SlideShare une entreprise Scribd logo
E X PE RTIS E




Test de
pénétration (pentest ):
au-delà des apparences
PAR MICHEL CUSIN, fondateur de la firme Cusin Sécurité inc.


                                               Les organisations font-elles régulièrement vérifier la sécurité
                                               de leur environnement technologique par des firmes externes
                                               qui effectuent des analyses de vulnérabilité et des tests d’in-
                                               trusion ? Si oui, le font-elles pour les bonnes raisons ?
                                                      Malheureusement, certaines entreprises font faire des tests de pénétration
                                               afin d’obtenir le « papier » et de pouvoir dire qu’elles ont utilisé leur budget à cet effet
                                               et qu’elles ont donc fait leur devoir en ce qui concerne la sécurité de leur environ-
                                               nement technologique. D’autres font faire des tests d’intrusion afin de découvrir les
                                               failles de leur environnement technologique et d’avoir sur lui la même vision que les
                                               attaquants pour exploiter les vulnérabilités et recréer ce qui pourrait se produire
                                               dans la vraie vie.
Michel Cusin est le fondateur de la firme
                                                      Peu importe les motivations pour lesquelles ces organisations font faire ces
Cusin Sécurité inc. Il possède plus de douze   vérifications. Un fait demeure. Au final, la seule chose qu’elles auront entre les
ans d’expérience en sécurité de l’infor-       mains sera le rapport pour lequel elles auront payé. Mais, connaissent-elles la
mation. En tant qu’instructeur et consultant   méthode utilisée par le pentesteur ? Puis, savent-elles à quoi elles devraient s’at-
en sécurité, il a développé une solide
expertise en architecture, en analyses
                                               tendre de ce dernier ? Quel est l’objectif d’un test de pénétration ? Qu’est-ce qui
de vulnérabilité, en tests d’intrusion, en     devrait se retrouver dans le rapport ?
gestion d’incident, en formation, etc.
Il détient entre autres les certifications     TEST DE PÉNÉTRATION ET ANALYSE DE VULNÉRABILITÉ
CISSP GIAC (GCIH, GPEN), CEH, OPST et
      ,                                               Un test de pénétration est très différent et beaucoup plus intrusif qu’une
d’autres, reliées à divers manufacturiers
de solutions de sécurité. Il est l’un des      simple analyse de vulnérabilité. Il consiste principalement à pousser plus loin
rares mentors et instructeurs franco-          l’analyse de vulnérabilité en exploitant les failles découvertes lors de cette dernière.
phones au SANS Institute et il est chargé      Une analyse de vulnérabilité est donc l’une des étapes d’un test de pénétration et
de cours au certificat en cybersécurité        elle est loin d’être aussi exhaustive.
de la Polytechnique de Montréal. Il par-
ticipe à divers événements de sécurité                Alors, pourquoi effectuer un test de pénétration plutôt qu’une simple analyse
à titre de conférencier, publie des            de vulnérabilité ? Après tout, si les vulnérabilités sont identifiées et corrigées rapide-
articles et fait partie des responsables       ment, où est le problème ?
de BSidesQuébec. Son blogue traite de
sujets liés à la sécurité.
                                               « Sans équivoque, leréels de l’organisationdétermine de
                                               les risques d’affaires
                                                                      test de pénétration
                                                                                           dans le but
                                               pallier ces derniers le plus rapidement et le plus efficacement
                                               possible. L’un de ses objectifs peut être de tester les
                                               mécanismes de défense déjà en place tant sur le plan
                                               technologique que sur celui des processus.                         »
                                                                                                                          Suite en page 13



