Trop souvent, lors de mes missions dans différentes parties du monde, je fais face à des idées fondamentalement erronées sur l’objectif d’un test de pénétration. Et malheureusement, ces incompréhensions peuvent mener à des catastrophes en termes de création de valeur. Dans cet article, j’explore certains des comportements courants que j’ai pu constater vis à vis des pentests. Ils conduisent le plus souvent à une absence de retour sur investissement, faute d’être correctement utilisés. Et, hélas, ils aboutissent systématiquement à une augmentation des risques business due à un faux sentiment de sécurité.
Si vous êtes un lecteur régulier de ce blog, vous savez que j’aborde régulièrement des sujets relatifs à la cybersécurité. Mes articles s’appuient souvent sur des référentiels, des normes ou des réglementations. Aujourd’hui, je vous propose un sujet un peu différent. On entend de plus en plus parler de tests de pénétration (ou pentests) des systèmes d’information. On parle également souvent de tests d’intrusion. Mais à quoi cela sert-il vraiment? Est-ce vraiment utile? Et si vous réalisez ce type de test, cela vous garantit-il que votre système informatique est vraiment sécurisé? Je vais essayer de répondre à toutes ces questions et vous démontrer l’utilité de ces tests de sécurité. Je vais aussi vous démontrer qu’ils ne constituent qu’un des éléments de la chaîne, parmi beaucoup d’autres. En d’autres termes, je vais vous expliquer pourquoi les tests de pénétration sont indispensables mais totalement insuffisants.
En quoi consiste la chaîne cyber-criminelle (« Cyber Kill Chain »)?
Il est important de connaître les étapes qu’un cybercriminel va suivre pour attaquer votre entreprise / service. Le terme «chaîne cyber-criminelle» a été adopté pour exprimer l’ensemble de ces étapes.
Pour mieux comprendre l’intérêt des tests de pénétration, il faut d’abord comprendre ce qu’on appelle la chaîne cyber-criminelle (« Cyber Kill « Chain’). En fait il s’agit de comprendre comment se déroule une cyber-attaque de façon générale.
A l’origine, c’est l’armée qui utilisait le terme de « chaîne de destruction ». Cette « chaîne » définit les étapes que l’ennemi utilise pour attaquer une cible. En 2011, Lockheed Martin a publié un document définissant une «chaîne cyber-criminelle». Ce document, similaire à celui de l’armée, définit les étapes suivies par les hackers dans les cyber-attaques d’aujourd’hui. Et c’est en comprenant chacune de ces étapes que les défenseurs peuvent mieux identifier et bloquer les attaques.
La chaîne cyber-criminelle, telle que décrite dans le document de Lockheed Martin se compose de 7 étapes.
Une variante, définie par Varonis, rajoute une étape supplémentaire : l’exfiltration. C’est une étape qui apparaît nécessaire. En effet, un pirate ne commet jamais une attaque sans avoir une stratégie de sortie.
Voici la description détaillée de chacune des étapes d’une chaîne cyber-criminelle (le chemin suivi pour attaquer une cible) :
1. Reconnaissance
Tout « casse » réussi commence toujours par une mission de repérage des lieux. Le même principe s’applique dans le cas d’une cyber-attaque. La phase de reconnaissance constitue la phase préliminaire de toute attaque. Il s’agit de la mission de recueil d’informations. Le cybercriminel recherche alors les indications susceptibles de révéler les vulnérabilités et les points faibles de votre système. Les pare-feu, les dispositifs de prévention des intrusions, les périmètres de sécurité (et même les comptes de médias sociaux) font l’objet de reconnaissance et d’examen minutieux. Les outils de repérage analysent les réseaux des entreprises pour y trouver des points d’entrée et des vulnérabilités à exploiter.
2. Intrusion
Après avoir obtenu ces renseignements, il est temps de s’infiltrer dans le système. Le cybercriminels est maintenant juste derrière la porte. Il est prêt à agir. Il doit encore, cependant, piéger les lieux pour faciliter son attaque. L’intrusion constitue le moment où l’attaque devient active. Les logiciels malveillants (y compris les ransomware, spyware et adware) peuvent être envoyés vers le système pour en forcer l’entrée. C’est la phase de livraison. Elle peut s’effectuer par e-mail de phishing ou prendre la forme d’un site Web compromis. Elle peut aussi venir du sympathique café au coin de la rue avec sa liaison WiFi non sécurisée, facile à utiliser par les pirates. L’intrusion constitue le point d’entrée d’une attaque. C’est le moment où les agresseurs pénètrent dans la place.
3. Exploitation
Le hacker se trouve de l’autre côté de la porte et le périmètre est désormais violé. La phase d’exploitation d’une attaque exploite les failles du système. Les cybercriminels peuvent désormais entrer dans le système, installer des outils supplémentaires, modifier les certificats de sécurité et créer de nouveaux scripts à des fins nuisibles.
4. Escalade de privilèges
Quel intérêt y aurait-t-il à entrer dans un bâtiment si vous restez coincé à la réception? Vous devez absolument pénétrer le coeur du bâtiment pour y trouver les secrets les plus intéressants. C’est ce que font les cybercriminels en utilisant l’escalade de privilèges. Ils vont ainsi pouvoir obtenir des autorisations élevées d’accès aux ressources. Ils modifient les paramètres de sécurité des GPO, les fichiers de configuration, les permissions et essaient ensuite d’extraire des informations d’identification.
