Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Article_pentest_Secus 10 12
1. E X PE RTIS E
Test de
pénétration (pentest ):
au-delà des apparences
PAR MICHEL CUSIN, fondateur de la firme Cusin Sécurité inc.
Les organisations font-elles régulièrement vérifier la sécurité
de leur environnement technologique par des firmes externes
qui effectuent des analyses de vulnérabilité et des tests d’in-
trusion ? Si oui, le font-elles pour les bonnes raisons ?
Malheureusement, certaines entreprises font faire des tests de pénétration
afin d’obtenir le « papier » et de pouvoir dire qu’elles ont utilisé leur budget à cet effet
et qu’elles ont donc fait leur devoir en ce qui concerne la sécurité de leur environ-
nement technologique. D’autres font faire des tests d’intrusion afin de découvrir les
failles de leur environnement technologique et d’avoir sur lui la même vision que les
attaquants pour exploiter les vulnérabilités et recréer ce qui pourrait se produire
dans la vraie vie.
Michel Cusin est le fondateur de la firme
Peu importe les motivations pour lesquelles ces organisations font faire ces
Cusin Sécurité inc. Il possède plus de douze vérifications. Un fait demeure. Au final, la seule chose qu’elles auront entre les
ans d’expérience en sécurité de l’infor- mains sera le rapport pour lequel elles auront payé. Mais, connaissent-elles la
mation. En tant qu’instructeur et consultant méthode utilisée par le pentesteur ? Puis, savent-elles à quoi elles devraient s’at-
en sécurité, il a développé une solide
expertise en architecture, en analyses
tendre de ce dernier ? Quel est l’objectif d’un test de pénétration ? Qu’est-ce qui
de vulnérabilité, en tests d’intrusion, en devrait se retrouver dans le rapport ?
gestion d’incident, en formation, etc.
Il détient entre autres les certifications TEST DE PÉNÉTRATION ET ANALYSE DE VULNÉRABILITÉ
CISSP GIAC (GCIH, GPEN), CEH, OPST et
, Un test de pénétration est très différent et beaucoup plus intrusif qu’une
d’autres, reliées à divers manufacturiers
de solutions de sécurité. Il est l’un des simple analyse de vulnérabilité. Il consiste principalement à pousser plus loin
rares mentors et instructeurs franco- l’analyse de vulnérabilité en exploitant les failles découvertes lors de cette dernière.
phones au SANS Institute et il est chargé Une analyse de vulnérabilité est donc l’une des étapes d’un test de pénétration et
de cours au certificat en cybersécurité elle est loin d’être aussi exhaustive.
de la Polytechnique de Montréal. Il par-
ticipe à divers événements de sécurité Alors, pourquoi effectuer un test de pénétration plutôt qu’une simple analyse
à titre de conférencier, publie des de vulnérabilité ? Après tout, si les vulnérabilités sont identifiées et corrigées rapide-
articles et fait partie des responsables ment, où est le problème ?
de BSidesQuébec. Son blogue traite de
sujets liés à la sécurité.
« Sans équivoque, leréels de l’organisationdétermine de
les risques d’affaires
test de pénétration
dans le but
pallier ces derniers le plus rapidement et le plus efficacement
possible. L’un de ses objectifs peut être de tester les
mécanismes de défense déjà en place tant sur le plan
technologique que sur celui des processus. »
Suite en page 13
Automne 2012 SÉCUS | 12 |
2. livrent à leurs clients le rapport original de l’outil lui-même en
ne changeant parfois que le logo du haut de la page, ce qui
n’a, encore une fois, aucune valeur ajoutée et qui démontre
un manque de compétence et un laxisme flagrant. Le tout
est bien sûr assorti d’une facture probablement trop élevée si
l’on considère la valeur réelle du résultat qui est, somme
toute, « un léger tapotement » sans valeur ajoutée. Certains
professionnels de l’industrie appellent ces tests des “Really
Crappy Penetration Test1”.
Évidemment, si le client ne recherche qu’un balayage
de port ou de vulnérabilité, ce qui ne se compare d’aucune
façon à une analyse de vulnérabilité et encore moins à un
test de pénétration en ce qui concerne la valeur pour l’orga-
nisation, c’est différent. Les objectifs et les résultats sont
très différents et la valeur est loin d’être la même.
LE RAPPORT D’UN TEST DE PÉNÉTRATION
Un rapport d’analyse de vulnérabilité ou de test de
Suite de la page 12 pénétration devrait notamment inclure la méthodologie uti-
Le pirate sérieux qui trouve une vulnérabilité sur un lisée, l’expertise d’un professionnel en sécurité, l’intelligence
système ne s’arrêtera pas là. Il utilisera cette faille pour com- humaine, l’interprétation de données, des explications, des
promettre le système afin de s’en servir comme tremplin ou recommandations, un sommaire, une conclusion et un cer-
pivot dans le but d’accéder au reste de l’environnement et tain accompagnement pour qu’il y ait une valeur réelle pour
d’atteindre ainsi le système qui contient le « secret de la le client. Si une entreprise reçoit un rapport qui ne contient
Caramilk ». pas ces éléments, elle est en droit de s’interroger et même
De plus, comme les techniques d’attaque ont grande- de refuser le rapport.