                                                                                                            Automne 2012 SÉCUS | 12 |
livrent à leurs clients le rapport original de l’outil lui-même en
                                                                     ne changeant parfois que le logo du haut de la page, ce qui
                                                                     n’a, encore une fois, aucune valeur ajoutée et qui démontre
                                                                     un manque de compétence et un laxisme flagrant. Le tout
                                                                     est bien sûr assorti d’une facture probablement trop élevée si
                                                                     l’on considère la valeur réelle du résultat qui est, somme
                                                                     toute, « un léger tapotement » sans valeur ajoutée. Certains
                                                                     professionnels de l’industrie appellent ces tests des “Really
                                                                     Crappy Penetration Test1”.
                                                                            Évidemment, si le client ne recherche qu’un balayage
                                                                     de port ou de vulnérabilité, ce qui ne se compare d’aucune
                                                                     façon à une analyse de vulnérabilité et encore moins à un
                                                                     test de pénétration en ce qui concerne la valeur pour l’orga-
                                                                     nisation, c’est différent. Les objectifs et les résultats sont
                                                                     très différents et la valeur est loin d’être la même.

                                                                     LE RAPPORT D’UN TEST DE PÉNÉTRATION
                                                                             Un rapport d’analyse de vulnérabilité ou de test de
Suite de la page 12                                                  pénétration devrait notamment inclure la méthodologie uti-
         Le pirate sérieux qui trouve une vulnérabilité sur un       lisée, l’expertise d’un professionnel en sécurité, l’intelligence
système ne s’arrêtera pas là. Il utilisera cette faille pour com-    humaine, l’interprétation de données, des explications, des
promettre le système afin de s’en servir comme tremplin ou           recommandations, un sommaire, une conclusion et un cer-
pivot dans le but d’accéder au reste de l’environnement et           tain accompagnement pour qu’il y ait une valeur réelle pour
d’atteindre ainsi le système qui contient le « secret de la          le client. Si une entreprise reçoit un rapport qui ne contient
Caramilk ».                                                          pas ces éléments, elle est en droit de s’interroger et même
         De plus, comme les techniques d’attaque ont grande-         de refuser le rapport.
ment évolué, les attaquants utilisent maintenant des                         De plus, un rapport devrait inclure la liste détaillée des
méthodes qui exploitent des vecteurs d’attaque qu’une simple         vulnérabilités, idéalement par ordre de sévérité (haute,
analyse de vulnérabilité ne « couvre » pas nécessairement,           moyenne, basse). Pour chacune des vulnérabilités, des
contrairement à un test de pénétration.                              informations telles qu’une description de la vulnérabilité, la
         Les pirates, eux, font de vrais tests. Les entreprises,     façon dont cette dernière peut être exploitée par un atta-
elles, en font-elles ?                                               quant, le type de connaissances requises pour l’exploiter, des
         Voici une analogie intéressante. Quelle méthode est la      solutions pour chacune des vulnérabilités découvertes et les
plus efficace pour détecter une bombe cachée dans une                systèmes affectés devraient être fournies.
valise à l’aéroport ? Celle de tapoter la valise légèrement                                                           Suite en page 14
sans l’ouvrir en demandant à son transporteur s’il y a une
bombe à l’intérieur ou celle d’ouvrir la valise, de la passer aux
rayons X et de la faire sentir par un chien renifleur ? En fait,
veut-on vraiment savoir ce qu’il y a à l’intérieur ? Si la réponse
est non, boum ! Si la réponse est oui, on prend les moyens qui
s’imposent pour le savoir. Toutefois, qu’advient-il si la machine
à rayons X n’affiche qu’une partie de l’image ou qu’elle ne pro-
duit aucune alerte si elle détecte quelque chose ? Ou qu’arrive-
t-il si le chien renifleur ne s’assoit pas à côté de la valise ou
s’il ne jappe pas lorsqu’il sent les explosifs ? Et si le person-
nel ne reçoit aucune consigne sur la façon de gérer la situa-
tion ? Évidemment, le parallèle avec les tests et les rapports
déficients est simple à faire. Non ?
         Malheureusement, les rapports d’analyses de vulnéra-
bilité ne sont que trop souvent des copier-coller presque inté-
graux et sans valeur ajoutée du résultat provenant d’un outil
accessible à tous (parfois gratuit). Pire encore, certaines firmes


