Tests d'intrusion : l'ultime rempart contre les pirates Mettre en valeur des failles béantes dans un système d'information

les audits de sécurité de type 'pentesting', ou test d'intrusion, permettent de
Les audits de sécurité de type "pentesting", ou test d'intrusion, permettent de révéler des failles critiques. © Fotolia

"J'ai été très surpris du résultat de l'audit. J'avais déjà été piraté par le passé, alors j'avais décidé de refaire le site en étant bien plus exigeant sur sa sécurité. Je pensais qu'il était totalement sécurisé, et je suis presque tombé de ma chaise quand j'ai reçu le rapport de WebSure. Cette société d'audit spécialisée dans la sécurité des sites Web m'a alerté sur deux vulnérabilités critiques", témoigne Benoit Klipfel, P-DG de Memsoft, éditeur de logiciels de compatibilité.

 

Cette PME est pourtant loin d'avoir écopé du rapport de WebSure pointant le plus de failles. Loin de là, il s'agirait même à ce jour d'un des sites avec le nombre le plus faible de vulnérabilités constatées par le prestataire. Un site d'e-commerce a en effet reçu un rapport comptant pas moins de 742 failles, dont 254 critiques. Selon WebSure, "les failles critiques s'apparentent à des trous de sécurité béants. Leur exploitation peut engendrer des dégâts irrémédiables au site, et par voie de conséquence à son propriétaire."

 

Informations sensibles accessibles

Dans le cas de Memsoft, les informations accessibles aux pirates n'étaient pas les plus sensibles. Elles contenaient les coordonnées des utilisateurs : adresse, numéro de téléphone, adresse mail... et d'autres données pouvant figurer sur un formulaire classique rempli. Moins d'une journée de travail a permis de colmater les brèches détectées.

 

D'autres cas sont bien plus graves. Hervé Troalic, aujourd'hui directeur de l'activité expertise et conseil SSI chez 8-i, a commencé à développer une offre professionnelle de test d'intrusion dès la fin des années 1990. Il se souvient d'un audit portant sur plusieurs milliers d'IP dans le monde réalisé au sein d'une "grande société", dont il doit taire le nom.

Une solution de proxy non patchée lui avait permis de scanner le réseau interne. Etait alors apparu un système Windows fonctionnant avec un script particulier, qui, une fois son langage compris, lui avait permis de prendre le statut d'administrateur. Une élévation de privilèges qui lui permettait d'avoir "un contrôle total à distance" du système informatique de cette grande entreprise.

Précédent
Suivant