Article_pentest_Secus 10 12

9 086 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
9 086
Sur SlideShare
0
Issues des intégrations
0
Intégrations
7 942
Actions
Partages
0
Téléchargements
7
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Article_pentest_Secus 10 12

  1. 1. E X PE RTIS ETest depénétration (pentest ):au-delà des apparencesPAR MICHEL CUSIN, fondateur de la firme Cusin Sécurité inc. Les organisations font-elles régulièrement vérifier la sécurité de leur environnement technologique par des firmes externes qui effectuent des analyses de vulnérabilité et des tests d’in- trusion ? Si oui, le font-elles pour les bonnes raisons ? Malheureusement, certaines entreprises font faire des tests de pénétration afin d’obtenir le « papier » et de pouvoir dire qu’elles ont utilisé leur budget à cet effet et qu’elles ont donc fait leur devoir en ce qui concerne la sécurité de leur environ- nement technologique. D’autres font faire des tests d’intrusion afin de découvrir les failles de leur environnement technologique et d’avoir sur lui la même vision que les attaquants pour exploiter les vulnérabilités et recréer ce qui pourrait se produire dans la vraie vie.Michel Cusin est le fondateur de la firme Peu importe les motivations pour lesquelles ces organisations font faire cesCusin Sécurité inc. Il possède plus de douze vérifications. Un fait demeure. Au final, la seule chose qu’elles auront entre lesans d’expérience en sécurité de l’infor- mains sera le rapport pour lequel elles auront payé. Mais, connaissent-elles lamation. En tant qu’instructeur et consultant méthode utilisée par le pentesteur ? Puis, savent-elles à quoi elles devraient s’at-en sécurité, il a développé une solideexpertise en architecture, en analyses tendre de ce dernier ? Quel est l’objectif d’un test de pénétration ? Qu’est-ce quide vulnérabilité, en tests d’intrusion, en devrait se retrouver dans le rapport ?gestion d’incident, en formation, etc.Il détient entre autres les certifications TEST DE PÉNÉTRATION ET ANALYSE DE VULNÉRABILITÉCISSP GIAC (GCIH, GPEN), CEH, OPST et , Un test de pénétration est très différent et beaucoup plus intrusif qu’uned’autres, reliées à divers manufacturiersde solutions de sécurité. Il est l’un des simple analyse de vulnérabilité. Il consiste principalement à pousser plus loinrares mentors et instructeurs franco- l’analyse de vulnérabilité en exploitant les failles découvertes lors de cette dernière.phones au SANS Institute et il est chargé Une analyse de vulnérabilité est donc l’une des étapes d’un test de pénétration etde cours au certificat en cybersécurité elle est loin d’être aussi exhaustive.de la Polytechnique de Montréal. Il par-ticipe à divers événements de sécurité Alors, pourquoi effectuer un test de pénétration plutôt qu’une simple analyseà titre de conférencier, publie des de vulnérabilité ? Après tout, si les vulnérabilités sont identifiées et corrigées rapide-articles et fait partie des responsables ment, où est le problème ?de BSidesQuébec. Son blogue traite desujets liés à la sécurité. « Sans équivoque, leréels de l’organisationdétermine de les risques d’affaires test de pénétration dans le but pallier ces derniers le plus rapidement et le plus efficacement possible. L’un de ses objectifs peut être de tester les mécanismes de défense déjà en place tant sur le plan technologique que sur celui des processus. » Suite en page 13 Automne 2012 SÉCUS | 12 |
  2. 2. livrent à leurs clients le rapport original de l’outil lui-même en ne changeant parfois que le logo du haut de la page, ce qui n’a, encore une fois, aucune valeur ajoutée et qui démontre un manque de compétence et un laxisme flagrant. Le tout est bien sûr assorti d’une facture probablement trop élevée si l’on considère la valeur réelle du résultat qui est, somme toute, « un léger tapotement » sans valeur ajoutée. Certains professionnels de l’industrie appellent ces tests des “Really Crappy Penetration Test1”. Évidemment, si le client ne recherche qu’un balayage de port ou de vulnérabilité, ce qui ne se compare d’aucune façon à une analyse de vulnérabilité et encore moins à un test de pénétration en ce qui concerne la valeur pour l’orga- nisation, c’est différent. Les objectifs et les résultats sont très différents et la valeur est loin d’être la même. LE RAPPORT D’UN TEST DE PÉNÉTRATION Un rapport d’analyse de vulnérabilité ou de test deSuite de la page 12 pénétration devrait notamment inclure la méthodologie uti- Le pirate sérieux qui trouve une vulnérabilité sur un lisée, l’expertise d’un professionnel en sécurité, l’intelligencesystème ne s’arrêtera pas là. Il utilisera cette faille pour com- humaine, l’interprétation de données, des explications, despromettre le système afin de s’en servir comme tremplin ou recommandations, un sommaire, une conclusion et un cer-pivot dans le but d’accéder au reste de l’environnement et tain accompagnement pour qu’il y ait une valeur réelle pourd’atteindre ainsi le système qui contient le « secret de la le client. Si une entreprise reçoit un rapport qui ne contientCaramilk ». pas ces éléments, elle est en droit de s’interroger et même De plus, comme les techniques d’attaque ont grande- de refuser le rapport.ment évolué, les attaquants utilisent maintenant des De plus, un rapport devrait inclure la liste détaillée desméthodes qui exploitent des vecteurs d’attaque qu’une simple vulnérabilités, idéalement par ordre de sévérité (haute,analyse de vulnérabilité ne « couvre » pas nécessairement, moyenne, basse). Pour chacune des vulnérabilités, descontrairement à un test de pénétration. informations telles qu’une description de la vulnérabilité, la Les pirates, eux, font de vrais tests. Les entreprises, façon dont cette dernière peut être exploitée par un atta-elles, en font-elles ? quant, le type de connaissances requises pour l’exploiter, des Voici une analogie intéressante. Quelle méthode est la solutions pour chacune des vulnérabilités découvertes et lesplus efficace pour détecter une bombe cachée dans une systèmes affectés devraient être fournies.valise à l’aéroport ? Celle de tapoter la valise légèrement Suite en page 14sans l’ouvrir en demandant à son transporteur s’il y a unebombe à l’intérieur ou celle d’ouvrir la valise, de la passer auxrayons X et de la faire sentir par un chien renifleur ? En fait,veut-on vraiment savoir ce qu’il y a à l’intérieur ? Si la réponseest non, boum ! Si la réponse est oui, on prend les moyens quis’imposent pour le savoir. Toutefois, qu’advient-il si la machineà rayons X n’affiche qu’une partie de l’image ou qu’elle ne pro-duit aucune alerte si elle détecte quelque chose ? Ou qu’arrive-t-il si le chien renifleur ne s’assoit pas à côté de la valise ous’il ne jappe pas lorsqu’il sent les explosifs ? Et si le person-nel ne reçoit aucune consigne sur la façon de gérer la situa-tion ? Évidemment, le parallèle avec les tests et les rapportsdéficients est simple à faire. Non ? Malheureusement, les rapports d’analyses de vulnéra-bilité ne sont que trop souvent des copier-coller presque inté-graux et sans valeur ajoutée du résultat provenant d’un outilaccessible à tous (parfois gratuit). Pire encore, certaines firmes Automne 2012 SÉCUS | 13 |
  3. 3. Abonnez-vous à notre magazine ! (www.secus.ca)Suite de la page 13 Puis, un rapport devrait présenter des recommanda- doit comprendre l’importance de prendre le temps d’y réfléchirtions spécifiques basées sur les résultats réels du présent sérieusement. Si quelqu’un magasine une fourgonnette pourtest et non des conseils génériques (par exemple, « suivez transporter sa famille, le prix du véhicule sera-t-il son uniqueles bonnes pratiques et appliquez les rustines ») qui pour- critère ou considérera-t-il également les options de sécurité ?raient s’appliquer à n’importe quel environnement du mêmetype. Non pas que ces avis ne devraient pas s’y retrouver, CONSEILSmais ils devraient être contextualisés et non génériques. Magasinez vos tests et utilisez les éléments men- Dans un test de pénétration, la transparence est de tionnés plus tôt afin de vous faire une grille d’évaluation.mise, donc aucune « magie-noire-ésotérique-vaudou » ne N’hésitez surtout pas à rajouter des critères qui vous sem-devrait venir mystifier le test, bien au contraire. L’organisation blent importants. Cela vous aidera à comparer les différentesest en droit de savoir tout ce qui se passe. L’heure de début options disponibles dans les offres que vous recevrez. Deet de fin de l’une des phases du test, l’adresse IP source du cette façon, vous serez en mesure de comparer des pommestesteur, le système exploité, le moment approximatif de avec des pommes. « Beaucoup trop d’médiocres et sansl’événement, les techniques et outils utilisés, etc. Il s’agit de l’environnement de l’entreprise. Ses respon- entreprises sesables doivent être à l’aise avec le processus. L’utilisation contentent de rapportsd’une méthodologie reconnue est également très importantedans le but de s’assurer que les tests sont structurés et tou- valeur réelle. Un test de pénétration dejours effectués de la même façon. De cette manière, les résul- qualité moyenne avec un bon rapport est beaucoup mieux qu’un super test de »tats devraient être les mêmes, peu importe qui fait le test.Plusieurs méthodes existent à cet effet telles que l’Open Source pénétration avec un rapport médiocre.Security Testing Methodology Manual 2, le Penetration TestingExecution Standard3, le Technical Guide to Information L’objectif d’un test de pénétration est donc de déter-Security Testing and Assessment du National Institute of miner les risques d’affaires et non de démontrer comment leStandards and Technology4. L’organisation est également en pentesteur est un « super-l337-kung-fu-ninja » et que rien nedroit de demander à ce que la liste des outils utilisés pour lui résiste. N’oubliez pas que le résultat, et ce pour quoi vousfaire les tests apparaisse dans le rapport, et ce, tant sur le payez, c’est le rapport. C’est lui qui vous aidera vraiment àplan des outils commerciaux que des logiciels libres (open déterminer les risques, les vulnérabilités, les actions et lessource). budgets auxquels vous devez accorder la priorité. Bon test de pénétration !LE COÛT D’UN TEST DE PÉNÉTRATION Le coût d’un test de pénétration peut varier de façon 1. « Très mauvais test de pénétration »,importante. Trop souvent, la décision de l’entreprise n’est http://pen-testing.sans.org/blog/2012/02/09/maximizing-value-in-basée que sur le prix du test de pénétration. C’est donc le pen-testing?reply-to-comment=101. 2. www.isecom.org/research/osstmm.html (en anglais).moins cher qui l’emporte ! Cependant, comme il s’agit de la 3. www.pentest-standard.org/ (en anglais).sécurité de son environnement technologique, de ses don- 4. csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdfnées, de sa réputation, et de bien plus encore, l’organisation (en anglais). Automne 2012 SÉCUS | 14 |

×