Il semble illogique de payer (et de remercier !) un pirate informatique compétent pour qu’il infiltre vos systèmes alors que la technologie de sécurité que vous déployez est précisément conçue pour empêcher les pirates de s’y introduire. Mais dans quelle mesure est-elle efficace ? Parfois, rien de tel qu’un exercice pratique pour mettre votre protection en ligne à l’épreuve et détecter toute vulnérabilité avant qu’une attaque réelle ne se produise. Bienvenue dans le monde des tests d’intrusion, ou pentests, au cours desquels des ninjas du numérique (nous reviendrons plus tard sur ce terme de « pirates éthiques ») trouvent et infiltrent légalement les failles de votre protection en ligne.
Qu’est-ce qu’un test d’intrusion ou pentest ?
Le Centre national de cybersécurité compare les tests d’intrusion à un audit financier. Dans le domaine des finances, une équipe de comptables suit vos recettes et vos dépenses. Ensuite, un groupe externe effectue un audit financier pour examiner et évaluer les processus de l’équipe interne. Les tests d’intrusion en font de même pour vos services informatiques afin de tester et de garantir que vos processus techniques sont suffisants. En résumé : Il s’agit de simuler une attaque réelle sur un réseau, une application ou un système afin d’identifier les faiblesses éventuelles. Il ne s’agit pas (seulement) d’une démonstration numérique d’experts montrant leurs compétences en matière de piratage, mais d’une approche reconnue du secteur pour quantifier et gérer les risques. Un bon test d’intrusion permet d’exposer les vulnérabilités de l’infrastructure et des applications informatiques d’une entreprise et, surtout, de ses processus et de son personnel. Même la meilleure technologie de sécurité n’empêchera pas Maureen, du service comptabilité, d’ouvrir des pièces jointes infectées. En plus d’aider à identifier les failles de sécurité, les services de tests d’intégration réputés sont également en mesure de fournir un contexte autour des violations. Comment sont-elles causées et quel est leur impact probable ?
Première phase du test d’intrusion : les outils de planification et de test
Tout piratage, qu’il soit éthique ou non, nécessite une planification minutieuse et une gamme d’outils de test d’intrusion. Il ne suffit pas de choisir une cible et de lancer une attaque avec l’un des malwares de votre arsenal. Le timing est tout aussi important que le choix des outils, et les deux doivent être adaptés à l’organisation en question. Tout cela nécessite d’abord une mission de reconnaissance détaillée. La cible utilise-t-elle une infrastructure sur site ou le service cloud d’un tiers ? Combien y a-t-il d’employés ? Utilisent-ils leurs propres appareils ? Combien travaillent à domicile, à quels systèmes ont-ils accès et comment y accèdent-ils ? Toutes ces informations sont cruciales et aident le testeur à établir une stratégie pour son attaque. Tout commence par deux étapes.
- Rassemblement des informations. L’entreprise testée fournit au testeur des informations générales sur l’environnement informatique et l’entreprise, ainsi que des détails sur les cibles à inclure dans le champ de l’investigation.
- Test d’intrusion. En général, des tests d’intrusion passifs sont utilisés. Il s’agit d’une mission de reconnaissance subtile qui n’implique pas d’interaction directe avec les systèmes cibles. Au contraire, les pirates utilisent les ressources publiques pour écouter et se renseigner sur les employés et les technologies utilisées. Des outils courants, comme Wget, analysent un site Web hors ligne et révèlent des informations comme les systèmes d’exploitation et le matériel. Le testeur peut également effectuer des recherches avancées sur Internet pour extraire des informations telles que des noms d’utilisateur, des mots de passe, des pages Web cachées et des fichiers contenant des métadonnées. Cette base de données de piratage Google constitue un outil populaire auprès des pirates éthiques et non éthiques. Les cybercriminels examinent parfois les appareils d’entreprise mis au rebut et peuvent même se faire passer pour des utilisateurs !
Parfois, les tests d’intrusion sont actifs. Cette approche est plus directe, car le pirate interagit étroitement avec les systèmes. Ils recherchent les vulnérabilités, tentent d’obtenir un accès non autorisé aux données confidentielles et s’infiltrent dans le pare-feu ou les routeurs. Une fois à l’intérieur, ils cartographient l’infrastructure du réseau et utilisent des outils, comme le logiciel libre Nmap, pour identifier les hôtes et approfondir la question.
Deuxième phase du test d’intrusion : l’analyse
Maintenant que des informations détaillées ont été obtenues sur l’entreprise et son infrastructure, il est temps d’évaluer comment les applications cibles réagiront aux tentatives d’intrusion. Cette opération s’effectue généralement de deux manières :
- Analyse statique. Le testeur inspecte le code d’une application pour estimer comment elle se comporte en cours d’exécution. Les outils peuvent analyser l’ensemble du code en une seule fois.
- Analyse dynamique. Le testeur inspecte le code d’une application en cours d’exécution. Cette méthode est souvent plus utile, car elle permet de bénéficier d’une vue en temps réel des performances d’une application.
À la fin de cette phase, le testeur en charge de l’intrusion aura terminé l’évaluation initiale de la vulnérabilité. Il aura identifié toutes les faiblesses de sécurité potentielles qui pourraient permettre à un attaquant extérieur de s’introduire dans le système testé. Passons maintenant à la véritable action, où les testeurs doivent libérer le ninja (numérique) qui sommeille en eux.
