La « Red Team X » de Facebook chasse les bugs au-delà des murs du réseau social

En 2019, les hackers ont fourré des équipements réseau portables dans un sac à dos et ont parcouru une ville. Facebook pour inciter les gens à rejoindre un faux réseau Wi-Fi invité. Cette même année, ils ont installé plus de 30.000 cryptominers sur de véritables serveurs de production de Facebook dans le but de dissimuler un piratage encore plus sinistre dans tout ce bruit. Tout cela aurait été incroyablement alarmant si les auteurs n’avaient pas été des employés de Facebook eux-mêmes, membres de la soi-disant équipe rouge chargée de repérer les vulnérabilités avant les méchants.

La plupart des grands entreprises technologiques ont une équipe rouge un groupe interne qui complote et planifie comme le feraient de vrais pirates informatiques afin de parer aux attaques potentielles. Mais lorsque le monde a commencé à travailler à distance, en dépendant de plus en plus de plates-formes comme Facebook pour toutes leurs interactions, l’équipe rouge s’est mise en place. nature des menaces a commencé à changer. Nat Hirsch, responsable de l’équipe rouge de Facebook, et son collègue Vlad Ionescu ont vu l’opportunité, et la nécessité, de faire évoluer leur mission et de l’étendre en conséquence. Ils ont donc lancé une nouvelle équipe rouge, qui se concentre sur l’évaluation du matériel et des logiciels dont Facebook dépend mais qu’il ne développe pas lui-même. Ils l’ont appelée Red Team X.

Une équipe rouge typique se concentre sur la recherche de vulnérabilités dans les systèmes et produits de sa propre organisation, alors que les groupes d’élite de chasseurs de bogues, comme le projet zéro de Google. peuvent se concentrer sur l’évaluation de tout ce qu’ils jugent important, peu importe qui en est l’auteur. Red Team X, fondé au printemps 2020 et dirigé par Ionescu, représente une sorte d’approche hybride, travaillant indépendamment de l’équipe rouge originale de Facebook pour évaluer les produits tiers dont les faiblesses pourraient avoir un impact sur la sécurité du géant social.

« Pour nous, la Covid a été l’occasion de prendre du recul et d’évaluer la façon dont nous travaillons tous, comment les choses se passent et ce que pourrait être la prochaine étape pour l’équipe rouge », explique M. Ionescu. Au fil de la pandémie, le groupe a reçu de plus en plus de demandes d’examen de produits qui sortaient de son champ d’action traditionnel. Avec l’équipe rouge X, Facebook a consacré des ressources à l’examen de ces demandes. « Maintenant, les ingénieurs viennent nous voir et nous demandent d’examiner les produits qu’ils utilisent », explique M. Ionescu. « Et il peut s’agir de n’importe quel type de technologie – matériel, logiciel, micrologiciel de bas niveau, services en nuage, appareils grand public, outils de réseau, et même contrôle industriel. »

Le groupe compte désormais six pirates de matériel et de logiciels, dotés d’une grande expertise, qui se consacrent à cette vérification. Il serait facile pour eux de se perdre dans les méandres du piratage pendant des mois et d’examiner chaque aspect d’un produit donné. L’équipe rouge X a donc conçu un processus d’admission qui incite les employés de Facebook à formuler des questions spécifiques : « Les données stockées sur cet appareil sont-elles fortement cryptées ? », par exemple, ou « Ce conteneur en nuage gère-t-il strictement les contrôles d’accès ? ». Tout cela pour donner des indications sur les vulnérabilités qui causeraient à Facebook les plus gros maux de tête.

« Je suis un énorme nerd à propos de ces choses et les gens avec qui je travaille ont les mêmes tendances, » dit Ionescu, « donc si nous n’avons pas de questions spécifiques, nous allons passer six mois à fouiller partout et ce n’est pas vraiment utile. »

Le 13 janvier, l’équipe rouge X a révélé publiquement une vulnérabilité pour la première fois, un problème avec le VPN AnyConnect de Cisco qui a depuis été corrigé. Elle en publie deux autres aujourd’hui. Le premier est un bogue dans le nuage d’Amazon Web Services qui impliquait le système de sécurité de l’entreprise. Module PowerShell d’un service AWS. PowerShell est un outil de gestion Windows qui permet d’exécuter des commandes. L’équipe a constaté que le module acceptait les scripts PowerShell d’utilisateurs qui n’auraient pas dû être en mesure d’effectuer de telles entrées. La vulnérabilité aurait été difficile à exploiter, car un script non autorisé n’aurait été exécuté qu’après le redémarrage du système, ce que les utilisateurs n’auraient probablement pas eu le pouvoir de déclencher. Mais les chercheurs ont souligné qu’il pourrait être possible pour tout utilisateur de demander un redémarrage en remplissant un ticket de support. AWS a corrigé la faille.

L’autre nouvelle divulgation consiste en deux vulnérabilités dans un contrôleur de système d’alimentation du fabricant de contrôle industriel Eltek appelé Smartpack R Controller. Ce dispositif surveille différents flux d’énergie et agit essentiellement comme le cerveau d’une opération. S’il est connecté, par exemple, à la tension de ligne du réseau, à un générateur et à des batteries de secours, il peut détecter une panne de courant ou un black-out et basculer l’alimentation du système sur les batteries. Ou bien, un jour où le réseau fonctionne normalement, il peut remarquer que les batteries sont faibles et commencer à les charger.