Accueil » Tests d'intrusion

LES TESTS D'INTRUSION :

 

 


Les tests d'intrusion ou test de pénétration (pentests) consistent à gagner l'accès d'un système informatique à distance (une machine cible) afin de simuler les différentes actions qui pourraient être entreprises par un intrus.

 

La communauté de la sécurité informatique à définit un standard d’exécution des pentests le PTES pour Penetration Testing Execution Standard, ils sont consultable ici : http://www.pentest-standard.org/

 

Il existe deux types de pentests :

 

  • Visibles : Boîte blanche (white box)

 

Ils sont réalisés en accord avec l'entreprise, les résponsables de la sécurité de l'entreprise peuvent montrer leur système aux testeurs, l'avantage est de pouvoir lancer l'attaque sans être bloqué mais elle sera moins réaliste.

 

  • Invisibles : Boîte noire (black box)

 

Elles sont effectuées à l'insu de l'organisation, elles sont demandées par les cadres de l'entreprise afin de tester la capacité de l'équipe de sécurité interne à détecter une attaque et à y répondre. Ils sont très longs et ils faudra trouver le moyen de plus facile d'accéder à un système sans y être détecté.

 

Les  Phases du Pentest :

 

  • Pré engagement :

 

Lors d'un pentest en condition réelle, il sera demandé une autorisation écrite qui va établir  formellement les règles d'engagement du testeur et du client. Elle doit comprendre une liste des cibles et préciser les systèmes ou les attaques que le client refuse d'inclure dans le test.

 

Cette phase ne sera évidemment pas nécessaire lors de vos entraînement sur les différents plateformes que nous allons aborder, mais des règles sont quand même imposée (voir chapitre Pentester Academy)

 


Voir la page suivante. Cette phase ne sera pas utilisée lors de nos exercices sur plateformes car il vous sera directement donné une adresse IP à exploiter et vous passerez souvent directement à l'exploitation.

Le principe de cette phase est de collecter le maximum d'information sans jamais accéder directement au système de la cible et ne pas être détecté par le client. Les réseaux sociaux et google seront les premiers outils utilisés, en particulier les google dorks qui sont traités dans un autre chapitre. Ce type de collecte d'information s'appelle OSINT (Open Source Intelligence).

 

Il sera recherché l'architecture et les responsables du réseau, savoir quel type de système d'exploitation et quel serveur web est utilisé par la cible. Voici une liste d'outils de collecte passive qui sont traités dans des chapitre à part : Google dorks, Whois, Netcraft, NSLookup, The Harvester, Host, Les Serveurs DNS (Domain Name System), Dig, Fierce, Metagoofil, ThreatAgent et bien sûr la plus importante : l'ingénierie sociale.

 

Cette première phase va servir à obtenir essentiellement des adresses IP, à transformer des informations collectées en adresses IP attaquables.

 

 

Durant cette phase, grace aux adresses IP, nous interagissons directement avec la cible pour en apprendre sur celle-ci. Pour cela nous allons effectuer des scans de ports, qui nous indiquerons quels sont les ports ouverts sur le système cible et sur quelles applications les différents protocoles de communications fonctionnent et sur quelles versions. Cela donnera de nouvelles possibilités d'exploitations.

 

Elle se décompose en 4 étapes:

 

  1. Déterminer si un système est actif et connaître le réseau (voir page sniffer le réseau)
  2. Scanner les ports du système
  3. Utiliser le moteur de scripts de Nmap
  4. Recherche de vulnérabilités

 

  • Exploitation :

 

L'exploitation consiste à obtenir le contrôle sur un système à distance. Toutes les exploitations ne conduisent pas à une compromission intégrale de la cible, certaines permettent de disposer d'un accès de niveau administateur (root) à l'ordinateur, certaines permettent simplement de télécharger des fichiers, elles visent à transformer la machine cible en "marionnette" qui se pliera à nos commandes.Les exploits utilisent des défaillances de logiciels pour activer ou désactiver des services, installer de nouveaux logiciels ou des portes dérobées.

 

  • Postexploitation et maintien d'accès :

 

Elle consistera essentiellement à mettre en place une porte dérobée, le but ici est d'installer sur l'ordinateur cible un logiciel qui permet au pentesteur de se reconnecter à la machine à tout moment, il s'agit bien évidemment d'un processus caché dont  l'utilisateur hacké n'aura pas conscience. Sans la postexploitation il n'est pas possible de maintenir un accès sur le long terme sur la machine cible, car l'accès au shell ( voir créer son laboratoire de hacking) peut être perdu dès que l'ordinateur redémarre ou que l’application exploitée est stoppée.

 

  • Rapport du test d'intrusion :

Le pentesteur professionnel doit maintenant rédiger un rapport du test d’intrusion afin d’expliquer clairement ses découvertes :

 

  • En quoi ces découvertes peuvent avoir un impact sur l'entreprise
  • Un rapport détaillés de tous les détails techniques de chaque faille détectée
  • Les résultats bruts donnés par les outils de pentest

 

Voir le cours d'openclassrooms sur le sujet

Et cette conférence par le pdg de Synack :

 

 

Notion de Red team et Blue team

 

Il existe une approche réaliste qui consiste à simuler une attaque ciblée par une read team afin de mettre à l’épreuve les différents moyens de protection, qu’ils soient physiques, humains, organisationnels et informatiques dans une entreprise. Elle permettra également d’évaluer l’équipe de sécurité et le SOC que l’on appellera ici blue team.

 

En théorie, la read team à tous les droits, contrairement à un pentest classique, la plupart des moyens sont bon pour s’introduire dans une organisation. Ces derniers seront amenés à faire du social engineering, pénétrer physiquement dans les locaux sans éveiller les soupçons, réaliser leurs propres exploits/payloads/malwares… leur périmètre d’attaque est vaste. Pour que l’attaque soit réalisée dans des conditions optimales, ces derniers n’auront aucune information sur les systèmes de l’entreprise.

 

A écouter : l'émission NoLimitSecu sur le sujet

 

 

Il existe même des sociétés spécialisées dans l'intrusion physique dans les locaux d'une entreprise afin d'évaluer le niveau de sécurité physique de celle-ci.

 

A écouter : l'émission NoLimitSecu sur le sujet

avec Alexandre TRIFFAULT

 

 

 

Les pentests sont-ils utiles?