compromissions peuvent être représentés graphiquement et regroupés selon l'endroit du logiciel où elles ont été découvertes, l'emplacement du bureau de l'entreprise, le titre du poste ou le service[37]. Les simulations de Monte Carlo peuvent être utilisées pour identifier les scénarios d'intrusion les plus probables, les plus dommageables ou les deux[38]. Un modèle de maturité de test, un type de modèle de maturité des capacités, peut être utilisé pour évaluer le degré de maturité d'une équipe rouge et la prochaine étape à franchir[39]. MITRE ATT&CK, une liste de tactiques, techniques et procédures (TTP), peut être consulté pour voir combien de TTP une équipe rouge exploite et donner des idées supplémentaires pour les TTP à utiliser à l'avenir[40].

Intrusion physique

[modifier | modifier le code]

L'équipe rouge « physique » teste à la fois la sécurité physique, les pratiques de sécurité des employés et l'équipement de sécurité[41]. Des exemples d'équipements de sécurité comprennent les caméras de sécurité, les serrures et les clôtures. Dans les équipes rouges physiques, les réseaux informatiques ne sont généralement pas la cible[42]. Contrairement à la cybersécurité, qui comporte généralement de nombreuses couches de sécurité, il peut n'y avoir qu'une ou deux couches de sécurité physique[43].

Avoir un document de « règles d'engagement » partagé avec le client est important, pour spécifier les tactiques qui seront utilisées, les emplacements pouvant être ciblés, ceux ne pouvant pas être ciblés, les dommages pouvant être portés aux équipements tels que les serrures et les portes, le plan, les jalons et les informations de contact[44],[45]. Les règles d'engagement peuvent être mises à jour après la phase de reconnaissance, avec un autre aller-retour entre l'équipe rouge et le client[46]. Les données recueillies lors de la phase de reconnaissance peuvent être utilisées pour créer un plan opérationnel, à la fois à usage interne, et à envoyer au client pour approbation[47].

Reconnaissance

[modifier | modifier le code]
Photo of a black handheld radio. Is black with a long black antenna.
Des radios bidirectionnelles et des écouteurs sont parfois utilisés par des équipes rouges physiques menant des opérations de nuit. Quelque chose de moins visible comme les écouteurs Bluetooth peuvent être utilisés pendant la journée.

Une partie du travail de l'équipe rouge physique consiste à effectuer des reconnaissances[48]. Les informations recueillies lors de la reconnaissance comprennent généralement des informations sur les personnes, les lieux, les dispositifs de sécurité et la météo[49]. La reconnaissance a une origine militaire et les techniques de reconnaissance militaire sont applicables aux équipes rouges « physiques ». L'équipement de reconnaissance de l'équipe rouge peut inclure des vêtements militaires car ils ne se déchirent pas facilement, des lumières rouges pour préserver la vision nocturne et être moins détectables, des radios et des oreillettes, un appareil photo et un trépied, des jumelles, un équipement de vision nocturne et un ordinateur portable tout temps[50]. Certaines méthodes de communication sur le terrain comprennent une oreillette Bluetooth connectée à une conférence téléphonique sur téléphone portable pendant la journée et des radios bidirectionnelles avec oreillettes la nuit[51]. En cas de compromission, les membres de l'équipe rouge sont souvent munis d'une pièce d'identité et d'une lettre d'autorisation avec plusieurs contacts après les heures normales qui peuvent garantir la légalité et la légitimité des activités de l'équipe rouge[52].

Avant que la reconnaissance physique ne se produise, la collecte de renseignements open source (OSINT) peut se produire en recherchant des emplacements et des membres du personnel via Internet, y compris le site Web de l'entreprise, les comptes de médias sociaux, les moteurs de recherche, les sites Web de cartographie et les offres d'emploi (qui donnent des indices sur les technologies et logiciels utilisés par l'entreprise)[53]. C'est une bonne pratique de faire plusieurs jours de reconnaissance, de faire des reconnaissances de jour comme de nuit, d'amener au moins trois opérateurs, d'utiliser une zone de rassemblement à proximité qui est hors de vue de la cible, et de faire de la reconnaissance et de l'infiltration separement plutôt que de les combiner[54].

