En quoi consistent les tests de pénétration ?

Les testeurs d’intrusion (en anglais « pen testers ») sont des professionnels de la sécurité spécialisés dans l’art du piratage éthique, qui consiste à utiliser des outils et des techniques de piratage pour corriger les failles de sécurité plutôt que de causer des dommages. Les entreprises embauchent ces acteurs pour lancer des attaques simulées contre leurs applications, leurs réseaux et d’autres actifs. En organisant de fausses attaques, les testeurs d’intrusion aident les équipes de sécurité à découvrir les vulnérabilités de sécurité critiques et à améliorer la posture globale de sécurité.

Les termes « piratage éthique » et « tests d’intrusion » sont parfois utilisés de manière interchangeable, mais il existe une différence. Le piratage éthique relève de la la cybersécurité, mais c’est un domaine large qui comprend toute utilisation des compétences de piratage pour améliorer la sécurité des réseaux. Les tests d’intrusion ne sont que l’une des méthodes utilisées par les pirates éthiques. Les pirates éthiques peuvent également fournir des services d’analyse des logiciels malveillants, d’évaluation des risques et d’autres services.

Les entreprises mènent des tests d’intrusion pour trois raisons principales.

Les tests d’intrusion sont plus complets que les simples évaluations des vulnérabilités. Les tests d’intrusion et les évaluations des vulnérabilités aident les équipes de sécurité à identifier les faiblesses des applications, des appareils et des réseaux. Cependant, ces méthodes servent des objectifs légèrement différents, de sorte que de nombreuses organisations utilisent les deux au lieu de s’appuyer sur l’une ou l’autre.

Les évaluations des vulnérabilités sont généralement des analyses automatisées récurrentes qui recherchent les vulnérabilités connues d’un système et les signalent pour examen. Les équipes de sécurité utilisent les évaluations des vulnérabilités pour vérifier rapidement la présence de failles parmi les plus courantes.

Les tests d’intrusion vont plus loin. Lorsque les testeurs d’intrusion découvrent des vulnérabilités, ils les exploitent dans le cadre d’attaques simulées qui imitent les comportements de hackers malveillants. L’équipe de sécurité dispose ainsi d’une compréhension approfondie de la façon dont les pirates informatiques peuvent exploiter les vulnérabilités dans le but d’accéder à des données sensibles ou de perturber les opérations. Au lieu d’essayer de deviner ce que les pirates informatiques sont susceptibles de faire, l’équipe de sécurité peut utiliser ces connaissances pour concevoir des contrôles de sécurité du réseau et les appliquer contre les cybermenaces réelles.

Comme les testeurs d’intrusion utilisent à la fois des processus automatisés et manuels, ils découvrent des vulnérabilités connues et inconnues. Les faiblesses détectées étant activement exploitées, le risque de détection erronée (un « faux positif ») est moins important (si les testeurs peuvent exploiter une faille, les cybercriminels peuvent faire de même). Et comme les services de tests d’intrusion sont fournis par des experts en sécurité externes, qui abordent les systèmes du point de vue d’un pirate informatique, les tests d’intrusion permettent souvent de découvrir des failles que les équipes de sécurité internes sont susceptibles d’avoir manquées.

Les experts en cybersécurité recommandent les tests d’intrusion. De nombreux experts en cybersécurité et de nombreuses autorités recommandent les tests d’intrusion comme mesure de sécurité proactive. Par exemple, en 2021, le gouvernement fédéral des États-Unis a exhorté les entreprises à utiliser des tests d’intrusion pour se défendre contre la recrudescence des attaques par ransomware

Les tests d’intrusion contribuent à la conformité réglementaire. Les réglementations sur la sécurité des données telles que la Health Insurance Portability and Accountability Act (loi HIPAA) et le Règlement général sur la protection des données (RGPD) imposent certains contrôles de sécurité. En permettant d’établir que les contrôles fonctionnent comme prévu, les tests d’intrusion peuvent aider les entreprises à prouver leur conformité à ces réglementations.