ment évolué, les attaquants utilisent maintenant des De plus, un rapport devrait inclure la liste détaillée des
méthodes qui exploitent des vecteurs d’attaque qu’une simple vulnérabilités, idéalement par ordre de sévérité (haute,
analyse de vulnérabilité ne « couvre » pas nécessairement, moyenne, basse). Pour chacune des vulnérabilités, des
contrairement à un test de pénétration. informations telles qu’une description de la vulnérabilité, la
Les pirates, eux, font de vrais tests. Les entreprises, façon dont cette dernière peut être exploitée par un atta-
elles, en font-elles ? quant, le type de connaissances requises pour l’exploiter, des
Voici une analogie intéressante. Quelle méthode est la solutions pour chacune des vulnérabilités découvertes et les
plus efficace pour détecter une bombe cachée dans une systèmes affectés devraient être fournies.
valise à l’aéroport ? Celle de tapoter la valise légèrement Suite en page 14
sans l’ouvrir en demandant à son transporteur s’il y a une
bombe à l’intérieur ou celle d’ouvrir la valise, de la passer aux
rayons X et de la faire sentir par un chien renifleur ? En fait,
veut-on vraiment savoir ce qu’il y a à l’intérieur ? Si la réponse
est non, boum ! Si la réponse est oui, on prend les moyens qui
s’imposent pour le savoir. Toutefois, qu’advient-il si la machine
à rayons X n’affiche qu’une partie de l’image ou qu’elle ne pro-
duit aucune alerte si elle détecte quelque chose ? Ou qu’arrive-
t-il si le chien renifleur ne s’assoit pas à côté de la valise ou
s’il ne jappe pas lorsqu’il sent les explosifs ? Et si le person-
nel ne reçoit aucune consigne sur la façon de gérer la situa-
tion ? Évidemment, le parallèle avec les tests et les rapports
déficients est simple à faire. Non ?
Malheureusement, les rapports d’analyses de vulnéra-
bilité ne sont que trop souvent des copier-coller presque inté-
graux et sans valeur ajoutée du résultat provenant d’un outil
accessible à tous (parfois gratuit). Pire encore, certaines firmes
Automne 2012 SÉCUS | 13 |
3. Abonnez-vous
à notre magazine !
(www.secus.ca)
Suite de la page 13
Puis, un rapport devrait présenter des recommanda- doit comprendre l’importance de prendre le temps d’y réfléchir
tions spécifiques basées sur les résultats réels du présent sérieusement. Si quelqu’un magasine une fourgonnette pour
test et non des conseils génériques (par exemple, « suivez transporter sa famille, le prix du véhicule sera-t-il son unique
les bonnes pratiques et appliquez les rustines ») qui pour- critère ou considérera-t-il également les options de sécurité ?
raient s’appliquer à n’importe quel environnement du même
type. Non pas que ces avis ne devraient pas s’y retrouver, CONSEILS
mais ils devraient être contextualisés et non génériques. Magasinez vos tests et utilisez les éléments men-
Dans un test de pénétration, la transparence est de tionnés plus tôt afin de vous faire une grille d’évaluation.
mise, donc aucune « magie-noire-ésotérique-vaudou » ne N’hésitez surtout pas à rajouter des critères qui vous sem-
devrait venir mystifier le test, bien au contraire. L’organisation blent importants. Cela vous aidera à comparer les différentes
est en droit de savoir tout ce qui se passe. L’heure de début options disponibles dans les offres que vous recevrez. De
et de fin de l’une des phases du test, l’adresse IP source du cette façon, vous serez en mesure de comparer des pommes
testeur, le système exploité, le moment approximatif de avec des pommes.
« Beaucoup trop d’médiocres et sans
l’événement, les techniques et outils utilisés, etc.
Il s’agit de l’environnement de l’entreprise. Ses respon- entreprises se
sables doivent être à l’aise avec le processus. L’utilisation contentent de rapports
d’une méthodologie reconnue est également très importante
dans le but de s’assurer que les tests sont structurés et tou-
valeur réelle. Un test de pénétration de
jours effectués de la même façon. De cette manière, les résul- qualité moyenne avec un bon rapport
est beaucoup mieux qu’un super test de
»
tats devraient être les mêmes, peu importe qui fait le test.
Plusieurs méthodes existent à cet effet telles que l’Open Source pénétration avec un rapport médiocre.
Security Testing Methodology Manual 2, le Penetration Testing
Execution Standard3, le Technical Guide to Information L’objectif d’un test de pénétration est donc de déter-
Security Testing and Assessment du National Institute of miner les risques d’affaires et non de démontrer comment le
Standards and Technology4. L’organisation est également en pentesteur est un « super-l337-kung-fu-ninja » et que rien ne
droit de demander à ce que la liste des outils utilisés pour lui résiste. N’oubliez pas que le résultat, et ce pour quoi vous
faire les tests apparaisse dans le rapport, et ce, tant sur le payez, c’est le rapport. C’est lui qui vous aidera vraiment à
plan des outils commerciaux que des logiciels libres (open déterminer les risques, les vulnérabilités, les actions et les
source). budgets auxquels vous devez accorder la priorité.
Bon test de pénétration !
LE COÛT D’UN TEST DE PÉNÉTRATION
Le coût d’un test de pénétration peut varier de façon 1. « Très mauvais test de pénétration »,
importante. Trop souvent, la décision de l’entreprise n’est http://pen-testing.sans.org/blog/2012/02/09/maximizing-value-in-
basée que sur le prix du test de pénétration. C’est donc le pen-testing?reply-to-comment=101.
2. www.isecom.org/research/osstmm.html (en anglais).
moins cher qui l’emporte ! Cependant, comme il s’agit de la 3. www.pentest-standard.org/ (en anglais).
sécurité de son environnement technologique, de ses don- 4. csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf
nées, de sa réputation, et de bien plus encore, l’organisation (en anglais).
Automne 2012 SÉCUS | 14 |