Les tests d’intrusion, une introduction
Introduction
Un test d’intrusion (« penetration test » ou « pentest », en anglais) est une méthode d’évaluation (« audit », en anglais) de la sécurité d’un système d’information ou d’un réseau informatique ; il est réalisé par un testeur (« pentester », en anglais).
Les types de tests d’intrusion
En terme réseau on distingue deux types de tests d’intrusion : Externes et Internes
Externes
Les tests externes sont ciblés sur les actifs du SI exposés à des personnels et plateforme extérieurs à l’entreprise.
C’est le cas notamment des sites Internet et autres applications connectées au Web mais encore d’actifs présentés à des partenaires comme une liaison multipoint.
Dans ce cas précis le scenario le plus courant est de simuler une attaque provenant du Web à destination de l’infrastructure auditée.
Internes
Les tests d’intrusions internes sont destinés à tester la sécurité de l’infrastructure exposée uniquement aux personnels de l’entreprise. On y retrouve notamment les réseaux de type bureautique, métier, industriel etc.
Dans cette approche l’auditeur vient se placer dans un réseau déterminé et test la sécurité des actifs qui lui sont présentés.
On peut imaginer la mise en place de la machine de l’auditeur dans le réseau d’une agence qui va tester ce qu’il est possible d’atteindre depuis une zone relativement accessible aussi bien d’un point de vue logique que physique.
Une fois ces tests effectués il est envisageable de déplacer l’équipement d’audit dans un autre réseau afin d’évaluer, par zone, l’efficacité des mesures et outils de sécurité déployés.
Type d’approches
Un audit de Sécurité se découpe aussi en 3 types d’approches communément appelées “boite”.
On distingue, dans les grandes lignes, les audits en boite noire, boite grise et boite blanche.
Boite noire
Lors d’un audit en boite noire l’auditeur a peu voir pas de connaissance sur l’infrastructure auditée.
Il ne détient pas nécessairement d’information sur l’entreprise, l’infrastructure, la nature ou encore l’importance des données stockées sur les équipements cibles.
L’auditeur navigue donc en aveugle et prend la place d’un robot ou pirate démarrant une attaque depuis 0, avant même la phase de reconnaissance éventuellement.
Ce format est souvent privilégié lors de la première phase d’un audit externe. A minima l’adressage publique est parfois fourni pour accélérer le travail de l’auditeur.
Il est généralement suivi de tests en boite grise ou blanche.
Boite grise
En boite grise un ensemble d’informations sont fournies à l’auditeur.
La nature et l’exhaustivité des informations fournies sont à la discrétion du commanditaire.
Elles sont à déterminer au regard du contexte de l’audit et de la facilité pour un attaquant à obtenir ces informations.
Il peut s’agir de la nature des équipements audités (serveur web, équipement réseau…), des technologies employées (java, linux…), du schéma de l’infrastructure ou encore simplement des URLs à tester.
Boite blanche
Dans cette approche des comptes utilisateurs sont fournis à l’auditeur. Ces comptes correspondent généralement à des utilisateurs disposant de peu voir d’aucun privilèges sur les équipements ciblés.
L’objectif est ici de tester si, entre autres, des élévations de privilèges sont possibles ou si les droits définis sur les équipements sont corrects aux vues des enjeux sécuritaires.
L’auditeur dispose, dans ce contexte, du maximum d’informations disponibles pour effectuer ses tests.