Comment se passe le test d’intrusion ?

Le déroulement d’un pentest ou test d’intrusion est encadré par le standard PTES ou Penetration Test Execution Standard créé en 2009.

Il a pour but d’offrir aux entreprises ou pentesters, une méthodologie de conduite d’un test d’intrusion en se basant sur 7 phases.

Phase de pré-engagement

Dans cette phase, l’entreprise qui souhaite mener des tests sur son système d’information, réseau et sur ses application, définit avec le pentester (ou l’entreprise en charge de réaliser le test d’intrusion) un contrat. Ce contrat délimite le périmètre du test d’intrusion qui va être réalisé, ce que le pentester a doit de faire et ce qu’il n’a pas droit de faire, ainsi que les objectifs.

C’est une phase très importante car elle définit le cadre légal du contrat, les limites à ne pas franchir et les objectifs du test d’intrusion.

Donc c’est un engagement écrit entre les deux parties qui contiendra tous les points nécessaires pour la bonne conduite du test d’intrusion sans nuire aux intérêts de chaque parti.

Le pentester étant amené à se comporter comme un attaquant et à exploiter les failles découvertes, il est important de définir les limites à ne pas franchir pour ne pas par exemple exposer les données sensibles et personnelles de l’entreprise.

Il peut se passer beaucoup de choses inattendues lors d’un pentest. Par exemple, un système ou une application peut ne plus fonctionner après un test d’intrusion. Pour une entreprise, une application interne vitale ou un service qui ne fonctionne plus peut avoir des répercussions importantes sur le business.

De ce fait, il faut bien définir le contrat sur les points suivants :

  • Comprendre le besoin et le résultat attendu par le client
  • Les objectifs du test d’intrusion
  • Le périmètre concerné par le test d’intrusion, les services, les technos etc…
  • La durée du test.
  • Ce qu’il faut faire en cas de découvertes de vulnérabilités. Faut-il les exploiter ou non, autrement dit les limites à ne pas franchir
  • Autorisation d’accéder à des applications ou données sensibles.

Pour le pentester, ce contrat lui permettra de se protéger de manière légale mais aussi de connaitre les contours du test à mener.

Ainsi le pentester peut bien conduire son travail en gardant en tête les engagements vis-à-vis de l’entreprise.

Collecte d’informations / renseignements (Intelligence gathering en anglais)

Comme son titre l’indique, cette phase permet la collecte d’informations ou de renseignements sur la cible qui n’est rien d’autre que l’entreprise souhaitant tester son système d’information.

Lors de cette phase le pentester doit recueillir le plus d’informations possibles sur la cible, sur son système d’information et ses applications. Le moindre détail peut avoir son négligence.

L’une des capacités les plus utiles d’un pentester est sa capacité à recueillir des informations sur sa cible et à les utiliser par la suite pour établir sa surface d’attaque ainsi de la manière dont il s’y prendra.

On peut recueillir des informations en utilisant :

  • Des moteurs de recherches et notamment Google. Dans le cas de l’utilisation de Google, on parle de Google Hacking qui est souvent une mine d’informations. Le tout est de savoir s’y prendre et d’utiliser les recherches avancées qu’offre le moteur de recherche Google.
  • Les réseaux sociaux peuvent aussi être très utililes et nous fournir des informations capitales dans le cadre du social engineering ( exploitation des failles dues au comportement humain).
  • Des outils DNS comme dig, nslookup qui peuvent permettre de récupérer des IPs et d’établir un profil géographique.
  • – On peut aussi faire du scan passif pour détecter des services, les systèmes de protection mais surtout pour voir les ports ouverts.

Le Threat Modeling

Dans cette phase, on va chercher à comprendre le contexte de l’entreprise et les menaces auxquelles elle est exposée, ce qui permettra de déterminer une méthodologie d’attaque efficace.

Une entreprise dans le secteur agroalimentaire aura un contexte et des risques différents qu’une autre évoluant dans le secret bancaire. La première aura plus tendance à protéger ses secrets de fabrication alors que le deuxième sera plus préoccupé à protéger les informations personnelles et bancaires de ses clients.

