in ,

Pentesting Cybercriminalité : Tests d’intrusion sécurité ou tests de vulnérabilité et pénétration

Pentesting, (condensé de penetration testing) c’est une méthode qui consiste à analyser une cible en se comportant, comme si nous étions des pirates, ils sont faits pour participer à la sécurisation de vos réseaux, et déterminer les défaillances informatiques, pour mieux préparer comment y rémédier, et la première fois que le terme fut utilisé c’était en 1970.

Pentesting Cybercriminalité 2022
Pentesting Cybercriminalité 2022

Les attaques informatiques constituent de véritables dangers pour les entreprises, c’est l’un des pires fléaux rencontrés de nos jours, elles sont en constante progression et de plus en plus sophistiquées, tous les professionnels vous le diront, et les rapports en ce sens polluent sur le net.

Et cela rapporte gros, d’après le rapport X-Force Threat Intelligence Index 2020 d’IBM, près de 60% des cyberattaques font usage de données d’identification volées ou des vulnérabilités logicielles détectées en amont, c’est pour cela qu’elles se développent avec tant de vigueur.

Pour faire face, le « pentesting » a été développé, son but initial se prémunir contre tous les types d’intrusions dans un Système d’Information (SI), son origine remonte à 1965, et il fut abordé pour la première fois, lors d’une conférence, sur la crise informatique aux USA, faite par la société CDC.

En simulant, le test de pénétration, les pirates réussissent à surfer sur les entrées et les sorties, afin de mieux percer les SI. Tous les secteurs d’activités dans le monde en sont demandeurs (les grands groupes, les industriels, les multinationales, les grandes banques).

Pour la petite histoire, le terme « pénétration », fut choisi en 1967, pour définir la violation d’un système de sécurité, et le terme « pentesting » vit le jour en 1970, pour approfondir en désignant la pénétration dans un ordinateur, ou un réseau d’ordinateurs.

Depuis plusieurs années, le nombre de cyberattaques double, année après année, voyez les statistiques des organismes spécialisés sur le sujet (ANSII). L’intention des pirates est variée, mais les principales motivations sont toujours d’ordre :

  • économique,

  • politique

  • ou juste pour le fun ou  challenge de l’exercice !

La vente des fichiers volés, les accès aux comptes bancaires, sont très rentables pour les « hackers », et comme ils gagnent beaucoup d’argent, ils répètent les opérations autant que possible, en inventant si nécessaires des outils pour cela (cas du cheval de troie, Rutless).

Qu’est ce qu’un Pentest Cybercriminalité ou Audit de vulnérabilités

Préconisée, pour ne dire exigée par un certain nombre de méthodologies et de réglementations, le « pentest » ou test d’intrusion, ou audit des vulnérabilités, a pour objectif d’analyser  votre infrastructure informatique et simuler l’attaque d’un utilisateur mal intentionné (hackeur) ou d’un logiciel malveillant, quel qu’il soit (Ransomwère, Malware ou autre).

L’objectif initial d’un pentest est d’évaluer le niveau de sécurité d’une infrastructure, d’un réseau, d’un service web ou encore d’un site e-commerce. Pour cela, l’auditeur our responsable de sécurité (communément appelé pentester ou ethical hacker), va tester la cible en simulant des attaques réelles, qu’elles soient depuis l’intérieur ou bien depuis l’extérieur.

Un test d’intrusion, ou test de pénétration, ou encore Pentest, est une méthode qui consiste à analyser une cible en se mettant dans la peau d’un attaquant (connu aussi sous le nom de hacker malveillant ou pirate). Cette cible peut être :

  1. une IP,

  2. une application,

  3. un serveur web,

  4. ou un réseau complet.

  • Audit Externe

Ce type d’audit peut être réalisé sur des cibles externes de l’entreprise (sites web accessibles sur internet, API publiques, Réseaux…). Le pentester réalise des tests à distance, depuis une simple connexion internet. Il simulera des attaques d’acteurs malveillants, de manière anonyme, mais contrôlée, attention la moindre alerte ou la moindre faille, doit être analysée et décortiquée en détail.
  • Audit Interne

Cet audit peut être aussi réalisé en interne, depuis les locaux de l’entreprise. Le pentester simulera des actions malveillantes depuis l’intérieur de l’entreprise. Le but est de mesurer le risque de compromission par un collaborateur, un partenaire ou un prestataire de l’entreprise, il ne faut rien négliger (failles), car tout est possible en informatique, et tous les cas, sont à prendre en compte.
  • Des axes différents, Gray Box, Back Box, White Box, défensifs ou offensifs.

Le périmètre déterminé, il convient de choisir quel type est le type de Pentest qui  devra être réalisé, plusieurs approches sont recommandées par les experts, la Gray Box, ou la Black Box, il n’y a pas de choix par défaut, l’une est plus axée sur le périmètre, l’autre sur le temps à y consacrer.

D’autres experts préconisent aussi ce que l’on dénomme,  une phase de White-Box : Le testeur de pénétration a la connaissance complète sur le réseau/système cible, incluant le schéma d’adresses IP, code source, détails des OS… Imaginons que c’est quelqu’un d’interne à la structure.