Les équipes de reconnaissance peuvent utiliser des techniques pour se dissimuler et dissimuler l'équipement. Par exemple, une fourgonnette peut être louée et les fenêtres peuvent être occultées pour dissimuler la photographie et la vidéographie de la cible[55]. L'examen et la vidéo des serrures d'un bâtiment lors d'une visite peuvent être dissimulés par la reconnaissance faisant semblant d'être au téléphone[56]. En cas de compromission, comme des employés qui deviennent méfiants, une histoire peut être répétée à l'avance jusqu'à ce qu'elle puisse être récitée en toute confiance. Si l'équipe se scinde, la compromission d'un opérateur peut amener le chef d'équipe à retirer les autres opérateurs[57]. Des caméras vidéo dissimulées peuvent être utilisées pour capturer des séquences pour un examen ultérieur, et des débriefings peuvent être effectués rapidement après avoir quitté la zone afin que de nouvelles informations soient rapidement documentées[58].

Infiltration

[modifier | modifier le code]

La plupart des opérations physiques de l'équipe rouge se déroulent la nuit, en raison de la sécurité réduite de l'installation et pour que l'obscurité puisse dissimuler les activités[59]. Une infiltration idéale est généralement invisible à la fois à l'extérieur de l'installation (l'approche n'est pas détectée par les passants ou les dispositifs de sécurité) et à l'intérieur de l'installation (aucun dommage n'est fait et rien n'est laissé sur place), et n'alerte personne du passage d'une équipe rouge[60].

Préparation

[modifier | modifier le code]

L'utilisation d'une « liste de chargement » peut aider à garantir que l'équipement important de l'équipe rouge n'est pas oublié[61]. L'utilisation d'équipements militaires tels que les gilets MOLLE et les petits sacs tactiques peut fournir des endroits utiles pour ranger les outils, mais a l'inconvénient d'être visible et d'augmenter l'encombrement[62]. Des vêtements noirs ou un camouflage foncé peuvent être utiles dans les zones rurales, tandis que les vêtements de ville dans les tons de gris et de noir peuvent être préférés dans les zones urbaines[63]. D'autres articles de déguisement urbains incluent un sac pour ordinateur portable ou une paire d'écouteurs autour du cou. Différents types de revêtements de chaussures peuvent être utilisés pour minimiser les empreintes de pas à l'extérieur et à l'intérieur[64].

La discipline lumineuse (garder les lumières des véhicules, des lampes de poche et d'autres outils au minimum) réduit les risques de compromission[59]. Certaines tactiques de discipline légère comprennent l'utilisation de lampes de poche rouges, l'utilisation d'un seul véhicule et le maintien des phares du véhicule éteints[59].

Parfois, il y a des changements de sécurité entre la reconnaissance et l'infiltration, c'est donc une bonne pratique pour les équipes qui approchent d'une cible « d'évaluer et de s'acclimater », pour voir si de nouvelles mesures de sécurité peuvent être vues[43]. Les compromission lors de l'infiltration sont plus susceptibles de se produire lors de l'approche de l'installation[65]. Les employés, la sécurité, la police et les passants sont les plus susceptibles de compromettre une équipe rouge physique[66]. Les passants sont plus rares dans les zones rurales, mais aussi beaucoup plus méfiants[67].

Un mouvement approprié peut aider une équipe rouge à éviter d'être repérée à l'approche d'une cible, et peut inclure se précipiter, ramper, éviter qu sa silhouette ne soit visible sur les collines, marcher en file indienne et marcher par à-coups et pauses[68]. L'utilisation de signaux manuels permet de réduire le bruit[69].

Pénétrer une infrastructure

[modifier | modifier le code]
Diagram of how lock picking works. Contains a lock pick inserted into a cutaway view of a lock. The lock contains 4 small, spring-pushed cylinders on the top. The pick manipulates the cylinders. A tension wrench is also inserted into the lock.
Le crochetage des serrures est considéré par certaines équipes rouges physiques comme une méthode inférieure pour contourner les serrures, en raison du bruit et du temps qu'il faut par rapport à l'utilisation d'attaques de compétence inférieure telles que les cales .

