Journal du Net > Solutions > Sécurité >  Sécurité > Interviews > Renaud Feil (HSC)
Interview
 
08/11/2007

Renaud Feil (HSC) : "Notre formation aux tests d'intrusion fournit l'information pour se défendre contre des attaquants"

Le cabinet de sécurité se propose désormais de former aux techniques et outils d'intrusion, afin de sensibiliser les entreprises aux méthodes des attaquants. Réseaux, postes clients, applications seront couverts.
  Envoyer Imprimer  

 
Renaud Feil (HSC)
 
 
 

Qu'est-ce qui a motivé votre projet de proposer une formation aux tests d'intrusion ?

Je pense qu'il y a un besoin et que presque personne n'y apporte de réponse en France, surtout en langue française. En revanche, des formations comparables existent déjà aux Etats-Unis. En tant que spécialiste des tests intrusions et des formations en sécurité, nous nous devions de le faire. Le projet était à l'étude depuis déjà 1 à 2 ans. Se posaient toutefois des questions déontologiques quant aux risques de former par ce biais des pirates.

Pour les clients, une formation comme celle-ci présente un intérêt fort. Les mentalités ont très notablement évolué dans un monde de la sécurité devenu plus ouvert, notamment à l'égard des techniques d'intrusion. Il suffit de se rendre sur Internet ou dans une librairie pour trouver des ouvrages sur le piratage ou sur la façon de coder un exploit.

Ces livres comme notre formation ne se destinent pas aux pirates. Ils ont pour but de fournir l'information nécessaire pour se défendre contre des attaquants. Pour cela, il est indispensable de bien comprendre les menaces et comment procède un attaquant. Et à partir de cette compréhension des menaces, mettre en place des défenses appropriées.

Quelles réponses peut apporter aux entreprises cette formation ?

On s'aperçoit que les entreprises ont souvent vision un peu floue de ces pratiques et tendent à se lancer dans de vastes projets de sécurité, souvent coûteux et pas toujours efficaces. Une intrusion repose parfois sur une attaque relativement simple et un test d'intrusion permettra de révéler des failles que le dernier projet n'aura pas couvertes. Il est par conséquent intéressant d'avoir dans ces sociétés des gens comprenant précisément les techniques d'intrusion, les outils utilisés, et capables de mener des tests simples pour détecter les principales vulnérabilités.

"La formation vise à couvrir les principales technologies et techniques d'attaque"

Quels modules composent cette formation pratique aux tests d'intrusion ?

La formation s'échelonne sur cinq jours et vise à couvrir les principales technologies du marché et techniques d'attaque. Nous avons décidé d'adopter une approche pragmatique en nous concentrant sur les attaques de terrain, c'est-à-dire celles pouvant être employées concrètement dans un délai et avec une chance de succès raisonnables. La formation suit les étapes logiques d'une intrusion sur un réseau d'entreprise depuis Internet.

La première phase consistera donc à la collecte, la prise d'empreintes du réseau - scanneurs de ports, détection de systèmes exploitation, etc. -, tout ce qui permet de voir la surface d'exposition d'une entreprise.

La phase deux traitera des intrusions sur les applications Web, sur comment les compromettre, ainsi que les bases de données et serveurs sous-jacents. Au terme de ce module, les stagiaires sauront cibler une application Web et prendre la main sur la machine souvent située en DMZ la supportant.

Le module suivant est relatif aux attaques sur les bases de données et l'OS sous-jacents. Viennent ensuite la compromission des systèmes Unix/Linux et Windows. Un module transverse sera consacré à la conception d'exploits, de codes d'attaque spécifiques tirant partie des vulnérabilités de certains langages.

Des outils seront-ils utilisés pour cette partie de conception d'exploits ?

La formation se veut avant tout pratique, donc oui. Nous montrerons notamment l'utilisation de Metasploit et comment s'en servir pour concevoir de nouveaux exploits. Les stagiaires feront également du reversing afin d'analyser la structure de programmes. Il s'agit moins d'identifier des vulnérabilités que de montrer les informations qui peuvent y être visibles, comme des mots de passe codés en dur.

La formation traite-t-elle également de la partie réseau ?

"Nous aborderons le thème des attaques sur les postes clients"

Après le module consacré aux exploits, nous aborderons en effet les attaques réseau, c'est-à-dire celles permettant, une fois installé sur un réseau interne, d'écouter ou de rediriger du trafic. Il sera également question de man in the middle, de sniffing et de spoofing afin de montrer les actions permises par la compromission d'une simple machine.

Ensuite, nous nous lancerons sur une partie assez peu abordée dans les formations : les attaques sur les postes clients. Ce n'est cette fois pas le pirate qui se connecte directement à l'ordinateur cible, mais celui-ci qui va se connecter à une machine contrôlée par l'attaque, par exemple après réception d'un mail leurre. Si l'attaque est réussie, elle permettra d'ouvrir un tunnel entre la machine compromise et le pirate.

L'attaque se doit ici d'être très rapide pour avoir une chance de succès. Des techniques existent pour détecter notamment les détails de la configuration du navigateur et réaliser une prise d'empreintes applicatives. L'attaque consistera souvent à tirer partie des différentes fonctionnalités des navigateurs pour exécuter du JavaScript ou pour accéder à des applications en lien avec celui-ci comme les lecteurs multimédia.

Enfin, si nous en avons le temps, nous ferons un zoom sur certaines technologies présentant des spécificités, parmi lesquelles Lotus Domino et Oracle Application Server. Nos clients ont également émis le souhait de revenir sur des points particuliers de la formation afin de s'exercer de manière plus approfondie sur certains domaines.

A qui destinez-vous la formation aux techniques d'intrusion ?

"Deux tiers des inscrits proviennent de secteurs étatiques"

Nous n'avions pas défini de cibles au départ. Sur la base des inscrits de la première session qui se déroulera du 21 au 25 janvier, on constate que deux tiers proviennent de secteurs étatiques, notamment de ministères ayant une infrastructure assez vaste et qui vont mener des tests intrusion en interne.

Parmi les inscrits du secteur public, la moitié provient du civil et l'autre moitié du domaine militaire. Les autres participants proviennent quant à eux d'entreprises du secteur privé et notamment de SSII ou d'autres cabinets de sécurité.

Ne craignez-vous pas de saper votre marché en formant les entreprises à votre expertise ?

Je ne le pense pas. L'intérêt de cette formation est de répandre un savoir et aussi d'augmenter la surface du marché. Nous procédons déjà ainsi avec d'autres formations comme sur la norme ISO 27001 auxquelles participent de nombreux concurrents.

 
En savoir plus
 
 
 

Une formation certifiante contribue à démultiplier le marché et à susciter un intérêt pour la norme. Nous n'avons pas en outre la vocation ni la capacité de répondre à la totalité de la demande.

Former aux tests d'intrusion peut-il également rendre vos missions plus efficaces ?

Il est toujours plus simple de travailler avec un client ayant déjà eu une expérience dans la réalisation de tests d'intrusion. Cela permet d'orienter le travail de façon efficace et pragmatique. Nous avons par conséquent tout intérêt à ce que ces techniques soient connues. Enseigner et partager notre expertise nous a de plus toujours permis de nous positionner sur le secteur.

 

Participait également à l'interview, Hervé Schauer, dirigeant et fondateur du cabinet HSC.

 


JDN Solutions Envoyer Imprimer Haut de page

Sondage

Votre entreprise évolue-t-elle vers une informatique bimodale ?

Tous les sondages