D’autres réglementations exigent explicitement des tests d’intrusion. La norme PCI-DSS (Payment Card Industry Data Security Standard), qui s’applique aux organisations qui traitent des transactions par carte de crédit, rend obligatoires des  « tests d’intrusion externes et internes » réguliers.

Les tests d’intrusion peuvent également contribuer à la conformité aux normes volontaires de sécurité des informations, comme la norme ISO/IEC 27001.

Tous les tests d’intrusion impliquent une attaque simulée contre les systèmes informatiques d’une entreprise. Cependant, différents types de tests ciblent différents types d’actifs de l’entreprise.

Les tests d’intrusion sur les applications recherchent des vulnérabilités dans les applications et les systèmes connexes, notamment les applications web et les sites web, les applications mobiles et IdO, les applications cloud et les interfaces de programmation d’applications (API).

Ils commencent souvent par la recherche des vulnérabilités répertoriées dans le Top 10 de l’Open Web Application Security Project (OWASP). Le Top 10 de l’OWASP est une liste des vulnérabilités les plus critiques dans les applications web. Bien que la liste soit régulièrement mise à jour pour refléter l’évolution du paysage de la cybersécurité, les vulnérabilités les plus courantes incluent notamment les injections de code malveillant, les erreurs de configuration et les échecs d’authentification. Au-delà du Top 10 de l’OWASP, les tests d’intrusion sur les applications recherchent également les failles de sécurité et les vulnérabilités moins courantes qui peuvent être propres à l’application concernée.

Les tests d’intrusion sur les réseaux attaquent l’ensemble du réseau informatique de l’entreprise. Il existe deux grands types de tests d’intrusion sur les réseaux : les tests externes et les tests internes.

Dans les tests externes, les testeurs imitent le comportement de pirates informatiques pour détecter les problèmes de sécurité dans les actifs connectés à l’Internet (serveurs, routeurs, sites web et ordinateurs des employés). Les « tests externes » sont appelés ainsi car ils tentent de s’introduire dans le réseau à partir de l’extérieur.

Dans les tests internes, les testeurs imitent le comportement d’  initiés malveillants ou de pirates informatiques qui possèdent des identifiants volés. L’objectif est de découvrir les vulnérabilités qu’une personne pourrait exploiter à l’intérieur du réseau, par exemple en abusant des privilèges d’accès pour voler des données sensibles.

Ces tests de sécurité recherchent les vulnérabilités des appareils connectés au réseau : ordinateurs portables, appareils mobiles et IdO, technologies opérationnelles (OT).

Les testeurs peuvent rechercher des failles logicielles, comme un exploit du système d’exploitation qui permet aux pirates informatiques d’accéder à distance à un terminal. Ils peuvent rechercher des vulnérabilités physiques, comme un centre de données mal sécurisé dans lequel des acteurs malveillants pourraient s’introduire. L’équipe de test peut également évaluer la manière dont les pirates informatiques sont susceptibles de se déplacer d’un appareil compromis à d’autres parties du réseau.

Les tests d’intrusion sur le personnel permettent de détecter les faiblesses d’hygiène des employés en ce qui concerne la cybersécurité. Autrement dit, ces tests de sécurité évaluent la vulnérabilité d’une entreprise aux attaques par ingénierie sociale.

Les testeurs d’intrusions sur le personnel utilisent le phishing, le vishing (hameçonnage vocal) et le smishing (hameçonnage par SMS) pour inciter les employés à divulguer des informations sensibles. Les tests d’intrusion sur le personnel peuvent également évaluer la sécurité des bureaux physiques. Par exemple, les testeurs d’intrusion peuvent essayer de se faufiler dans un bâtiment en se déguisant en livreurs. Cette méthode, appelée le « tailgating », est couramment utilisée par les criminels dans le monde réel.

Avant le début d’un test d’intrusion, l’équipe de test et l’entreprise doivent en définir la portée. La portée décrit les systèmes qui seront testés, le moment où les tests auront lieu et les méthodes que les testeurs d’intrusion peuvent utiliser. La portée détermine également la quantité d’informations dont disposeront les testeurs avant le lancement du processus.

