Aller au contenu principal

Tests d’intrusion

Tests d’intrusion (pentesting) et rapports d’audit

Notions théoriques

Tests d’intrusion

Qu'est-ce qu'un test d’intrusion ?

Les tests d’intrusion ou Pen Testing (Penetration Testing) consistent à simuler des attaques informatiques sur :

  • un système,
  • une application
  • ou un réseau pour identifier les failles de sécurité avant qu'un attaquant malveillant ne puisse les exploiter.
attention

Les tests d’intrusion sont réalisés dans un cadre légal et éthique, avec la permission explicite des propriétaires des systèmes testés.


Objectifs d'un test d’intrusion

Les objectifs d'un test d’intrusion sont de :

  • Détecter les vulnérabilités : Cela inclut les faiblesses dans les systèmes, les erreurs de configuration, les problèmes de logiciels, etc.
  • Évaluer l'impact potentiel : Cela aide à comprendre ce qui pourrait se passer si une vulnérabilité était exploitée.
  • Tester la résilience : Évaluer la capacité des systèmes à résister aux attaques et à se rétablir.
  • Améliorer les défenses : En se basant sur les résultats, les systèmes peuvent être renforcés.

Comment se déroule un test d’intrusion ?

Les étapes clés d'un test d’intrusion incluent :

  1. Collecte d'informations (Information Gathering) : Identifier et collecter des informations sur la cible.
  2. Modélisation des menaces (Threat Modeling) : Déterminer les menaces potentielles et les acteurs malveillants.
  3. Analyse des vulnérabilités (Vulnerability Analysis) : Détecter les faiblesses potentielles dans le système.
  4. Exploitation : Utiliser les vulnérabilités trouvées pour accéder au système ou aux données.
  5. Post-exploitation : Déterminer la valeur des données compromises et maintenir l'accès pour des tests futurs.
  6. Rapport (Reporting) : Documenter les découvertes et fournir des recommandations détaillées.

Les 3 stratégies possibles

Les tests d'intrusion (pentests) peuvent être réalisés selon 3 stratégies en fonction du niveau de connaissance que le testeur a du système cible.

Ces stratégies sont généralement désignées par les termes "white box", "grey box" et "black box", qui décrivent le degré d'information préalable sur l'infrastructure à tester.

1) White box (Boîte blanche)

Le pentest en boîte blanche est parfois appelé test "avec connaissance complète".

Dans ce type de test, l'auditeur a un accès complet aux informations concernant le système cible. Cela inclut les schémas de l'infrastructure, les codes sources, les adresses IP, les diagrammes de réseau et parfois même les identifiants.

L'avantage de cette approche est qu'elle permet une analyse en profondeur des applications et systèmes.

info

Le pentest en boîte blanche est souvent utilisé :

  • pour simuler une attaque interne
  • ou pour effectuer une vérification complète de la sécurité d'une application.
remarque

Le pentest en "white box" peut être plus rapide que les autres types de tests, car le testeur n'a pas besoin de passer du temps à collecter des informations sur la cible.

attention

Un pentesteur "white hat" est un professionnel de la sécurité qui utilise ses compétences pour améliorer la sécurité des systèmes informatiques.

2) Grey box (Boîte grise)

Le pentest en boîte grise est une approche intermédiaire entre le black box et le white box.

Le testeur a un accès limité à l'information et ne connaît qu'une partie de l'environnement du système.

Cela peut inclure des informations telles que des schémas d'architecture de haut niveau ou des informations d'identification pour certains comptes.

Ce type de test est utile pour simuler une attaque par un utilisateur avec des privilèges limités ou par un attaquant qui a pu obtenir certaines informations sur le système.

remarque

Il fournit un équilibre entre l'efficacité du test et le réalisme de l'attaque, en permettant au testeur de se concentrer sur des scénarios de menace plus probable.

attention

Ne pas confondre "grey box" et "grey hat".

Un hacker "grey hat" cherche à découvrir une vulnérabilité dans un système sans l'autorisation du propriétaire et choisit de la divulguer publiquement ou au propriétaire du système, parfois contre une compensation. Ils ne cherchent pas nécessairement à nuire, mais leurs méthodes ne sont pas toujours entièrement éthiques ou légales.