                                                                                                         Automne 2012 SÉCUS | 13 |
Abonnez-vous
             à notre magazine !
                                                                     (www.secus.ca)
Suite de la page 13
       Puis, un rapport devrait présenter des recommanda-            doit comprendre l’importance de prendre le temps d’y réfléchir
tions spécifiques basées sur les résultats réels du présent          sérieusement. Si quelqu’un magasine une fourgonnette pour
test et non des conseils génériques (par exemple, « suivez           transporter sa famille, le prix du véhicule sera-t-il son unique
les bonnes pratiques et appliquez les rustines ») qui pour-          critère ou considérera-t-il également les options de sécurité ?
raient s’appliquer à n’importe quel environnement du même
type. Non pas que ces avis ne devraient pas s’y retrouver,           CONSEILS
mais ils devraient être contextualisés et non génériques.                   Magasinez vos tests et utilisez les éléments men-
       Dans un test de pénétration, la transparence est de           tionnés plus tôt afin de vous faire une grille d’évaluation.
mise, donc aucune « magie-noire-ésotérique-vaudou » ne               N’hésitez surtout pas à rajouter des critères qui vous sem-
devrait venir mystifier le test, bien au contraire. L’organisation   blent importants. Cela vous aidera à comparer les différentes
est en droit de savoir tout ce qui se passe. L’heure de début        options disponibles dans les offres que vous recevrez. De
et de fin de l’une des phases du test, l’adresse IP source du        cette façon, vous serez en mesure de comparer des pommes
testeur, le système exploité, le moment approximatif de              avec des pommes.

                                                                          « Beaucoup trop d’médiocres et sans
l’événement, les techniques et outils utilisés, etc.
       Il s’agit de l’environnement de l’entreprise. Ses respon-                             entreprises se
sables doivent être à l’aise avec le processus. L’utilisation         contentent de rapports
d’une méthodologie reconnue est également très importante
dans le but de s’assurer que les tests sont structurés et tou-
                                                                        valeur réelle. Un test de pénétration de
jours effectués de la même façon. De cette manière, les résul-           qualité moyenne avec un bon rapport
                                                                       est beaucoup mieux qu’un super test de
                                                                                                                                  »
tats devraient être les mêmes, peu importe qui fait le test.
Plusieurs méthodes existent à cet effet telles que l’Open Source       pénétration avec un rapport médiocre.
Security Testing Methodology Manual 2, le Penetration Testing
Execution Standard3, le Technical Guide to Information                      L’objectif d’un test de pénétration est donc de déter-
Security Testing and Assessment du National Institute of             miner les risques d’affaires et non de démontrer comment le
Standards and Technology4. L’organisation est également en           pentesteur est un « super-l337-kung-fu-ninja » et que rien ne
droit de demander à ce que la liste des outils utilisés pour         lui résiste. N’oubliez pas que le résultat, et ce pour quoi vous
faire les tests apparaisse dans le rapport, et ce, tant sur le       payez, c’est le rapport. C’est lui qui vous aidera vraiment à
plan des outils commerciaux que des logiciels libres (open           déterminer les risques, les vulnérabilités, les actions et les
source).                                                             budgets auxquels vous devez accorder la priorité.
                                                                            Bon test de pénétration !
LE COÛT D’UN TEST DE PÉNÉTRATION
      Le coût d’un test de pénétration peut varier de façon          1. « Très mauvais test de pénétration »,
importante. Trop souvent, la décision de l’entreprise n’est             http://pen-testing.sans.org/blog/2012/02/09/maximizing-value-in-
basée que sur le prix du test de pénétration. C’est donc le             pen-testing?reply-to-comment=101.
                                                                     2. www.isecom.org/research/osstmm.html (en anglais).
moins cher qui l’emporte ! Cependant, comme il s’agit de la          3. www.pentest-standard.org/ (en anglais).
sécurité de son environnement technologique, de ses don-             4. csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf
nées, de sa réputation, et de bien plus encore, l’organisation          (en anglais).



