Depuis quelques années, de nombreux tests d’intrusions ont été réalisés pour des sociétés en quête d’amélioration de leur sécurité. Par cet article, je ne souhaite pas montrer les différentes techniques d’attaque utilisées, mais expliquer les prestations réalisées par les « pentesters ».

Qu’est-ce que le « pentesting » ?

Le « pentesting » ou « test d’intrusion » en français, consiste à tester la sécurité d’une application, d’un réseau ou d’une plateforme.

Test d’intrusion vs audit de sécurité ?

Même si l’un ne va pas avec l’autre, le test d’intrusion (pentesting) et l’audit de sécurité servent à mesurer le niveau de sécurité d’un système d’information. Cependant les approches sont différentes.

On parle d’audit de sécurité quand on cherche à déterminer si un système est conforme ou non à une norme en fonction de certains critères précis. Sans entrer dans les détails, un audit nécessite une préparation technique et documentaire importante, il est limité par sa durée et ses critères. A la fin d’un audit, un rapport est généré dans lequel se trouve les remarques les plus importantes ainsi qu’une note ou une validation ou non par rapport à la norme de l’audit. Il existe toute sorte d’audit :

• Audit de certification (audit organisationnel, réglementation bancaire, etc.)
• Audits techniques (audit de code source, audit de configuration d’un équipement, etc.)

Par contre, un test d’intrusion n’est pas défini par une liste de critères spécifiques. En ce sens, le « pentest » permet de découvrir des vulnérabilités qui n’ont pas été détectées lors d’un précédent audit. Pour cela, le testeur va alors attaquer l’entreprise de la même manière qu’un hacker à la différence où son périmètre et la durée de l’attaque a été définie au préalable avec le client. Le pentester ne peut pas faire tomber toute une entreprise uniquement pour démontrer une vulnérabilité qu’il juge importante.

De ce fait, le test d’intrusion est plus réaliste qu’un audit du fait des techniques utilisées. Cependant le rapport ne peut être complet dans la mesure où la personne est limitée par le temps et doit prioriser ses recherches de failles ce qui n’est pas le cas pour un attaquant.

Différents types de tests d’intrusions

Concrètement, il existe 3 types de scénarios de tests d’intrusion :

1. le mode BLACK BOX : le testeur se met dans la peau d’un attaquant externe sans aucunes informations concernant l’infrastructure de l’entreprise. Pour cela, il va commencer son test par une phase d’informations afin d’avoir une cartographie du SI et donc trouver un angle d’attaque pour s’introduire sur le système cible, en adoptant la posture d’un réel attaquant.
2. le mode WHITE BOX : c’est l’inverse qui se produit. Le pentester a accès à toutes les informations dont il a besoin et travaille en collaboration avec le DSI et le RSSI. L’objectif de ce test est d’obtenir le maximum d’informations sur le SI de l’entreprise afin de trouver des vulnérabilités qui n’auraient pas été détectées en mode Black Box.
3. le mode GREY BOX : c’est un mode intermédiaire dans la mesure où le testeur possède quelques informations mais a des droits limités. Ce mode de test est aussi appelé « le test du stagiaire ».

Le test dit « Red Team » est également important à connaitre. Ce dernier utilise des techniques alternatives comme le « phishing » ou le « social-engineering » sans contrainte de temps ni de périmètre. Son but est de tester le personnel ainsi que les intrusions physiques.

Le métier de pentester

Je me permets de faire un point sur ce métier car en plus d’être exigeant techniquement et psychologiquement, il est aussi exigeant pénalement ! Le moindre écart sur la durée ou le périmètre établit dans le contrat initial (même involontaire), peut entraîner une peine de prison (cf. les articles 323-1 et 323-7 du code pénal).