Cela peut être considéré comme une simulation d’une attaque exécutée par une personne interne à la société (responsable de production ou homme sécurité) qui dispose des informations nécessaires. L’attaque commence à l’intérieur de l’entreprise cliente.

Avec l’expérience, les systèmes évoluent et chez certains prestataires deux logiques ont vu le jour, et ont mis des couleurs, la logique offensive READ TEAM, et la logique défensive, BLEU TEAM, toutes les deux viennent compléter vos dispositifs de cybersécurité, et les choix vous appartiennent.

Pourquoi effectuer des tests de pénétration et à quelle fréquence ?

Toutes les organisations devraient effectuer des pentests à des périodes régulières, au minimum une fois par an, mais l’idéal reste quand même tous les 6 mois, pour assurer une meilleur sécurité du réseau, et une gestion plus cohérente de votre système d’information.

En plus des analyses et des évaluations prescrites par la réglementation, des tests d’intrusion peuvent également être effectués chaque fois qu’une modification conséquente de votre  organisation est envisagée, des exemples pour   :

  • Ajouter une nouvelle infrastructure de réseau ou de nouvelles applications.
  • Apporter des mises à niveau, des nouveaux logiciels
  • Pour faire,  des modifications importantes à ses applications ou à son système d’information.
  • Établir de nouveaux bureaux.
  • Appliquer des correctifs de sécurité.
  • Modifier les politiques relatives aux utilisateurs finaux, ou en ajouter d’autres.

Tout un tas, d’autres facteurs, qui souvent dépendent des entreprises elles mêmes, peuvent influer et rendre nécessaires de procéder à des tests de pénétration, nous les citons (simplement pour mémoire), sans ordre précis, ni sans chronologie :

  •  La taille de l’entreprise :

Les entreprises plus présentes sur Internet ont plus de vecteurs d’attaque et sont donc des cibles plus attrayantes pour les pirates.

  • Le coût des tests :

Les tests de pénétration peuvent être coûteux, de sorte qu’une entreprise disposant d’un budget plus modeste pourrait ne pas être en mesure de les réaliser chaque année.

  • La réglementation et la conformité :

Les organisations de certains secteurs sont tenues par la loi d’effectuer certaines tâches de sécurité, y compris le test d’intrusion du SI.

  • Le système de stockages de données :

Une entreprise dont l’infrastructure est dans le Cloud pourrait ne pas être autorisée à tester l’infrastructure du fournisseur de services dans le Cloud. Cependant, le fournisseur pourra effectuer lui-même des tests de pénétration.

Séparer les Audits, pour mieux les analyser.

Audits de Sécurité

  • Analyses des menaces potentielles
  • Évaluation du niveau de sécurité
  • Identification des vulnérabilités
  • Qualification des risques
  • Formulaire du plan de remédiation
  • Mise en œuvre des remédiations

Audits d’Infrastructure & d’Architecture

  • Architectures applicatives
  • Architectures réseaux
  • Serveurs et systèmes d’exploitation
  • Infrastructures Telecom
  • Audit de code (ou des codes)
  • Audit des processus internes

Pentest, le phases les plus usuelles d’un planning de Pentest.

a) Phase de planning

  • La portée du test :
  • L’estimation de l’effort :
  • La Légalité :

b) Phase de découverte

  • Énumérer les réseau sans-fil cachés et visibles dans la zone.
  • Recenser les appareils dans la zone, ainsi que ceux connectés.
  • Cartographier les portées des réseaux,
  • L’existence d’un éventuel cryptage

c) Phase d’attaque

  • Tester la sécurité physique avant tout :
  • Attaquer l’infrastructure :
  • Faire le scanning des ports,
  • Relever les services (FTP, HTTP, etc).
  • Ne pas oublier d’inclure les sous-réseaux
  • Trouver les clients vulnérables
  • Trouver les clients non autorisés

d)  Phase de reporting

C’est probablement la phase la plus importante de toutes, car il ne faut rien négliger, ni oublier de constater toute anomalie même la plus infime.

Il est important que le rapport représente la qualité du test sachant que le lecteur final ne va voir que le rapport, une attention particulière doit être donnée, pour qu’il soit très lisible.

Ce qui suit est un structure de base, d’un rapport-type :

  1. Résumé sur la gestion/le management
  2. Résumé technique
  3. Résultats :
    — Description de vulnérabilité
    — Sévérités / Défaillances
    — Appareils affectés
    — Types de vulnérabilités : logiciel/matériel/configuration —
  4. Remèdes et solutions préconisées.

Auteur Antonio Rodriguez, Directeur Clever Technologies

Autres articles

Written by Antoine

Informaticien depuis des lustres, ancien directeur de Banque (Informatique, Comptabilité, Communication, Refonte Informatique), Antoine est un passionné par les nouvelles technologies, et les innovations liées à l'informatique. Une de ses passions est d'écrire des articles, sur les sujets les plus variés et les plus divers, mais en relation avec le monde du SMS ou de la communication, de la supervision, et de la gestion des astreintes.

Envoyer les Vœux par SMS 2022 pour souhaiter les bons vœux de la nouvelle année

Envoyer les Vœux par SMS 2022 pour souhaiter les bons vœux de la nouvelle année

Comment prévenir ou gérer les risques industriels ?