Pentesting

Tests d’intrusion et rapports d’audit

Notions théoriques

Tests d’intrusion

Qu'est-ce qu'un test d’intrusion ?

Les tests d’intrusion ou Pen Testing (Penetration Testing) consistent à simuler des attaques informatiques sur :

• un système,
• une application
• ou un réseau pour identifier les failles de sécurité avant qu'un attaquant malveillant ne puisse les exploiter.

attention

Les tests d’intrusion sont réalisés dans un cadre légal et éthique, avec la permission explicite des propriétaires des systèmes testés.

---

Objectifs d'un test d’intrusion

Les objectifs d'un test d’intrusion sont de :

• Détecter les vulnérabilités : Cela inclut les faiblesses dans les systèmes, les erreurs de configuration, les problèmes de logiciels, etc.
• Évaluer l'impact potentiel : Cela aide à comprendre ce qui pourrait se passer si une vulnérabilité était exploitée.
• Tester la résilience : Évaluer la capacité des systèmes à résister aux attaques et à se rétablir.
• Améliorer les défenses : En se basant sur les résultats, les systèmes peuvent être renforcés.

---

Comment se déroule un test d’intrusion ?

Les étapes clés d'un test d’intrusion incluent :

1. Collecte d'informations (Information Gathering) : Identifier et collecter des informations sur la cible.
2. Modélisation des menaces (Threat Modeling) : Déterminer les menaces potentielles et les acteurs malveillants.
3. Analyse des vulnérabilités (Vulnerability Analysis) : Détecter les faiblesses potentielles dans le système.
4. Exploitation : Utiliser les vulnérabilités trouvées pour accéder au système ou aux données.
5. Post-exploitation : Déterminer la valeur des données compromises et maintenir l'accès pour des tests futurs.
6. Rapport (Reporting) : Documenter les découvertes et fournir des recommandations détaillées.

---

Les 3 stratégies possibles d'un test d'intrusion

Les tests d'intrusion (pentests) peuvent être réalisés selon 3 stratégies en fonction du niveau de connaissance que le testeur a du système cible.

Ces stratégies sont généralement désignées par les termes "white box", "grey box" et "black box", qui décrivent le degré d'information préalable sur l'infrastructure à tester.

1) White box (Boîte blanche)

Le pentest en boîte blanche est parfois appelé test "avec connaissance complète".

Dans ce type de test, l'auditeur a un accès complet aux informations concernant le système cible. Cela inclut les schémas de l'infrastructure, les codes sources, les adresses IP, les diagrammes de réseau et parfois même les identifiants.

L'avantage de cette approche est qu'elle permet une analyse en profondeur des applications et systèmes.

info

Le pentest en boîte blanche est souvent utilisé :

• pour simuler une attaque interne
• ou pour effectuer une vérification complète de la sécurité d'une application.

remarque

Le pentest en "white box" peut être plus rapide que les autres types de tests, car le testeur n'a pas besoin de passer du temps à collecter des informations sur la cible.

attention

Un pentesteur "white hat" est un professionnel de la sécurité qui utilise ses compétences pour améliorer la sécurité des systèmes informatiques.

2) Grey box (Boîte grise)

Le pentest en boîte grise est une approche intermédiaire entre le black box et le white box.

Le testeur a un accès limité à l'information et ne connaît qu'une partie de l'environnement du système.

Cela peut inclure des informations telles que des schémas d'architecture de haut niveau ou des informations d'identification pour certains comptes.

Ce type de test est utile pour simuler une attaque par un utilisateur avec des privilèges limités ou par un attaquant qui a pu obtenir certaines informations sur le système.

remarque

Il fournit un équilibre entre l'efficacité du test et le réalisme de l'attaque, en permettant au testeur de se concentrer sur des scénarios de menace plus probable.

attention

Ne pas confondre "grey box" et "grey hat".

Un hacker "grey hat" cherche à découvrir une vulnérabilité dans un système sans l'autorisation du propriétaire et choisit de la divulguer publiquement ou au propriétaire du système, parfois contre une compensation. Ils ne cherchent pas nécessairement à nuire, mais leurs méthodes ne sont pas toujours entièrement éthiques ou légales.

3) Black box (Boîte noire)

Le pentest en boîte noire est effectué sans aucune connaissance préalable de l'infrastructure interne du système cible. Le testeur commence sans informations et doit découvrir la configuration du réseau, les systèmes d'exploitation, les applications et les services en cours d'exécution tout en effectuant le test.

info

Ce type de test est similaire à une attaque réelle par un attaquant externe qui n'a aucune connaissance interne de la cible.

remarque

Bien qu'il puisse être plus chronophage que les tests en boîte blanche ou grise, le pentest en boîte noire peut aider à découvrir des vulnérabilités non évidentes sans une exploration approfondie.

attention

Ne pas confondre "black box" et "black hat".

Les hackers "black hat" sont des cybercriminels qui exploitent les systèmes informatiques pour des gains personnels, souvent à des fins malveillantes telles que le vol de données, la création de botnets ou d'autres activités illégales. Ils opèrent sans permission, en violation de la loi.

---

Rapport d'audit

Qu'est-ce qu'un rapport d'audit ?

À la suite des tests d’intrusion, un rapport d'audit est produit.

Ce document est crucial car il présente les résultats de manière structurée et professionnelle, permettant aux parties prenantes de comprendre les risques et de prendre des décisions éclairées pour améliorer la sécurité.

Que contient un rapport d'audit ?

