Les tests d'intrusion (pentest)

1 -Les tests d’intrusion : Définition et Objectifs

Un test d’intrusion, penetration testing ou pentest est une simulation de cyberattaque contre un système informatique. Il est pratiqué par un pentester ou hacker éthique qui est un spécialiste de la cybersécurité.

Les différents objectifs d’une de pentest sont :

• L’identification des vulnérabilités;

• L'évaluation des risques d’attaque associé à chaque identifiée;

• La proposition de plan de remédiation et d’accompagnement;

2 - Les catégories de pentest selon les domaines

Les missions de pentest sont organisées en fonction des différents domaines de l’informatique. Nous avons donc :

Le pentest des applications web :

Web app penetration testing qui entre autres s’articulera autour des thématiques :

• OWASP Top 10;

• Les vulnérabilités de la logique métier des applications;

• L’API testing;

• Méthodes pour contourner l’authentification multifacteur(MFA), les codes/jetons uniques de connexion (OTP);

• L’exposition des données sensibles;

• Les attaques par dictionnaire ou par bruteforcing;

• La sécurité des CMS ou des sites de e-commerce.

Le pentest des applications mobiles :

• Le rootage/jailbreaking ;

• L’interception de trafic réseau;

• La recherche de vulnérables des composants ( tokens, OS , librairies)

Le pentest réseau & infrastructures :

• Le contournement des IDS, IPS, Firewall;

• Les attaques DoS/DDoS;

• L’exploitation des vulnérabilités liées aux protocoles;

• Active directory;

• Les attaques des réseaux sans fils;

• La recherche de vulnérabilités sur les VPN

• L'exfiltration des données.

Le Social engineering :

• Les attaques par phishing ou hameçonnage ;

• Les attaques par vishing (arnaque au téléphone) ;

• Les attaques par smshing (arnaque via sms );

• Les attaques via les technologies client-side ( adwares par exemple).

Le pentest physique :

• Le crochetage de serrures ;

• Le détournement de badge RFID ;

• Le contournement des caméras de sécurité , objets connectés;

• Le dépôt d’objets malveillants ( usb killer, lan turtle, OMG Cable) à certains endroits.

3 - Les différents types et mode de test d’intrusion

Dans une mission de test d’intrusion type black box, le pentester ne reçoit aucune information ou n’a aucune connaissance interne de sa cible. Aucune connaissance de l’architecture interne. Dans le pentest white box, les hackers éthiques ont accès à la beaucoup plus d’informations fournies contrairement au test en black box. Ces informations sont par exemple, l’architecture réseau, les codes sources , la documentation de certaines applications ou systèmes. Les tests d'intrusion en boîte blanche fournissent une évaluation complète des vulnérabilités. Aussi, la relation étroite entre les pentesters en boîte blanche et les développeurs fournit un haut niveau de connaissance du système . Le pentest boite grise se situe entre le white box et le black box. Le pentester a partiellement connaissance du système cible.

Nous avons aussi le pentest interne dans lequel le pentester a pour but d’identifier les problèmes de sécurité et la résistance de l’infrastructure contre toute menace venant du réseau interne. Cette mission a souvent pour but de simuler le comportement d' un stagiaire ou d'un employé malveillant. Mais aussi le test d’intrusion externe qui a pour but de cibler les actifs de l’entreprise qui sont visibles sur internet (serveur web, services de messagerie, domaines, sous-domaines,...).

4 - Différence entre l’évaluation de la sécurité, le red team et le pentest

Il y a très souvent des nuances de la part de plusieurs personnes entre l’évaluation de la sécurité,le pentest et le red teaming. L’évaluation de la sécurité consiste à identifier et analyser les vulnérabilités trouvées puis de fournir un rapport sur les différents risques auxquelles l’organisation ciblée pourrait être exposée. Le test d’intrusion quant à lui va encore plus loin en exploitant les vulnérabilités trouvées. Le red team est techniquement plus complexe, prend plus de temps. Il constitue un exercice plus approfondi de test des capacités de réponse de l'organisation et des mesures de sécurité mises en place.

Vous trouverez forcément un métier qui vous plaira :)

Certains facteurs importants sont la discrétion des opérations ( pour ne être repéré par la blue team) , la récupération et l'exfiltration de données sensibles. Il simule une cyberattaque d’un acteur malveillant aux méthodes d'exploitation sophistiquées comme les APT (Advanced Persistent Threat).

Cet excellent lien ci-dessous présente les normes et standards utilisés généralement dans le cadre d’une mission de test d’intrusion.

Source:

• Top 5 Penetration Testing Methodologies and Standards

A bientôt :)

Keep Hacking .