PENTEST

Dans cette phase, l’entreprise qui souhaite mener des tests sur son système d’information, réseau et sur ses application, définit avec le pentester (ou l’entreprise en charge de réaliser le test d’intrusion) un contrat. Ce contrat délimite le périmètre du test d’intrusion qui va être réalisé, ce que le pentester a doit de faire et ce qu’il n’a pas droit de faire, ainsi que les objectifs.

C’est une phase très importante car elle définit le cadre légal du contrat, les limites à ne pas franchir et les objectifs du test d’intrusion.

Donc c’est un engagement écrit entre les deux parties qui contiendra tous les points nécessaires pour la bonne conduite du test d’intrusion sans nuire aux intérêts de chaque parti.

Le pentester étant amené à se comporter comme un attaquant et à exploiter les failles découvertes, il est important de définir les limites à ne pas franchir pour ne pas par exemple exposer les données sensibles et personnelles de l’entreprise.

Il peut se passer beaucoup de choses inattendues lors d’un pentest. Par exemple, un système ou une application peut ne plus fonctionner après un test d’intrusion. Pour une entreprise, une application interne vitale ou un service qui ne fonctionne plus peut avoir des répercussions importantes sur le business.

De ce fait, il faut bien définir le contrat sur les points suivants :

Pour le pentester, ce contrat lui permettra de se protéger de manière légale mais aussi de connaitre les contours du test à mener.

Ainsi le pentester peut bien conduire son travail en gardant en tête les engagements vis-à-vis de l’entreprise.

Comme son titre l’indique, cette phase permet la collecte d’informations ou de renseignements sur la cible qui n’est rien d’autre que l’entreprise souhaitant tester son système d’information.

Lors de cette phase le pentester doit recueillir le plus d’informations possibles sur la cible, sur son système d’information et ses applications. Le moindre détail peut avoir son négligence.

L’une des capacités les plus utiles d’un pentester est sa capacité à recueillir des informations sur sa cible et à les utiliser par la suite pour établir sa surface d’attaque ainsi de la manière dont il s’y prendra.

On peut recueillir des informations en utilisant :

Dans cette phase, on va chercher à comprendre le contexte de l’entreprise et les menaces auxquelles elle est exposée, ce qui permettra de déterminer une méthodologie d’attaque efficace.

Une entreprise dans le secteur agroalimentaire aura un contexte et des risques différents qu’une autre évoluant dans le secret bancaire. La première aura plus tendance à protéger ses secrets de fabrication alors que le deuxième sera plus préoccupé à protéger les informations personnelles et bancaires de ses clients.

Pour mener à bien cette phase, on utilisera les informations recueillies lors de la phase de collecte pour analyser les menaces et ainsi déterminer la méthode d’attaque la plus appropriée par rapport au contexte de l’entreprise.

Cette phase doit être bien menée car le pentester ne peut pas se permettre de tester des attaques ou des méthodes aléatoires pour une question d’efficacité et de temps.

Dans cette étape ou phase il s’agit d’analyser les vulnérabilités réseaux, systèmes ou applicatives en se basant sur les informations réunies des phases précédentes.

L’analyse peut se faire de manière manuelle avec des méthodes existantes ou automatisée en utilisant des scanneurs de vulnérabilités ou des scripts que le pentester aura fait lui-même.

Donc c’est une phase très importante car elle précède celle de l’exploitation des failles. Donc il est très important d’être minutieux pour ne pas perdre son temps avec des faux-positifs.

C’est dans cette phase en général que le pentester ressent la consécration de son travail des phases précédentes.

Une fois qu’il aura dressé une liste des vulnérabilités dans la phase précédente, le pentester commencera à les exploiter pour prendre le contrôle des applications ou du système d’information.

Dans cette phase, il essayera d’aller le plus loin possible, de prendre le contrôle avec des droits administrateurs et essayer de récupérer les données sensibles de l’entreprise tout en respectant ce qui a été défini dans le contrat de pré-engagement.

Là aussi le pentester se doit être rigoureux et minutieux pour exploiter les vulnérabilités avec la manière la plus adaptée.

Cette phase suit directement la phase d’exploitation comme son l’indique.

A cette étape, le pentester après s’être introduit ou pris le contrôle du système d’information ou des applications, cherchera à effacer ses traces pour ne pas éveiller de soupçons auprès des administrateurs systèmes ou les personnes garantes de la sécurité du système d’information.

Comme le ferait en attaquant qui compromet le système d’information, il laissera des backdoors ou portes dérobées en implémentant des malwares ou rootkit qui lui permettront d’avoir un contrôle pérenne.

C’est la partie la plus importante de tout test d’intrusion. Car il s’agit dans cette partie le pentester doit fournir un rapport sous forme de documentation qui explique, ce qu’il a fait, comment il l’a fait et plus important comment l’entreprise pourrait s’e servir pour corriger les failles découvertes.

Le pentester agissant comme un attaquant se doit de fournir ce rapport qui peut être divisé en plusieurs :

Dans ce type de pentest, le pentester ne dispose d’aucune information sur sa cible initialement et doit donc les recueillir lui-même. Le pentester est ainsi dans la peau d’un vrai attaquant.

Donc ce type de pentest est souvent plus efficace car en partant de rien, le pentester montrera comment un vrai attaquant s’y prendrait pour attaquer une entreprise.

A l’inverse du mode blackbox, ici le pentester démarre avec toutes les infos nécessaires pour réaliser son test d’intrusion. Ces infos lui sont fournies par l’équipe en charge de la sécurité du système d’information de l’entreprise.

Il aura les infos et accès nécessaires pour faire son travail.

Il existe aussi un 3eme mode appelé « grey box ». C’est un mode intermédiaire entre le black box et le white box. Le pentester dispose d’informations limitées dans ce monde et doit faire avec pour faire son travail.