Les dispositifs de sécurité courants comprennent les portes, les serrures, les clôtures, les alarmes, les détecteurs de mouvement et les capteurs au sol. Les portes et les serrures sont souvent plus rapides et plus silencieuses à contourner avec des outils et des cales, plutôt que par le crochetage[70]. Les serrures RFID sont courantes dans les entreprises, et les lecteurs RFID cachés combinés à l'ingénierie sociale lors de la reconnaissance peuvent être utilisés pour dupliquer le badge d'un employé autorisé[71]. Le fil de fer barbelé sur les clôtures peut être contourné en plaçant une épaisse couverture dessus[72]. Les clôtures anti-escalade peuvent être contournées avec des échelles[73]. Les alarmes peuvent parfois être neutralisées avec un brouilleur radio ciblant les fréquences utilisées par les alarmes pour leurs communications internes et externes[74]. Les capteurs de mouvement peuvent être déjoués avec un bouclier spécial de la taille du corps bloquant la signature thermique d'une personne[75]. Les capteurs au sol sont sujets aux faux positifs, ce qui peut amener le personnel de sécurité à ne pas leur faire confiance ou à les ignorer[76].

À l'intérieur de l'infrastructure

[modifier | modifier le code]

Une fois à l'intérieur, si l'on soupçonne une présence dans le bâtiment, se déguiser en nettoyeur ou en employé en utilisant les vêtements appropriés est une bonne tactique[77]. La discipline du bruit est souvent importante une fois à l'intérieur d'un bâtiment, car il y a moins de sons ambiants pour masquer les bruits de l'équipe rouge[78].

Photo of computer servers. There are 3 racks containing about 10 blade servers each.
Une salle de serveurs peut être une cible séduisante pour les équipes rouges. L'accès physique à un serveur peut aider à accéder à des réseaux sécurisés qui sont par ailleurs bien protégés contre les menaces numériques.

Les équipes rouges ont généralement des objectifs d'emplacements sélectionnés et des tâches pré-planifiées pour chaque équipe ou membre de l'équipe, comme entrer dans une salle de serveurs ou le bureau d'un cadre. Cependant, il peut être difficile de déterminer à l'avance l'emplacement d'une pièce, c'est pourquoi il est souvent déterminé à la volée. La lecture des panneaux d'itinéraire de sortie de secours et l'utilisation d'une montre avec une boussole peuvent aider à naviguer à l'intérieur des bâtiments[79].

Les bâtiments commerciaux ont souvent des lumières allumées. Il est recommandé de ne pas allumer ou éteindre les lumières, car cela pourrait alerter quelqu'un. Au lieu de cela, l'utilisation de zones déjà non éclairées est préférée pour les opérations de l'équipe rouge, avec des techniques de précipitation et de gel à utiliser pour se déplacer rapidement dans les zones éclairées[80]. Se tenir debout devant les fenêtres et entrer dans les bâtiments par les halls est souvent évité en raison des risques d'être vu[81].

Un boroscope peut être utilisé pour regarder autour des coins et sous les portes, pour aider à repérer les personnes, les caméras ou les détecteurs de mouvement[82].

Une fois la salle cible atteinte, si quelque chose doit être trouvé comme un document spécifique ou un équipement spécifique, la salle peut être divisée en sections, chaque membre de l'équipe rouge se concentrant sur une section[83].

Les mots de passe sont souvent situés sous les claviers. Des techniques peuvent être utilisées pour éviter de perturber le placement d'objets dans les bureaux tels que les claviers et les chaises, car l'ajustement de ceux-ci sera souvent remarqué[84]. Les lumières et les serrures peuvent être laissées dans leur état d'origine allumé ou éteint, verrouillé ou déverrouillé[85]. Des mesures peuvent être prises pour s'assurer que l'équipement n'est pas oublié, comme avoir une liste de tout l'équipement apporté et vérifier que tous les articles sont comptabilisés[86].

Il est recommandé de transmettre par radio les rapports de situation (SITREP) au chef d'équipe lorsque des événements inhabituels se produisent. Le chef d'équipe peut alors décider si l'opération doit continuer, doit être interrompue ou si un membre de l'équipe doit se rendre en montrant sa lettre d'autorisation et sa pièce d'identité[87]. Lorsqu'ils sont confrontés à des civils tels que des employés, les opérateurs de l'équipe rouge peuvent tenter une ingénierie sociale. Face aux forces de l'ordre, il est recommandé de se rendre immédiatement en raison des conséquences juridiques et de sécurité potentielles[88].

