Spécialiste du monde de la sécurité, vous réalisez des tests de pénétration dans le cadre d’audits. Votre intervention a-t-elle provoqué une prise de conscience dans l’entreprise ? Racontez.
Nous sommes aujourd’hui amenés à effectuer deux types de tests d’intrusion différents : les tests d’intrusion applicatifs et les tests depuis le réseau interne.Les tests d’intrusion applicatifs consistent en une recherche approfondie des failles de sécurité au sein d’un serveur Web et ses applications. Les failles découvertes doivent alors être mises en perspective avec les aspects métiers de l’application : gestion des profils, contrôles des droits et des autorisations, fonctionnalités réservées, etc. Nous sommes ainsi amenés à tester diverses applications Web critiques, comme des sites de bourse en ligne, des sites de e-commerce, des applications de gestion, des banques en ligne et également des plates-formes 3G pour les opérateurs Télécom.Les tests d’intrusion depuis le réseau interne sont quant à eux très différents. Lors de ces tests, nous nous employons à simuler le comportement d’un pirate ou d’un utilisateur malicieux, dont l’objectif serait d’outrepasser ses habilitations sur le réseau interne et pénétrer les systèmes et les applications du SI. Les techniques d’attaque employées sont alors plus nombreuses et diversifiées : nous exploitons les failles de sécurité des systèmes, des bases de données, des équipements réseau, des contrôleurs de domaine, etc.Un autre type de tests d’intrusion nous est de plus en plus demandé aujourd’hui : les tests d’intrusion à l’encontre de plates-formes Voip.
Quelles sont en général les réactions des entreprises suite à ces tests ?
Les réactions dépendent très fortement du contexte politique dans lequel les tests ont été commandités. De façon générale, le commanditaire des tests, généralement le RSSI, apprécie la prestation lorsque des failles de sécurité critique sont découvertes : les recommandations émises lui permettront d’appuyer son plan d’action sécurité au sein de l’entreprise.En revanche, les réactions des équipes techniques peuvent être très différentes. Celles-ci peuvent réagir d’une façon positive et constructive (ce qui est de plus en plus le cas). Les équipes veulent apprendre et voient les tests comme une étape dans la sécurisation de leurs plates-formes. Il arrive cependant que les équipes techniques soient « sur la défensive » et voient les tests comme une évaluation de leur travail.
A quels outils avez-vous recours ?
La question des outils employés est récurrente. Beaucoup de personnes étrangères aux concepts du piratage informatique imaginent les tests d’intrusion comme une batterie d’outils logiciels lancée à l’encontre d’un serveur. Dans le domaine des tests d’intrusion, le rôle des outils est joué par les méthodologies suivies (comme notamment l’osstmm) et surtout par les techniques d’attaque maîtrisées. Ces dernières sont primordiales : si les tests d’intrusion sont réalisés avec des attaques vieilles de 5 ans, les conclusions seront décalées vis à vis des nouvelles menaces auxquelles les entreprises sont aujourd’hui réellement exposées.La clé se trouve dans la veille et dans la maîtrise des nouvelles techniques : Attaques ajax, Injection sql en aveugle et Xpath, tunnels xss, etc. Evidemment, les outils logiciels possèdent leur place dans la méthodologie. Il est possible de citer les outils libres comme Paros, WebScarab, Scapy, Medusa, sql Ninja, Metasploit, Nessus, Cain et les outils commerciaux comme Acunetix, AppScan et CoreImpact qui sont davantage destinés au client final qu’aux sociétés de conseils. Il est également possible de citer des outils beaucoup moins attendus comme tout simplement Firefox ou les langages de scripting perl et Python. Nous utilisons aujourd’hui un outil développé en interne qui combine des centaines d’outils logiciels spécifiques couplés à une base de connaissances établie au fil des centaines de tests d’intrusion réalisés. Il s’agit plus d’une boite à outils que d’un outil automatique. Cet outil s’appelle stk/Yoda.
Une étape dès le lancement du projet 
