Qu’est ce qu’un PenTest ?
Un PenTest ou test de pénétration ou encore test d’instrusion consiste à mettre à l’épreuve les défenses d’un système afin de les évaluer en conditions réelles. Il faut garder en tête que le niveau de sécurité d’un système est égal à son élément le plus vulnérable!
Différentes sortes de tests existent :
-
Black Box : Test en boîte noire. Le testeur va se positionner en tant que pirate, il va donc utiliser les mêmes méthodes et le même état d’esprit que ce dernier. Il ne connait rien de l’organisation de l’entreprise et va chercher le maximum d’informations à son propos. Toutes les méthodes seront bonnes pour arriver à ses fins. Google hacking, réseaux sociaux, social engineering, archives du net etc. C’est le test le plus complet mais aussi le plus long ! Les résultats peuvent être impressionnants.
-
White Box : Test en boîte blanche. Ici l’expert se trouve dans les locaux de l’entreprise à évaluer. Il se branche physiquement sur le réseau et procède à son analyse. Il agit au cœur de la société. On mesure ici le risque de compromission par un employé. C’est généralement le test par défaut. Il permet d’avoir une carte précise des faiblesses internes du client mais ne sera objectif que si l’étendue de la mission est suffisamment large. Pour mener sa mission à bien, il dispose de connaissances détaillées de l’infrastructure du système.
-
Grey Box : Test en boîte grise. Ici le testeur se trouve également dans les locaux de l’entreprise à évaluer. Le périmètre est extrêmement réduit et précis. On lui fournit un accès restreint, stagiaire par exemple, et sa mission est d’obtenir une élévation de privilèges afin d’avoir un accès administrateur de la machine où il a été placé. Ensuite, il devra étendre son périmètre au maximum afin de mesurer les faiblesses et risques du système cible. Il pourrait aussi s’agir d’un test à partir des accès d’un employé qui aurait récemment quitté l’entreprise.
Quels que soient les tests pratiqués, ils doivent tous faire l’objet d’une autorisation écrite. C’est généralement le contrat qui fait office d’autorisation, sinon, les attaques seront considérées comme illégales. C’est donc ce qui différencie les pentesters des pirates.
Les étapes d’un test d’intrusion:
Chaque professionnel de la sécurité informatique peut développer sa propre méthode, il n’y en a pas de bonne ou de mauvaise. Ceci-dit, l’expertise s’appuie sur une ligne directrice pour mener à bien la mission. Vous retrouverez ces phases dans n’importe quel test digne de ce nom. Il est important de bien saisir qu’à partir d’ici nous nous mettons à la place d’un pirate pour penser comme lui.
En premier lieu, l’auditeur va rassembler toutes les informations possibles sur la (ou les) cible(s). Cette phase est absolument cruciale et les étapes suivantes vont directement dépendre des résultats de celle-ci. Le champ d’action est large et aboutit généralement sur une collecte très importante de données. Ici chaque détail peut avoir une importance capitale pour la suite des événements. Plus il y a de données, plus les phases suivantes ont de bonnes chances de réussite. Bien sur, les recherches devront s’effectuer dans le périmètre défini dans le contrat.
Ensuite nous procéderons au scan des équipements en nous focalisant d’avantage sur les IP, le système d’exploitation, les services et versions des logiciels installés pour ainsi axer notre recherche de vulnérabilités de façon plus précise.
En fonction des résultats précédents, bien entendu, nous allons mettre en place une stratégie d’attaque car notre cible et son environnement n’ont maintenant plus aucun secret pour nous. En prenant en compte les éventuels antivirus, firewalls et autres mécanismes de défense, nous forgeons nos paquets et autres payloads. Enfin, nous procédons à l’attaque. Pour simplifier, le but est ici d’obtenir le contrôle du système. Ensuite, nous couvrirons nos arrières en effaçant toutes traces de notre passage.
La suite ?
Il est évident que le pentest ne s’arrête pas à cette étape, le but étant de mettre à l’épreuve le système d’information dans sa vision globale et pas simplement le système informatique. Il faudra également mettre en exergue les SPOF (Single Point Of Failure) et les analyser. Ceux-ci pouvant être matériels, logiciels ou humains. En outre, le personnel pourra faire l’objet d’une campagne de sécurité, par exemple une analyse comportementale par phishing ou autre ingénierie sociale.
Enfin, le rapport devra être rédigé pour le client. Il devra être suffisamment clair et précis pour que les attaques et les mises en lumière des failles puissent être répliquées par les équipes sur place. Le langage devra être adapté aux destinataires et pour terminer, une proposition de correctifs accompagnera ce rapport.