• Lors d’un test de type boîte noire (en anglais BlackBox), les testeurs ne disposent d’aucune information sur le système cible. Ils ne peuvent s’appuyer que sur leurs propres recherches pour élaborer un plan d’attaque, comme le ferait un pirate informatique dans le monde réel.

• Dans un test de type boîte blanche (en anglais White box), les testeurs d’intrusion connaissent parfaitement le système cible. L’entreprise fournit des informations telles que les schémas de réseau, les codes source, les identifiants, etc.

• Dans un test de type « boîte grise » (en anglais « GreyBox »), les testeurs d’intrusions obtiennent quelques informations, mais en quantité limitée. Par exemple, l’entreprise peut communiquer des plages d’adresses IP pour des dispositifs de réseau, mais les testeurs doivent y chercher eux-mêmes les vulnérabilités.

Une fois la portée définie, les tests peuvent commencer. Les testeurs peuvent suivre plusieurs méthodologies. Les plus courantes incluent les directives de test de sécurité des applications de l’OWASP, la norme d'intrusion Standard (test d'intrusion Standard), et le National Institute of Standards and Technology (NIST) SP 800-115.

Quelle que soit la méthodologie utilisée par l’équipe, le processus suit généralement les mêmes étapes.

L’équipe de test recueille des informations sur le système cible. Les testeurs utilisent différentes méthodes de reconnaissance en fonction de la cible. Par exemple, si la cible est une application, les testeurs peuvent étudier son code source. Si la cible est un réseau entier, les testeurs peuvent utiliser un analyseur de paquets pour inspecter les flux de trafic réseau.

Souvent, les testeurs s’appuient également sur des renseignements open source (OSINT) . En lisant la documentation publique, des articles d’actualité et en consultant les réseaux sociaux et les comptes GitHub des employés, ils peuvent obtenir des informations précieuses sur leurs cibles.

Les testeurs d’intrusions utilisent les connaissances qu’ils ont acquises lors de l’étape de reconnaissance pour identifier les vulnérabilités exploitables du système. Par exemple, les testeurs peuvent utiliser un scanner de ports tel que Nmap pour rechercher les ports ouverts sur lesquels ils peuvent envoyer des  logiciels malveillants. Pour le volet test d’ingénierie sociale, l’équipe de test peut créer une fausse histoire, ou un « prétexte »,qu’elle utilisera ensuite dans un e-mail de phishing pour voler les identifiants des employés.

Lors de cette étape, les testeurs peuvent vérifier comment les dispositifs de sécurité réagissent aux intrusions. Par exemple, ils peuvent envoyer un trafic suspect au pare-feu de l’entreprise pour voir ce qui se passe. Les testeurs utilisent ce qu’ils ont appris pour éviter d’être détectés pendant le reste du test.

L’équipe de test commence l’attaque proprement dite. Les testeurs d’intrusion peuvent tenter diverses attaques en fonction du système cible, des vulnérabilités qu’ils ont trouvées et de la portée du test. Voici quelques-unes des attaques les plus fréquemment testées :

• Injections SQL : ils tentent de faire en sorte qu'une page web ou une application divulgue des données sensibles en introduisant un code malveillant dans les champs de saisie.
  
  

• — Cross-site scripting : les testeurs essaient d'insérer du code malveillant sur le site Web d'une entreprise.
  
  

• Attaques par déni de service : les testeurs tentent de déconnecter des serveurs, des applications et d’autres ressources du réseau en les submergeant de trafic.
  
  

• Ingénierie sociale : les testeurs utilisent l’hameçonnage, le baiting, un prétexte ou d’autres tactiques pour inciter les employés à compromettre la sécurité du réseau.
  
  

• Attaques par force brute : les testeurs tentent de s’introduire dans un système en exécutant des scripts qui génèrent et testent des mots de passe potentiels jusqu’à ce que l’un d’entre eux fonctionne.
  
  

• Attaques de type « man-in-the-middle » : les testeurs interceptent le trafic entre deux appareils ou utilisateurs pour voler des informations sensibles ou installer des logiciels malveillants.