                                                                                                         Automne 2012 SÉCUS | 14 |

Contenu connexe

Tendances

IT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchIT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patch
Daniel Soriano
 
Social Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainSocial Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humain
michelcusin
 

Tendances (20)

Risque informatique avec Kaspersky et Project si
Risque informatique avec Kaspersky et Project siRisque informatique avec Kaspersky et Project si
Risque informatique avec Kaspersky et Project si
 
La stratégie de sécurité de Microsoft
La stratégie de sécurité de MicrosoftLa stratégie de sécurité de Microsoft
La stratégie de sécurité de Microsoft
 
IT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchIT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patch
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best Practices
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
 
Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014  scada panorama des referentiels sécurité système information ind...Clusif 2014  scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17
 
Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelle
 
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
 
Social Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainSocial Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humain
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
 
Robert half cybersécurité - protéger votre avenir
Robert half   cybersécurité - protéger votre avenirRobert half   cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenir
 
Présentation Se Camp
Présentation Se CampPrésentation Se Camp
Présentation Se Camp
 
Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels? Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels?
 

Similaire à Article_pentest_Secus 10 12

Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational_France
 
La voie vers une application sécurisée
La voie vers une application sécuriséeLa voie vers une application sécurisée
La voie vers une application sécurisée
Rational_France
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
proximit
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
waggaland
 

Similaire à Article_pentest_Secus 10 12 (20)

Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilités
 
Baromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfBaromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdf
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France   livre blanc - choisir le bon outil pour faire du bon travailRational France   livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travail
 
Accélérer les tests et la validation de logiciels
Accélérer les tests et la validation de logicielsAccélérer les tests et la validation de logiciels
Accélérer les tests et la validation de logiciels
 
La voie vers une application sécurisée
La voie vers une application sécuriséeLa voie vers une application sécurisée
La voie vers une application sécurisée
 
Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirus
 
cyberun #27
cyberun #27cyberun #27
cyberun #27
 
Cloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSICloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSI
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
 
Sécurité & Continuité
Sécurité & ContinuitéSécurité & Continuité
Sécurité & Continuité
 
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
 
EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 

Plus de michelcusin

Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatique
michelcusin
 
Article secus 05_11_pwnplug
Article secus 05_11_pwnplugArticle secus 05_11_pwnplug
Article secus 05_11_pwnplug
michelcusin
 
Le piratage à la portée de tout le monde
Le piratage à la portée de tout le mondeLe piratage à la portée de tout le monde
Le piratage à la portée de tout le monde
michelcusin
 
Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010
michelcusin
 
Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008
michelcusin
 
Présentation botnet u_laval
Présentation botnet u_lavalPrésentation botnet u_laval
Présentation botnet u_laval
michelcusin
 
Colloque cyber 2010 les botnets
Colloque cyber 2010   les botnetsColloque cyber 2010   les botnets
Colloque cyber 2010 les botnets
michelcusin
 
Article secus 09_09
Article secus 09_09Article secus 09_09
Article secus 09_09
michelcusin
 
Article mc secus_05_10
Article mc secus_05_10Article mc secus_05_10
Article mc secus_05_10
michelcusin
 
Thank you for collaborating with your local hackers
Thank you for collaborating with your local hackersThank you for collaborating with your local hackers
Thank you for collaborating with your local hackers
michelcusin
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
michelcusin
 

Plus de michelcusin (14)

Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatique
 
Vos enfants, Internet et vous
Vos enfants, Internet et vousVos enfants, Internet et vous
Vos enfants, Internet et vous
 
Pwn plug: Arme fatale
Pwn plug: Arme fatalePwn plug: Arme fatale
Pwn plug: Arme fatale
 
Article secus 05_11_pwnplug
Article secus 05_11_pwnplugArticle secus 05_11_pwnplug
Article secus 05_11_pwnplug
 
