Un test d’intrusion (ou PenTest en anglais) est une analyse faisant partie de l’audit de sécurité, menée par un ou plusieurs Ethical Hackers qui consiste à simuler une attaque afin de déceler les vulnérabilités et erreurs de configuration d’un système informatique et de connaître leurs risques associés.
Comment se passe un test d’intrusion ?
Préparation du test
Un test d’intrusion commence par un travail collaboratif entre l’entité effectuant le test et l’entreprise ou le particulier soumis au test. Avant d’effectuer la moindre action technique, il est nécessaire de traiter et documenter plusieurs points primordiaux :
I - Le scope du test
Ce qu’on décrit généralement par l’anglicisme “scope” est le périmètre précis du test. Il est très important de définir en amont quels sont le domaines, plages d’IPs, applications, machines et emplacement physiques qui seront testés. Une mauvaise définition du scope d’un test peut déboucher sur un test non concluant ou même sur des interruptions de service non-prévues ou des pertes de données importantes dans le pire des cas.
II - Le contexte légal du test
Chaque test intrusif doit être au strict minimum accompagné d’une autorisation écrite de tester les éléments définis dans le scope signée par le représentant légal de l’entreprise testée.
Il est également grandement recommandé de signer un contrat déterminant les devoirs et responsabilités de chacune des deux parties concernant le futur pentest avant de commencer. L’encadrement d’un juriste pour la rédaction d’un tel document est un avantage non négligeable.
III - Le type de test
On distingue généralement trois types de tests d’intrusion, différenciés par la quantité d’informations qui est partagée avec la personne effectuant le test :
White Box
En White Box (ou boite blanche), une grande quantité d’informations (comptes administrateurs, adresses IPs, physiques, noms de domaines, cartes du réseau, architecture logicielle) est partagée avec le testeur.
L’avantage est que le test effectué est souvent plus approfondi, en revanche la situation de boite blanche représente rarement un cadre “réaliste” d’attaque informatique.
Gray Box
En Gray Box (ou boite grise), moins d’informations qu’en White Box sont communiquées, seulement des identifiants de comptes avec peu de privilèges sont communiqués et une topologie basique de l’architecture et du réseau peuvent être également partagées.
L’avantage est que le test se rapproche de ce qu’un utilisateur (peu privilégié) malveillant pourrait découvrir et exploiter comme vulnérabilités, c’est le juste milieu entre un test représentant une attaque réaliste (comme en Black Box) et un test complet (comme en White Box).
Black Box
En Black Box (ou boite noire), le strict minimum des informations (seulement une IP, un nom de domaine) sont partagées avec le testeur.
C’est le scénario de test qui se rapproche le plus du contexte dans lequel une “vraie” attaque est menée et qui est le plus pertinent si on souhaite savoir quels dégâts une attaque externe pourrait causer.
En revanche il est probable qu’en Black Box certains services et certaines entités ne soient pas découvertes ou accessibles, et donc pas testées.
Déroulement du test
Une fois la phase préparatoire du test terminée, la partie technique peut commencer. Certains pentesters font le choix, pour éviter que la cible du test puisse s’y préparer et être plus vigilante que de manière générale de ne pas donner la date exacte à laquelle le test sera effectué.
Les méthodologies (du PTES, CREST, EC-Council […]) normalisées de PenTest découpent généralement le test en entre 5 et 8 étapes qui suivent un plan globalement similaire à celui-ci :
- Reconnaissance Passive : Le but de cette phase est de récupérer des informations sur l’organisation, l’architecture technique, l’emplacement physique et l’activité de la cible depuis des ressources disponibles publiquement.
- Énumération : Dans cette phase du test, le testeur va faire une recherche active (en interagissant avec la cible) des services, machines, réseaux et comptes disponibles sur le système ciblé.
- Exploitation : Une fois que le testeur a une vision précise des ressources à disposition, l’exploitation du système cible peut commencer. Le but ici est de trouver et de lister les vulnérabilités afin d’en trouver une permettant d’avoir un accès utilisateur au système.
- Élévation de privilèges : À partir de l’accès utilisateur découvert, le pentester va maintenant chercher une faille lui permettant de s’octroyer plus de permissions que ce que qu’il a pour le moment.
- Post-Exploitation : La phase de post-exploitation est (comme lors d’une “vraie” attaque informatique) l’étape où l’attaquant efface ses traces et met en place des dispositifs discrets (porte dérobées) lui permettant de pouvoir facilement accéder à ce qu’il a pu découvrir pendant la phase d’exploitation.
Quel est l’intérêt de tester votre système ?
L’intérêt majeur du PenTest est d’avoir de la visibilité sur les failles d’un système avant qu’elles ne puissent être découvertes et exploitées par quelqu’un de malveillant.
Il est difficile, même avec beaucoup de moyens défensifs de maintenir une défense parfaite, le moindre outil tiers ou système en retard sur ses mises à jour de sécurité peut compromettre la sécurité de toute une infrastructure.
Chaque test d’intrusion est accompagné d’un rapport détaillé des actions réalisées ainsi que des conseils sur la remédiation pour chacune des vulnérabilités découvertes.
Contrairement à ce qu’on pourrait parfois penser, le but réel d’un test d’intrusion n’est pas de prouver qu’il est possible (ou non) de s’introduire dans votre système mais de vous donner de la visibilité sur ce qu’il y a de positif et de négatif dans la sécurité de votre système.
La différence entre le test d’intrusion et l’audit de vulnérabilité
Le test d’intrusion est souvent associé dans un processus de recherche active de vulnérabilités avec des audits de vulnérabilités réguliers.
Un audit de vulnérabilités a le même objectif qu’un test d’intrusion : déceler des vulnérabilités avant qu’elles puissent poser problème, la différence majeure est qu’un test d’intrusion est une procédure manuelle et approfondie. Un audit de vulnérabilité est quand à lui une tâche automatisée, moins coûteuse et à réaliser fréquemment.
Pour plus d’information sur les tests d’intrusion, les audits de vulnérabilités ou si vous souhaitez avoir des conseils sur la sécurité de votre entreprise vous pouvez nous contacter et consulter nos services.
Ressources :
https://korben.info/n-test-intrusion.html (Français)
https://www.owasp.org/index.php/Penetration_testing_methodologies (Anglais)
https://www.crest-approved.org/wp-content/uploads/CREST-Penetration-Testing-Guide.pdf (Anglais)