Pour mener à bien cette phase, on utilisera les informations recueillies lors de la phase de collecte pour analyser les menaces et ainsi déterminer la méthode d’attaque la plus appropriée par rapport au contexte de l’entreprise.

Cette phase doit être bien menée car le pentester ne peut pas se permettre de tester des attaques ou des méthodes aléatoires pour une question d’efficacité et de temps.

L’analyse de vulnérabilités

Dans cette étape ou phase il s’agit d’analyser les vulnérabilités réseaux, systèmes ou applicatives en se basant sur les informations réunies des phases précédentes.

L’analyse peut se faire de manière manuelle avec des méthodes existantes ou automatisée en utilisant des scanneurs de vulnérabilités ou des scripts que le pentester aura fait lui-même.

Donc c’est une phase très importante car elle précède celle de l’exploitation des failles. Donc il est très important d’être minutieux pour ne pas perdre son temps avec des faux-positifs.

La phase d’exploitation.

C’est dans cette phase en général que le pentester ressent la consécration de son travail des phases précédentes.

Une fois qu’il aura dressé une liste des vulnérabilités dans la phase précédente, le pentester commencera à les exploiter pour prendre le contrôle des applications ou du système d’information.

Dans cette phase, il essayera d’aller le plus loin possible, de prendre le contrôle avec des droits administrateurs et essayer de récupérer les données sensibles de l’entreprise tout en respectant ce qui a été défini dans le contrat de pré-engagement.

Là aussi le pentester se doit être rigoureux et minutieux pour exploiter les vulnérabilités avec la manière la plus adaptée.

Post-Exploitation

Cette phase suit directement la phase d’exploitation comme son l’indique.

A cette étape, le pentester après s’être introduit ou pris le contrôle du système d’information ou des applications, cherchera à effacer ses traces pour ne pas éveiller de soupçons auprès des administrateurs systèmes ou les personnes garantes de la sécurité du système d’information.

Comme le ferait en attaquant qui compromet le système d’information, il laissera des backdoors ou portes dérobées en implémentant des malwares ou rootkit qui lui permettront d’avoir un contrôle pérenne.

Reporting

C’est la partie la plus importante de tout test d’intrusion. Car il s’agit dans cette partie le pentester doit fournir un rapport sous forme de documentation qui explique, ce qu’il a fait, comment il l’a fait et plus important comment l’entreprise pourrait s’e servir pour corriger les failles découvertes.

Le pentester agissant comme un attaquant se doit de fournir ce rapport qui peut être divisé en plusieurs :

  • Un rapport sur les failles découvertes et comment les utiliser pour mitiger et améliorer la sécurité du système d’information.
  • Un rapport technique qui détaille techniquement les failles, leurs exploitations et comment les corriger.

Les types de pentest

Je vais brièvement présenter les types de pentest ou test d’intrusion.

Ces types sont simplement basés sur la quantité d’information que dispose le pentester avant de commencer son pentest.

Ainsi on en distingue deux principaux (certains parlent de 3).

Le mode black box

Dans ce type de pentest, le pentester ne dispose d’aucune information sur sa cible initialement et doit donc les recueillir lui-même. Le pentester est ainsi dans la peau d’un vrai attaquant.

Donc ce type de pentest est souvent plus efficace car en partant de rien, le pentester montrera comment un vrai attaquant s’y prendrait pour attaquer une entreprise.

Le mode white box

A l’inverse du mode blackbox, ici le pentester démarre avec toutes les infos nécessaires pour réaliser son test d’intrusion. Ces infos lui sont fournies par l’équipe en charge de la sécurité du système d’information de l’entreprise.

Il aura les infos et accès nécessaires pour faire son travail.

Il existe aussi un 3eme mode appelé « grey box ». C’est un mode intermédiaire entre le black box et le white box. Le pentester dispose d’informations limitées dans ce monde et doit faire avec pour faire son travail.

Partager.

A propos de l'auteur

Laisser Une Réponse