Le piratage à la portée de tout le monde
Le piratage à la portée de tout le mondeLe piratage à la portée de tout le monde
Le piratage à la portée de tout le monde
 
Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10
 
Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008
 
Présentation botnet u_laval
Présentation botnet u_lavalPrésentation botnet u_laval
Présentation botnet u_laval
 
Colloque cyber 2010 les botnets
Colloque cyber 2010   les botnetsColloque cyber 2010   les botnets
Colloque cyber 2010 les botnets
 
Article secus 09_09
Article secus 09_09Article secus 09_09
Article secus 09_09
 
Article mc secus_05_10
Article mc secus_05_10Article mc secus_05_10
Article mc secus_05_10
 
Thank you for collaborating with your local hackers
Thank you for collaborating with your local hackersThank you for collaborating with your local hackers
Thank you for collaborating with your local hackers
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
 

Article_pentest_Secus 10 12

  • 1. E X PE RTIS E Test de pénétration (pentest ): au-delà des apparences PAR MICHEL CUSIN, fondateur de la firme Cusin Sécurité inc. Les organisations font-elles régulièrement vérifier la sécurité de leur environnement technologique par des firmes externes qui effectuent des analyses de vulnérabilité et des tests d’in- trusion ? Si oui, le font-elles pour les bonnes raisons ? Malheureusement, certaines entreprises font faire des tests de pénétration afin d’obtenir le « papier » et de pouvoir dire qu’elles ont utilisé leur budget à cet effet et qu’elles ont donc fait leur devoir en ce qui concerne la sécurité de leur environ- nement technologique. D’autres font faire des tests d’intrusion afin de découvrir les failles de leur environnement technologique et d’avoir sur lui la même vision que les attaquants pour exploiter les vulnérabilités et recréer ce qui pourrait se produire dans la vraie vie. Michel Cusin est le fondateur de la firme Peu importe les motivations pour lesquelles ces organisations font faire ces Cusin Sécurité inc. Il possède plus de douze vérifications. Un fait demeure. Au final, la seule chose qu’elles auront entre les ans d’expérience en sécurité de l’infor- mains sera le rapport pour lequel elles auront payé. Mais, connaissent-elles la mation. En tant qu’instructeur et consultant méthode utilisée par le pentesteur ? Puis, savent-elles à quoi elles devraient s’at- en sécurité, il a développé une solide expertise en architecture, en analyses tendre de ce dernier ? Quel est l’objectif d’un test de pénétration ? Qu’est-ce qui de vulnérabilité, en tests d’intrusion, en devrait se retrouver dans le rapport ? gestion d’incident, en formation, etc. Il détient entre autres les certifications TEST DE PÉNÉTRATION ET ANALYSE DE VULNÉRABILITÉ CISSP GIAC (GCIH, GPEN), CEH, OPST et , Un test de pénétration est très différent et beaucoup plus intrusif qu’une d’autres, reliées à divers manufacturiers de solutions de sécurité. Il est l’un des simple analyse de vulnérabilité. Il consiste principalement à pousser plus loin rares mentors et instructeurs franco- l’analyse de vulnérabilité en exploitant les failles découvertes lors de cette dernière. phones au SANS Institute et il est chargé Une analyse de vulnérabilité est donc l’une des étapes d’un test de pénétration et de cours au certificat en cybersécurité elle est loin d’être aussi exhaustive. de la Polytechnique de Montréal. Il par- ticipe à divers événements de sécurité Alors, pourquoi effectuer un test de pénétration plutôt qu’une simple analyse à titre de conférencier, publie des de vulnérabilité ? Après tout, si les vulnérabilités sont identifiées et corrigées rapide- articles et fait partie des responsables ment, où est le problème ? de BSidesQuébec. Son blogue traite de sujets liés à la sécurité. « Sans équivoque, leréels de l’organisationdétermine de les risques d’affaires test de pénétration dans le but pallier ces derniers le plus rapidement et le plus efficacement possible. L’un de ses objectifs peut être de tester les mécanismes de défense déjà en place tant sur le plan technologique que sur celui des processus. » Suite en page 13 Automne 2012 SÉCUS | 12 |
