Tests d'intrusion : l'ultime rempart contre les pirates Le déroulement du test d'intrusion, en trois grandes étapes

hervé troalic est directeur de l'activité expertise et conseil ssi chez 8-i. il
Hervé Troalic est directeur de l'activité expertise et conseil SSI chez 8-i. Il pilote une équipe dédiée aux tests d'intrusion. © 8-i

S'étant lancé, à la fin des années 90, dans la commercialisation d'une offre de tests d'intrusion, avec l'idée de mieux les professionnaliser, Hervé Troalic dégage trois étapes fondamentales dans ce type de démarche.

 

1) Prise d'empreinte

 

Elle doit bien sûr s'effectuer sur le périmètre convenu avec l'audité. Il y a une liste d'IP/ URL, dont l'audit ne pourra pas sortir. Il s'agit à la fois de scanner et connaître les systèmes (OS) utilisés et les ports ouverts, mais aussi l'environnement, pour en faire une topographie. Et pour cela, Google, ou le social engineering, peuvent être une mine d'or. "Nous avons déjà trouvé via Google un communiqué de presse expliquant en détails toute la refonte et l'architecture d'un réseau", se souvient Hervé Troalic.

 

Si certains outils existent pour cette première étape, il faut aussi savoir faire preuve d'esprit de déduction : il y a souvent beaucoup de filtres entre la cible et les audités. Cela peut induire en erreur. "Les résultats doivent être corrélés, et ils ne sont pas toujours d'une extrême précision. Mais, cela donne une idée de la sécurisation du client", explique Hervé Troalic.

"Les outils de scan ne donnent pas toujours des renseignements fiables, certaines informations peuvent être cachées. Les entreprises pourraient induire les pirates en erreur, mais dans la réalité, c'est assez rare. Les équipes sont trop souvent sous-dimensionnée", rappelle le consultant.   

 

2) Recherche de vulnérabilités

 

La cartographie réalisée permettra de connaître les logiciels utilisés, et leur version. Il n'est donc pas rare de trouver un programme vulnérable, ou non patché.

"C'est l'enchainement de vulnérabilités unitaires qui peut conduire à une compromission grave."

En général chacun effectue une veille, et dispose de sources pour connaître les vulnérabilités exploitables. Certaines sont publiques, d'autres commercialisées. "Chaque auditeur a ses sources", explique Hervé Troalic. Certains exploits peuvent ainsi être récupérés, prêts à être testés.

 

3) Agencement des tests

 

Il s'agit ensuite de tester la mise en œuvre des exploits pour réellement apprécier la dangerosité de la menace. En général, c'est l'enchainement de vulnérabilités unitaires qui conduit à une compromission grave. "C'est un peu comme si, pour pénétrer dans la salle des serveurs, il fallait d'abord rentrer dans l'immeuble sans badge, puis ne pas se faire repérer par les gardiens, puis, enfin, dernière vulnérabilité à trouver et à exploiter, ouvrir la porte de la salle sans avoir le digicode", compare Hervé Troalic.

 

Cependant, tout dépend du mandat. Certaines entreprises laisseront aller jusqu'au bout du test, c'est-à-dire par exemple faire réellement sortir du réseau les données les plus sensibles de l'entreprises, d'autres en revanche demanderont aux auditeurs de donner leur avis sur la faisabilité d'une attaque ou d'une intrusion en fonction des failles détectées, sans demander à ce qu'elles soient réellement exploitées.

En revanche, Hervé Troalic n'estime pas nécessaire de pousser l'ingénierie sociale jusqu'à piéger les salariés de la société auditée. "C'est trop facile. Il est toujours possible de les duper. Les conclusions des audits seraient toujours les mêmes", conclut-il.

Faille / Intrusions informatiques