3) Black box (Boîte noire)

Le pentest en boîte noire est effectué sans aucune connaissance préalable de l'infrastructure interne du système cible. Le testeur commence sans informations et doit découvrir la configuration du réseau, les systèmes d'exploitation, les applications et les services en cours d'exécution tout en effectuant le test.

info

Ce type de test est similaire à une attaque réelle par un attaquant externe qui n'a aucune connaissance interne de la cible.

remarque

Bien qu'il puisse être plus chronophage que les tests en boîte blanche ou grise, le pentest en boîte noire peut aider à découvrir des vulnérabilités non évidentes sans une exploration approfondie.

attention

Ne pas confondre "black box" et "black hat".

Les hackers "black hat" sont des cybercriminels qui exploitent les systèmes informatiques pour des gains personnels, souvent à des fins malveillantes telles que le vol de données, la création de botnets ou d'autres activités illégales. Ils opèrent sans permission, en violation de la loi.

Les "black box" font référence à une approche de test où le testeur n'a aucune connaissance préalable du système cible. Dans un test d'intrusion black box, le pentester tente de s'introduire dans le système sans information interne, simulant ainsi un attaquant extérieur découvrant le système pour la première fois. Cette méthode permet d'évaluer la sécurité d'un système du point de vue d'un attaquant potentiel, en identifiant les vulnérabilités exploitables depuis l'extérieur.

La principale différence réside dans l'intention et le cadre légal :

  • les black hats agissent illégalement à des fins malveillantes,
  • tandis que les tests black box sont des évaluations de sécurité légitimes et autorisées, visant à améliorer la protection des systèmes.

Rapport d'audit

Qu'est-ce qu'un rapport d'audit ?

À la suite des tests d’intrusion, un rapport d'audit est produit.

Ce document est crucial car il présente les résultats de manière structurée et professionnelle, permettant aux parties prenantes de comprendre les risques et de prendre des décisions éclairées pour améliorer la sécurité.

Que contient un rapport d'audit ?

Le rapport d'audit contient :

  • Résumé exécutif : Un aperçu haut niveau pour la direction.
  • Méthodologie : Les techniques et outils utilisés pendant le test.
  • Résultats détaillés : Une liste des vulnérabilités découvertes, souvent classées par gravité.
  • Preuves et démonstrations : Des captures d'écran, des logs, ou d'autres preuves des failles.
  • Analyse d'impact : Une évaluation de ce que les failles pourraient signifier pour l'entreprise.
  • Recommandations : Des solutions proposées pour remédier aux vulnérabilités.
  • Plan d'action : Un calendrier pour la mise en œuvre des recommandations.
attention

Le rapport d'audit doit être précis, compréhensible et fournir des informations pratiques pour améliorer la sécurité.


Test de mémorisation


Quelle étape du test d'intrusion consiste à identifier et collecter des informations sur la cible ?


Quel est le but de l'étape de modélisation des menaces dans un test d'intrusion ?


À quelle étape du test d'intrusion les vulnérabilités sont-elles activement exploitées ?


Quel terme décrit le mieux l'objectif d'un test d'intrusion ?


Quelle étape dans un test d'intrusion implique la collecte d'informations sur la cible ?


Quelle est la première étape d'un test d'intrusion ?


Quel est l'objectif principal d'un pentesteur 'white hat' ?


Quel est l'objectif commun des hackers 'black hat' ?


Quelle pourrait être une conséquence de l'action d'un hacker 'grey hat' ?


Quel terme décrit le mieux l'approche d'un hacker 'black hat' ?


Dans un rapport d'audit, que représente le 'Résumé exécutif' ?


Quelle section d'un rapport d'audit contient des captures d'écran ou des logs comme preuves ?


Pourquoi est-il important d'obtenir une permission explicite avant de réaliser un test d'intrusion ?


Quel est le but de l'analyse dans un test d'intrusion ?


Quelle stratégie de pentest est la plus adaptée pour simuler une attaque interne ?


Quelle est la principale différence entre un pentest Grey Box et Black Box ?


Quel type de pentest permet une analyse en profondeur des applications et systèmes ?


Pourquoi un pentest Black Box peut-il être plus chronophage que les autres types ?


Quel type de pentest offre un équilibre entre efficacité du test et réalisme de l'attaque ?


Dans quel type de pentest le testeur commence-t-il sans aucune information préalable ?


Quelle stratégie de pentest pourrait être la plus bénéfique pour vérifier la sécurité complète d'une application ?


Pourquoi un pentest White Box peut-il être plus rapide que les autres types ?


Qu'est-ce qui est souvent classé par gravité dans un rapport d'audit ?


Quelle étape d'un test d'intrusion consiste à exploiter les vulnérabilités trouvées ?