  • 2. livrent à leurs clients le rapport original de l’outil lui-même en ne changeant parfois que le logo du haut de la page, ce qui n’a, encore une fois, aucune valeur ajoutée et qui démontre un manque de compétence et un laxisme flagrant. Le tout est bien sûr assorti d’une facture probablement trop élevée si l’on considère la valeur réelle du résultat qui est, somme toute, « un léger tapotement » sans valeur ajoutée. Certains professionnels de l’industrie appellent ces tests des “Really Crappy Penetration Test1”. Évidemment, si le client ne recherche qu’un balayage de port ou de vulnérabilité, ce qui ne se compare d’aucune façon à une analyse de vulnérabilité et encore moins à un test de pénétration en ce qui concerne la valeur pour l’orga- nisation, c’est différent. Les objectifs et les résultats sont très différents et la valeur est loin d’être la même. LE RAPPORT D’UN TEST DE PÉNÉTRATION Un rapport d’analyse de vulnérabilité ou de test de Suite de la page 12 pénétration devrait notamment inclure la méthodologie uti- Le pirate sérieux qui trouve une vulnérabilité sur un lisée, l’expertise d’un professionnel en sécurité, l’intelligence système ne s’arrêtera pas là. Il utilisera cette faille pour com- humaine, l’interprétation de données, des explications, des promettre le système afin de s’en servir comme tremplin ou recommandations, un sommaire, une conclusion et un cer- pivot dans le but d’accéder au reste de l’environnement et tain accompagnement pour qu’il y ait une valeur réelle pour d’atteindre ainsi le système qui contient le « secret de la le client. Si une entreprise reçoit un rapport qui ne contient Caramilk ». pas ces éléments, elle est en droit de s’interroger et même De plus, comme les techniques d’attaque ont grande- de refuser le rapport. ment évolué, les attaquants utilisent maintenant des De plus, un rapport devrait inclure la liste détaillée des méthodes qui exploitent des vecteurs d’attaque qu’une simple vulnérabilités, idéalement par ordre de sévérité (haute, analyse de vulnérabilité ne « couvre » pas nécessairement, moyenne, basse). Pour chacune des vulnérabilités, des contrairement à un test de pénétration. informations telles qu’une description de la vulnérabilité, la Les pirates, eux, font de vrais tests. Les entreprises, façon dont cette dernière peut être exploitée par un atta- elles, en font-elles ? quant, le type de connaissances requises pour l’exploiter, des Voici une analogie intéressante. Quelle méthode est la solutions pour chacune des vulnérabilités découvertes et les plus efficace pour détecter une bombe cachée dans une systèmes affectés devraient être fournies. valise à l’aéroport ? Celle de tapoter la valise légèrement Suite en page 14 sans l’ouvrir en demandant à son transporteur s’il y a une bombe à l’intérieur ou celle d’ouvrir la valise, de la passer aux rayons X et de la faire sentir par un chien renifleur ? En fait, veut-on vraiment savoir ce qu’il y a à l’intérieur ? Si la réponse est non, boum ! Si la réponse est oui, on prend les moyens qui s’imposent pour le savoir. Toutefois, qu’advient-il si la machine à rayons X n’affiche qu’une partie de l’image ou qu’elle ne pro- duit aucune alerte si elle détecte quelque chose ? Ou qu’arrive- t-il si le chien renifleur ne s’assoit pas à côté de la valise ou s’il ne jappe pas lorsqu’il sent les explosifs ? Et si le person- nel ne reçoit aucune consigne sur la façon de gérer la situa- tion ? Évidemment, le parallèle avec les tests et les rapports déficients est simple à faire. Non ? Malheureusement, les rapports d’analyses de vulnéra- bilité ne sont que trop souvent des copier-coller presque inté- graux et sans valeur ajoutée du résultat provenant d’un outil accessible à tous (parfois gratuit). Pire encore, certaines firmes Automne 2012 SÉCUS | 13 |