Sortie de l'infrastructure

[modifier | modifier le code]

La façon idéale de sortir d'une installation est lentement et prudemment, de la même manière que l'entrée a été réalisée. Il y a parfois une envie de se précipiter après avoir atteint un objectif de mission, mais ce n'est pas une bonne pratique. Sortir lentement et prudemment maintient la conscience de la situation, au cas où une zone précédemment vide aurait maintenant un nouvel occupant[89]. Alors que le chemin d'entrée est normalement emprunté lors de la sortie, une sortie plus proche ou alternative peut également être utilisée[90].

L'objectif de tous les membres de l'équipe est d'atteindre le point de ralliement, ou éventuellement un deuxième point de ralliement d'urgence. Le point de ralliement se trouve généralement à un endroit différent du point de dépose[91].

Utilisateurs

[modifier | modifier le code]

Entreprises et organisations

[modifier | modifier le code]

Les entreprises privées utilisent parfois des équipes rouges pour compléter leurs procédures et leur personnel de sécurité normaux. Par exemple, Microsoft et Google utilisent des équipes rouges pour aider à sécuriser leurs systèmes[92],[93]. Certaines institutions financières d'Europe utilisent le cadre TIBER-EU[94].

Agences de renseignement

[modifier | modifier le code]
Diagram of terrorist Osama Bin Laden's compound. Contains one large three-story building and several smaller outbuildings. There are large yards on the right and left. Everything is surrounded by a high concrete wall. There are internal walls separating some courtyards for defensive purposes.
L'enceinte du chef terroriste Oussama Ben Laden au Pakistan. Trois équipes rouges ont été utilisées pour examiner les renseignements qui ont conduit à l'assassinat d'Oussama ben Laden en 2011.

Lorsqu'elle est appliquée au travail de renseignement, l'équipe rouge est parfois appelée « analyse alternative »[95]. L'analyse alternative consiste à faire appel à de nouveaux analystes pour revérifier les conclusions d'une autre équipe, remettre en question les hypothèses et s'assurer que rien n'a été oublié. Trois équipes rouges ont été utilisées pour examiner les renseignements ayant conduit a l'assassinat d'Oussama ben Laden en 2011, y compris des équipes rouges extérieures à la Central Intelligence Agency, car le lancement d'une opération militaire au Pakistan pouvait avoir des conséquences diplomatiques et de relations publiques majeures. Il était ainsi important de revérifier les renseignements et les conclusions de l'équipe d'origine[96].

Après avoir échoué à anticiper la guerre du Yom Kippour, la Direction du renseignement des Forces de défense israéliennes forme une équipe rouge appelée Ipcha Mistabra (« au contraire ») pour réexaminer les hypothèses rejetées et éviter la complaisance[2]. L'Organisation du Traité de l'Atlantique Nord (OTAN) utilise aussi une analyse alternative[97].

L'armée utilise généralement l'équipe rouge pour les analyses alternatives, les simulations et les sondes de vulnérabilité[98]. Dans les simulations militaires, la force adverse (OPFOR) dans un conflit simulé peut être appelée cellule rouge[99]. Le thème clé est que l'adversaire (l'équipe rouge) tire parti des tactiques, des techniques et de l'équipement appropriés pour imiter l'acteur souhaité. L'équipe rouge conteste la planification opérationnelle en jouant le rôle d'un adversaire conscient.

Le ministère de la Défense du Royaume-Uni a un programme d'équipe rouge[100].

Les équipes rouges ont été utilisées beaucoup plus fréquemment dans les forces armées des États-Unis après qu'un comité d'examen des sciences de la défense de 2003 les a recommandées pour aider à prévenir les lacunes qui ont conduit aux attentats du 11 septembre. L'armée américaine créé le « Army Directed Studies Office » en 2004. Jusqu'en 2011, elle était la plus importante du département de la Défense des États-Unis (DoD)[101]. L'Université des études militaires et culturelles étrangères propose des cours pour membres et dirigeants d'équipe rouge. La plupart des cours résidents sont dispensés à Fort Leavenworth et ciblent les étudiants du US Army Command and General Staff College (CGSC) ou d'écoles équivalentes de niveau intermédiaire et supérieur[102]. Les cours incluent des sujets tels que la pensée critique, l'atténuation de la pensée de groupe, l'empathie culturelle et l'auto-réflexion[103].