Le rapport d'audit contient :

• Résumé exécutif : Un aperçu haut niveau pour la direction.
• Méthodologie : Les techniques et outils utilisés pendant le test.
• Résultats détaillés : Une liste des vulnérabilités découvertes, souvent classées par gravité.
• Preuves et démonstrations : Des captures d'écran, des logs, ou d'autres preuves des failles.
• Analyse d'impact : Une évaluation de ce que les failles pourraient signifier pour l'entreprise.
• Recommandations : Des solutions proposées pour remédier aux vulnérabilités.
• Plan d'action : Un calendrier pour la mise en œuvre des recommandations.

attention

Le rapport d'audit doit être précis, compréhensible et fournir des informations pratiques pour améliorer la sécurité.

---

Test de mémorisation

Quelle étape du test d'intrusion consiste à identifier et collecter des informations sur la cible ?

Collecte d'informations

Modélisation des menaces

Analyse des vulnérabilités

Exploitation

Quel est le but de l'étape de modélisation des menaces dans un test d'intrusion ?

Exploiter les vulnérabilités

Maintenir l'accès pour des tests futurs

Déterminer les menaces potentielles et les acteurs malveillants

Documenter les découvertes

À quelle étape du test d'intrusion les vulnérabilités sont-elles activement exploitées ?

Analyse des vulnérabilités

Exploitation

Post-exploitation

Rapport

Quel terme décrit le mieux l'objectif d'un test d'intrusion ?

Détruire les vulnérabilités afin de garantir la sécurité

Exploiter les systèmes pour un gain personnel

Identifier et évaluer les vulnérabilités de sécurité

Configurer des systèmes et des applications afin de garantir la sécurité

Quelle étape dans un test d'intrusion implique la collecte d'informations sur la cible ?

Planification

Attaque

Analyse

Reconnaissance

Quelle est la première étape d'un test d'intrusion ?

Reconnaissance

Planification

Attaque

Analyse

Quel est l'objectif principal d'un pentesteur 'white hat' ?

Exploiter les systèmes informatiques pour un gain personnel

Améliorer la sécurité des systèmes informatiques

Divulguer publiquement les vulnérabilités trouvées

Créer des botnets

Opérer en violation de la loi

Quel est l'objectif commun des hackers 'black hat' ?

Améliorer la sécurité des systèmes informatiques

Effectuer des tests d'intrusion autorisés

Exploiter les systèmes informatiques pour des gains personnels

Divulguer les vulnérabilités pour sensibiliser

Travailler comme consultant en sécurité

Quelle pourrait être une conséquence de l'action d'un hacker 'grey hat' ?

Amélioration immédiate de la sécurité du système

Divulgation publique pouvant mener à des exploits

Récompense financière pour les vulnérabilités trouvées

Embauche par l'entreprise victime pour des services de sécurité

Aucune conséquence, car ils agissent légalement

Quel terme décrit le mieux l'approche d'un hacker 'black hat' ?

Éthique

Légal

Malveillant

Autorisé

Bienveillant

Dans un rapport d'audit, que représente le 'Résumé exécutif' ?

Une liste détaillée des vulnérabilités

Un aperçu technique pour les équipes de développement

Un aperçu haut niveau pour la direction

Un calendrier pour la mise en œuvre des recommandations

Quelle section d'un rapport d'audit contient des captures d'écran ou des logs comme preuves ?

Résumé exécutif

Méthodologie

Résultats détaillés

Preuves et démonstrations

Pourquoi est-il important d'obtenir une permission explicite avant de réaliser un test d'intrusion ?

Pour garantir que le test est légal et éthique

Pour augmenter le niveau de difficulté du test

Pour éviter de détecter les vulnérabilités

Pour s'assurer que les attaques réussissent

Quel est le but de l'analyse dans un test d'intrusion ?

Réparer immédiatement les vulnérabilités afin de limiter les risques

Examiner les données pour évaluer les dégâts potentiels

Collecter des informations sur la cible

Définir les objectifs du test

Quelle stratégie de pentest est la plus adaptée pour simuler une attaque interne ?

White Box

Grey Box

Black Box

Aucune de ces réponses

Quelle est la principale différence entre un pentest Grey Box et Black Box ?

Le Grey Box utilise des outils automatisés, tandis que le Black Box est entièrement manuel

Le Grey Box est plus rapide car le testeur a certaines informations sur le système

Le Black Box est réalisé par des attaquants externes et le Grey Box par des internes

Le Grey Box est moins réaliste qu'un Black Box

Quel type de pentest permet une analyse en profondeur des applications et systèmes ?

White Box

Grey Box

Black Box

Tous les types

Pourquoi un pentest Black Box peut-il être plus chronophage que les autres types ?

Car il nécessite une planification plus approfondie pour bien organiser les étapes de réalisation du test

En raison de la nécessité de découvrir les informations du système pendant le test

Car il simule une attaque interne, par un attaquant qui se serait déjà introduit dans le réseau de l'entreprise

Quel type de pentest offre un équilibre entre efficacité du test et réalisme de l'attaque ?

White Box

Grey Box

Black Box

Ce type de pentest n'existe pas

Dans quel type de pentest le testeur commence-t-il sans aucune information préalable ?

White Box

Grey Box

Black Box

Tous les types

Quelle stratégie de pentest pourrait être la plus bénéfique pour vérifier la sécurité complète d'une application ?

White Box

Grey Box

Black Box

Aucune, car les applications ne sont pas testées dans un pentest

Pourquoi un pentest White Box peut-il être plus rapide que les autres types ?

Car il est toujours automatisé

Car le testeur a déjà toutes les informations nécessaires

Car il ne requiert pas l'exploitation des vulnérabilités

Car il se concentre uniquement sur les vulnérabilités connues

Qu'est-ce qui est souvent classé par gravité dans un rapport d'audit ?

Les recommandations

Les résultats détaillés

Le plan d'action

La méthodologie

Quelle étape d'un test d'intrusion consiste à exploiter les vulnérabilités trouvées ?

Planification

Reconnaissance

Attaque

Analyse