  • 3. Abonnez-vous à notre magazine ! (www.secus.ca) Suite de la page 13 Puis, un rapport devrait présenter des recommanda- doit comprendre l’importance de prendre le temps d’y réfléchir tions spécifiques basées sur les résultats réels du présent sérieusement. Si quelqu’un magasine une fourgonnette pour test et non des conseils génériques (par exemple, « suivez transporter sa famille, le prix du véhicule sera-t-il son unique les bonnes pratiques et appliquez les rustines ») qui pour- critère ou considérera-t-il également les options de sécurité ? raient s’appliquer à n’importe quel environnement du même type. Non pas que ces avis ne devraient pas s’y retrouver, CONSEILS mais ils devraient être contextualisés et non génériques. Magasinez vos tests et utilisez les éléments men- Dans un test de pénétration, la transparence est de tionnés plus tôt afin de vous faire une grille d’évaluation. mise, donc aucune « magie-noire-ésotérique-vaudou » ne N’hésitez surtout pas à rajouter des critères qui vous sem- devrait venir mystifier le test, bien au contraire. L’organisation blent importants. Cela vous aidera à comparer les différentes est en droit de savoir tout ce qui se passe. L’heure de début options disponibles dans les offres que vous recevrez. De et de fin de l’une des phases du test, l’adresse IP source du cette façon, vous serez en mesure de comparer des pommes testeur, le système exploité, le moment approximatif de avec des pommes. « Beaucoup trop d’médiocres et sans l’événement, les techniques et outils utilisés, etc. Il s’agit de l’environnement de l’entreprise. Ses respon- entreprises se sables doivent être à l’aise avec le processus. L’utilisation contentent de rapports d’une méthodologie reconnue est également très importante dans le but de s’assurer que les tests sont structurés et tou- valeur réelle. Un test de pénétration de jours effectués de la même façon. De cette manière, les résul- qualité moyenne avec un bon rapport est beaucoup mieux qu’un super test de » tats devraient être les mêmes, peu importe qui fait le test. Plusieurs méthodes existent à cet effet telles que l’Open Source pénétration avec un rapport médiocre. Security Testing Methodology Manual 2, le Penetration Testing Execution Standard3, le Technical Guide to Information L’objectif d’un test de pénétration est donc de déter- Security Testing and Assessment du National Institute of miner les risques d’affaires et non de démontrer comment le Standards and Technology4. L’organisation est également en pentesteur est un « super-l337-kung-fu-ninja » et que rien ne droit de demander à ce que la liste des outils utilisés pour lui résiste. N’oubliez pas que le résultat, et ce pour quoi vous faire les tests apparaisse dans le rapport, et ce, tant sur le payez, c’est le rapport. C’est lui qui vous aidera vraiment à plan des outils commerciaux que des logiciels libres (open déterminer les risques, les vulnérabilités, les actions et les source). budgets auxquels vous devez accorder la priorité. Bon test de pénétration ! LE COÛT D’UN TEST DE PÉNÉTRATION Le coût d’un test de pénétration peut varier de façon 1. « Très mauvais test de pénétration », importante. Trop souvent, la décision de l’entreprise n’est http://pen-testing.sans.org/blog/2012/02/09/maximizing-value-in- basée que sur le prix du test de pénétration. C’est donc le pen-testing?reply-to-comment=101. 2. www.isecom.org/research/osstmm.html (en anglais). moins cher qui l’emporte ! Cependant, comme il s’agit de la 3. www.pentest-standard.org/ (en anglais). sécurité de son environnement technologique, de ses don- 4. csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf nées, de sa réputation, et de bien plus encore, l’organisation (en anglais). Automne 2012 SÉCUS | 14 |