Le concept d'équipe rouge du Corps des Marines commence en 2010 lorsque le commandant du Corps des Marines (CMC), le général James F. Amos, essaye de le mettre en œuvre[104]. Amos rédige un livre blanc intitulé Red Teaming in the Marine Corps. Dans ce document, Amos explique comment le concept d'équipe rouge doit remettre en question le processus de planification et de prise de décisions en appliquant la pensée critique du niveau tactique au niveau stratégique. En juin 2013, le Corps des Marines dote les postes de l'équipe rouge décrits dans le projet de livre blanc. Dans le Corps des Marines, tous les Marines désignés pour occuper des postes dans l'équipe rouge suivent des cours de formation d'équipe rouge de six semaines ou de neuf semaines dispensés par l'Université des études militaires et culturelles étrangères (UFMCS)[105].

Le DoD utilise des équipes rouges cyber pour mener des évaluations contradictoires sur ses réseaux[106]. Ces équipes rouges sont certifiées par la National Security Agency et accréditées par le United States Strategic Command[106].

Sécurité aéroportuaire

[modifier | modifier le code]
Photo of airport bag screening equipment. Two monitors are shown, and the images on the screens are color x-rays of carry-on baggage.
Les équipes rouges sont utilisées par certaines organisations de sécurité aéroportuaire telles que la Transportation Security Administration des États-Unis pour tester le bon fonctionnement du contrôle des aéroports .

La Federal Aviation Administration (FAA) des États-Unis met en place des équipes rouges depuis le vol Pan Am 103 au-dessus de Lockerbie, en Écosse, qui subit un attentat terroriste en 1988. Les équipes rouges effectuent des tests au sein d'une centaine d'aéroports américains chaque année. Les tests sont interrompus après les attentats du 11 septembre 2001 et reprennent en 2003 sous la direction de la Transportation Security Administration, qui assume le rôle de sécurité aérienne de la FAA après le 11 septembre[107]. Avant les attentats du 11 septembre, l'utilisation par la FAA d'équipes rouges révèle de graves faiblesses en matière de sécurité à l'aéroport international Logan de Boston, d'où provenaient deux des quatre vols détournés du 11 septembre. Certains anciens enquêteurs de la FAA ayant participé à ces équipes estiment que la FAA a délibérément ignoré les résultats des tests, et que cela a entraîné en partie l'attaque terroriste du 11 septembre aux États-Unis[108].

La Transportation Security Administration des États-Unis a utilisé l'équipe rouge dans le passé. Une analyse de certaines opérations de l'équipe rouge révèle que des agents d'infiltration étaient capables de tromper les agents de sécurité des transports et de faire passer des armes, des drogues ou des explosifs par la sécurité dans certains grands aéroports au moins 70 % du temps en 2017 et 95 % du temps en 2015[109],[110].