Troisième phase du test d’intrusion : l’exploitation
En fonction des résultats de l’évaluation des vulnérabilités, les experts en tests d’intrusion utilisent une série de techniques pour attaquer les systèmes cibles, du cross-site scripting à l’injection SQL, en passant par les attaques par porte dérobée. Ils volent des données, interceptent le trafic et, de manière générale, essaient de voir la quantité de dégâts qu’ils sont en mesure de causer. Cette étape doit être extrêmement satisfaisante pour ceux qui aiment faire des ravages virtuels ou simplement des plaisanteries. Le personnel d’un cabinet de médecins généralistes d’une petite ville d’Angleterre, par exemple, a été intrigué par l’apparition d’un patient mystère dans ses systèmes : Mme Penny Test.
L’objectif de cette étape est également de déterminer combien de temps les pirates sont capables de rester dans le système cible. Un utilisateur malveillant aurait-il suffisamment de temps pour s’infiltrer de manière approfondie ? Cet aspect est important, car les menaces persistantes avancées peuvent rester dans un système pendant des mois et dérober les données les plus sensibles d’une organisation.
Quatrième phase du test d’intrusion : l’analyse et l’utilisation
Il est maintenant temps de rassembler tous les résultats des phases précédentes et de compiler un rapport détaillé qui comprend généralement les éléments suivants : Les vulnérabilités spécifiques qui ont été exploitées avec succès et les méthodologies utilisées, l’accès aux données sensibles et la durée pendant laquelle le testeur a su rester dissimulé dans le système. Il décrit également la portée des tests et toute recommandation d’amélioration.
Enfin, et c’est peut-être le plus important, l’organisation doit utiliser ces résultats pour comprendre ses vulnérabilités et analyser les impacts potentiels. Il est essentiel qu’elle détermine des stratégies de remédiation et qu’elle les mette en œuvre.
Boîte noire ou boîte blanche ? Découvrez les différents services de tests d’intrusion
Les testeurs disposent de quantités variables d’informations sur le système cible. La quantité d’informations qu’ils reçoivent détermine le type de test d’intrusion, ainsi que les avantages et les inconvénients de chacun.
Test en boîte blanche : Ce type de test est parfois aussi appelé test en boîte transparente, car les testeurs reçoivent des informations complètes sur leur cible, ce qui leur donne une visibilité maximale. Ce type de test permet de gagner du temps et de réduire le coût des tests. Il aide également l’organisation à gérer les vulnérabilités logicielles connues et les erreurs de configuration courantes. Il est en outre utile pour simuler une attaque ciblée sur un système spécifique ou pour essayer le plus grand nombre de modes d’attaque possible !
Test en boîte noire : les testeurs travaillent à l’aveugle, et sont tenus dans l’ignorance, car aucune information sur le système cible ne leur est communiquée au préalable. Ce type de test est effectué d’un point de vue externe et tente d’identifier les moyens par lesquels un pirate pourrait accéder aux actifs informatiques internes d’une entreprise. Cela prend plus de temps et les coûts sont plus élevés, mais cette méthode modélise plus précisément le risque encouru par des attaquants inconnus.
Test en boîte grise : il s’agit d’un mélange des deux approches ci-dessus, de sorte que des informations limitées sont partagées avec le testeur, généralement des identifiants de connexion. Les tests en boîte grise sont utiles pour comprendre l’accès qu’un utilisateur privilégié pourrait obtenir et les dommages qu’il pourrait causer. Ce test est un choix populaire, car il permet de trouver un équilibre entre profondeur, efficacité, économies et temps.
Il vaut vraiment mieux prévenir que guérir : les avantages du test d’intrusion
Les cyberattaques sont incessantes et de plus en plus sophistiquées. Une violation peut amener les organisations à ne pas respecter le règlement général sur la protection des données et porter atteinte à leurs opérations et à leur réputation. Il est compréhensible que les entreprises se tournent de plus en plus vers les tests d’intrusion pour comprendre et résoudre leurs vulnérabilités informatiques, avant qu’une attaque ne puisse avoir lieu. C’est comme un exercice incendie numérique. Les tests d’intrusion aident également les équipes informatiques à investir dans les outils de sécurité dont elles ont réellement besoin et dans les protocoles qu’elles et tous les utilisateurs doivent suivre. De plus, les rapports de tests d’intrusion aident les développeurs à comprendre exactement comment une entité malveillante a lancé une attaque sur le logiciel qu’ils ont contribué à développer, ce qui leur permet d’être plus attentifs à la sécurité à l’avenir.
La confiance est la clé : choisir vos services de tests d’intrusion
Quelle que soit la forme de test choisie par votre organisation, il est essentiel de se rappeler que vous confiez à un tiers votre infrastructure informatique critique et vos données confidentielles. Veillez à poser les questions suivantes avant d’engager une société de tests d’intrusion : Est-elle réputée, a-t-elle fait ses preuves et possède-t-elle des accréditations de sécurité ? Comment va-t-elle traiter et stocker vos données de façon sécurisée, avant, pendant et après le test ? Vos informations sur les tests d’intrusion sont-elles entièrement supprimées une fois le projet terminé ? Certains fournisseurs ne font que mettre en évidence vos points faibles. Il est utile d’identifier ceux qui vous aideront à résoudre les faiblesses de sécurité qu’ils découvrent.
Vous êtes prêt à vous lancer ? Alors bonne chance à vos systèmes face aux pirates éthiques qui vous protègent des véritables cybercriminels…