Une fois que les testeurs ont exploité une vulnérabilité pour mettre un pied dans le système, ils essaient de se déplacer et d’élargir l’accès. Cette phase est parfois appelée « vulnerability chaining », car les testeurs passent d’une vulnérabilité à l’autre pour pénétrer plus profondément dans le réseau. Par exemple, ils peuvent commencer par installer un keylogger sur l’ordinateur d’un employé. Grâce à ce keylogger, ils peuvent capturer les identifiants de l’employé. Et avec les identifiants ainsi récoltés, ils peuvent accéder à une base de données sensible.

À ce stade, l’objectif du testeur est de conserver l’accès et d’augmenter ses privilèges tout en échappant aux mesures de sécurité. Tout cela est fait pour imiter les menaces persistantes avancées (APT), qui peuvent se cacher dans un système pendant des semaines, des mois voire des années avant d’être détectées.

À la fin de l’attaque simulée, les testeurs nettoient toutes les traces qu’ils ont laissées, comme les chevaux de Troie qu’ils ont installés par la porte dérobée ou les configurations qu’ils ont modifiées. De cette façon, les pirates du monde réel ne peuvent pas utiliser les exploits des testeurs d’intrusion pour pénétrer dans le réseau.

Ils rédigent ensuite un rapport sur l’attaque. Le rapport décrit généralement les vulnérabilités qu’ils ont trouvées, les exploits qu’ils ont utilisés, les détails sur la façon dont ils ont contourné les fonctionnalités de sécurité et la description de ce qu’ils ont fait dans le système. Le rapport peut également contenir des recommandations spécifiques sur la résolution des vulnérabilités. L’équipe de sécurité interne peut utiliser ces informations pour renforcer les défenses contre les attaques réelles.

Les testeurs d’intrusions utilisent divers outils pour effectuer des reconnaissances, détecter les vulnérabilités et automatiser les éléments clés du processus de test. Quelques-uns des outils les plus courants sont listés ci-dessous.

Systèmes d’exploitation spécialisés : la plupart des testeurs d’intrusions utilisent des systèmes d’exploitation conçus pour les tests d’intrusion et le piratage éthique. Le plus populaire est Kali Linux, une distribution Linux open source sur laquelle sont préinstallés des outils de test d’intrusion comme Nmap, Wireshark et Metasploit.

Outils de piratage d’identifiants : ces programmes peuvent découvrir les mots de passe en cassant le chiffrement ou en lançant des attaques par force brute, qui utilisent des bots ou des scripts pour générer et tester automatiquement des mots de passe potentiels jusqu’à ce que le bon soit trouvé. Citons comme exemples Medusa, Hyrda, Hashcat et John the Ripper.

Scanners de ports : les scanners de ports permettent aux testeurs de tester à distance des appareils pour détecter les ports ouverts et disponibles, qu’ils peuvent utiliser pour pénétrer dans un réseau. Nmap est le scanner de ports le plus utilisé, mais Masscan et ZMap sont également courants.

Scanners de vulnérabilités : les outils d’analyse des vulnérabilités recherchent des vulnérabilités connues dans les systèmes, ce qui permet aux testeurs de trouver rapidement des points d’entrée potentiels dans une cible. Citons comme exemples Nessus, Core Impact et Netsparker.

Les scanners de vulnérabilités web sont un sous-ensemble des scanners de vulnérabilités, qui évaluent les applications web et les sites web. Citons comme exemples Burp Suite et Zed Attack Proxy (ZAP) de l’OWASP.

Analyseurs de paquets : les analyseurs de paquets, également appelés « renifleurs de paquets », permettent aux pirates d’analyser le trafic réseau en capturant et en inspectant les paquets. Ils peuvent déterminer d’où vient le trafic, où il va et, dans certains cas, quelles données il contient. Wireshark et tcpdump font partie des analyseurs de paquets les plus couramment utilisés.

Metasploit : Metasploit est un cadre de test d’intrusion doté d’une multitude de fonctions. Plus important encore, Metasploit permet aux testeurs d’automatiser les cyberattaques. Metasploit dispose d’une bibliothèque intégrée de codes d’exploitation et de charges utiles pré-écrits. Les testeurs d’intrusion peuvent sélectionner un exploit, lui donner une charge utile à livrer au système cible et laisser Metasploit s’occuper du reste.