Références

[modifier | modifier le code]
  1. a b et c Zenko, p. 56
  2. a et b Hoffman, p. 37
  3. Hoffman, p. 39
  4. Zenko, p. 57
  5. Hoffman, p. 32
  6. (en) « What is red teaming? », WhatIs.com (consulté le )
  7. a et b (en-US) « Penetration Testing Versus Red Teaming: Clearing the Confusion », sur Security Intelligence (consulté le )
  8. Rehberger, p. 3
  9. (en-US) « The Difference Between Red, Blue, and Purple Teams », Daniel Miessler (consulté le )
  10. (en-GB) « What is Purple Teaming? How Can it Strengthen Your Security? », Redscan, (consulté le )
  11. a et b Rehberger, p. 66
  12. Rehberger, p. 68
  13. Rehberger, p. 72
  14. (en-US) « White Team - Glossary | CSRC », National Institute of Standards and Technology, United States Department of Commerce (consulté le )
  15. Rehberger, pp. 40–41
  16. Rehberger, p. 44
  17. Rehberger, p. 117
  18. Rehberger, p. 132
  19. Rehberger, p. 127
  20. Rehberger, p. 140
  21. Rehberger, p. 138
  22. Rehberger, p. 165
  23. Rehberger, p. 178
  24. Rehberger, p. 180
  25. Rehberger, p. 203
  26. Rehberger, p. 245
  27. Rehberger, p. 348
  28. Rehberger, p. 70
  29. Rehberger, p. 349
  30. Rehberger, pp. 70–71
  31. Rehberger, p. 447
  32. Rehberger, p. 473
  33. Rehberger, p. 23
  34. Rehberger, p. 26
  35. Rehberger, p. 73
  36. Rehberger, pp. 93–94
  37. Rehberger, pp. 97–100
  38. Rehberger, p. 103
  39. Rehberger, p. 108
  40. Rehberger, p. 111
  41. Talamantes, pp. 24–25
  42. Talamantes, pp. 26–27
  43. a et b Talamantes, p. 153
  44. Talamantes, p. 41
  45. Talamantes, p. 48
  46. Talamantes, p 110
  47. Talamantes, pp. 112–113
  48. Talamantes, p. 51
  49. Talamantes, p. 79
  50. Talamantes, pp. 58–63
  51. Talamantes, p. 142
  52. Talamantes, pp. 67–68
  53. Talamantes, p. 83
  54. Talamantes, pp. 72–73
  55. Talamantes, pp. 89–90
  56. Talamantes, p. 98
  57. Talamantes, pp. 100–101
  58. Talamantes, p. 102
  59. a b et c Talamantes, p. 126
  60. Talamantes, p. 136
  61. Talamantes, p. 137
  62. Talamantes, pp. 133–135
  63. Talamantes, p. 131
  64. Talamantes, p. 287
  65. Talamantes, p. 160
  66. Talamantes, p. 173
  67. Talamantes, p. 169
  68. Talamantes, pp. 183–185
  69. Talamantes, p. 186
  70. Talamantes, p. 215
  71. Talamantes, p. 231
  72. Talamantes, p. 202
  73. Talamantes, p. 201
  74. Talamantes, p. 213
  75. Talamantes, p. 208
  76. Talamantes, p. 199
  77. Talamantes, p. 238
  78. Talamantes, p. 182
  79. Talamantes, pp. 242–243
  80. Talamantes, p. 247
  81. Talamantes, p. 246
  82. Talamantes, p. 249
  83. Talamantes, p. 253
  84. Talamantes, p. 284
  85. Talamantes, p. 286
  86. Talamantes, p. 296
  87. Talamantes, p. 266
  88. Talamantes, p. 267
  89. Talamantes, p. 272
  90. Talamantes, p. 273
  91. Talamantes, p. 274
  92. « Microsoft Enterprise Cloud Red Teaming », Microsoft.com
  93. (en) « Google's hackers: Inside the cybersecurity red team that keeps Google safe », ZDNET (consulté le )
  94. (en) European Central Bank, « What is TIBER-EU? », ecb.europa.eu,‎ (lire en ligne, consulté le )
  95. Mateski, « Red Teaming: A Short Introduction (1.0) », RedTeamJournal.com, (consulté le )
  96. Zenko, pp. 127–128
  97. The NATO Alternative Analysis Handbook, 2nd, (ISBN 978-92-845-0208-0, lire en ligne)
  98. Zenko, p. 59
  99. United Kingdom Ministry of Defence, p. 67
  100. United Kingdom Ministry of Defence, p. 6
  101. Mulvaney, « Strengthened Through the Challenge », Marine Corps Gazette, Marine Corps Association, (consulté le )
  102. « UFMCS Course Enrollment »
  103. « University of Foreign Military and Cultural Studies Courses », army.mil (consulté le )
  104. (en) « Red Team: To Know Your Enemy and Yourself », Council on Foreign Relations (consulté le )
  105. Amos, James F. (March 2011). "Red Teaming in the Marine Corps".
  106. a et b « Chairman of the Joint Chiefs of Staff Manual 5610.03 » [archive du ] (consulté le )
  107. « Test devices make it by DIA security », Denver Post,‎ (lire en ligne)
  108. « National Commission on Terrorist Attacks Upon the United States », govinfo.library.unt.edu, University of North Texas (consulté le )
  109. Bennett, « Red Team agents use disguises, ingenuity to expose TSA vulnerabilities », Los Angeles Times, (consulté le )
  110. (en) Inserra, « Here’s How Bad the TSA Is Failing at Airport Security. It’s Time for Privatization. », The Heritage Foundation (consulté le )

Bibliographie

[modifier | modifier le code]

Lectures complémentaires

[modifier | modifier le code]