5. Mouvement latéral
Vous avez maintenant carte blanche. Il vous reste cependant à trouver la chambre forte où sont protégées les informations les plus précieuses. Les cybercriminels se déplacent de système en système, de manière latérale, afin d’obtenir d’autres accès et de trouver toujours plus de ressources. C’est également une mission avancée d’exploration des données. Au cours de cette mission, les cybercriminels recherchent des données critiques et des informations sensibles, des accès administrateur et des serveurs de messagerie. Ils utilisent souvent les mêmes ressources que le service informatique de l’entreprise. Ils tirent également parti d’outils intégrés tels que PowerShell et se positionnent de manière à causer le plus de dégâts possible.
6. Camouflage
C’est bon, vous êtes arrivés au bon endroit. Encore faut-il vous assurer que vous n’allez pas vous faire repérer. Mettez les caméras de sécurité en boucle et montrez un ascenseur vide. Ainsi, personne ne verra ce qui se déroule en coulisses. Les hackers font exactement la même chose. Ils masquent leur présence et leur activité pour éviter toute détection et déjouer les investigations. Cela peut prendre la forme de fichiers et de métadonnées effacés, de données écrasées au moyen de fausses valeurs d’horodatage (timestamps) et d’informations trompeuses. Ou encore cela peut se faire sous forme d’informations critiques modifiées pour que les données semblent ne pas avoir été touchées.
7. Déni de service
Bloquez les lignes téléphoniques et coupez le courant. C’est la phase au cours de laquelle les cybercriminels ciblent le réseau et l’infrastructure de données. Leur objectif est d’empêcher que les utilisateurs légitimes puissent accéder à ce dont ils ont besoin. L’attaque par déni de service (DoS) perturbe et interrompt les accès. Elle peut entraîner la panne des systèmes et saturer les services.
8. Exfiltration
Vous devez toujours prévoir une stratégie de sortie. Vous avez obtenu ce que vous étiez venu chercher. Il serait idiot de rester là à attendre d’être découvert et arrêté par la police. Vous devez maintenant sortir votre butin pour pouvoir en tirer profit. Les cybercriminels obtiennent les données. Ils copient, transfèrent ou déplacent les données sensibles vers un emplacement sous leur contrôle. Ils pourront ensuite en faire ce qu’ils veulent : les rendre contre une rançon, les vendre sur internet ou sur le Dark Web par exemple. Sortir toutes les données peut prendre des jours entiers. Mais une fois qu’elles se trouvent à l’extérieur, elles sont sous le contrôle des cybercriminels.
N’oubliez pas que les attaquants disposent d’un temps considérable (potentiellement illimité). Ils disposent également d’une étendue totalement libre au niveau des vecteurs d’attaque. Rien n’est interdit! Ils ne se limiteront pas toujours à une seule méthode et les voies d’attaque couvriront tous les chemins possibles entre vos données et la position de l’attaquant (y compris les serveurs / services et les points finaux n’appartenant pas à votre entreprise). Les attaques peuvent être continues et ne se dérouleront probablement pas durant les heures de travail de votre organisation.
Qu’en est-il des tests de pénétration?
Examinez maintenant les phases d’un test de pénétration. Celles-ci (bien qu’elles puissent sembler quelque peu similaires) sont souvent très différentes :
1. Sélection du prestataire
Les entreprises choisissent un fournisseur sur le marché. Ils se concentrent le plus souvent sur la liste de ses badges de certification et les coûts plutôt que sur la méthode de test utilisée.
2. Définition du périmètre du test
Une réunion de cadrage est organisée au cours de laquelle le client et le fournisseur discutent des exigences. Sur la base de cette réunion, le fournisseur élabore une proposition. Un périmètre spécifique sera sélectionné, qui inclura et exclura des scénarios et des types de tests. Il pourra s’agir de tests de type black box, grey box ou white box, à l’aveugle, internes ou externes, …
3. Planification
Une fois les contrats conclus, le test sera planifié, les prérequis activés et les délais convenus.
4. Réalisation du test
Les tests seront effectués (souvent sur quelques jours) en fonction de la méthode de test du fournisseur. Il peut s’agir d’un balayage automatisé utilisant un produit tel que Nessus . Idéalement, ce sera une combinaison de tests automatisés et manuels couvrant l’ensemble du spectre du service testé. Cependant il s’agit le plus souvent d’un ensemble limité de tests
5. Fourniture d’un rapport
Une fois le test d’intrusion terminé, l’étape finale consiste à collecter les preuves des vulnérabilités exploitées et à les signaler à la direction. C’est elle qui les examine et prendra les mesures qui s’imposent. C’est maintenant à la haute direction de décider de la manière dont ce risque doit être traité. Ils choisiront d’accepter le risque, de le transférer, de le réduire ou de l’ignorer (option la moins probable). Un rapport formel sera fourni au client. Celui-ci se présente le plus souvent sous la forme d’un agencement de style feux de signalisation décrivant les risques critiques, élevés, moyens, faibles ou négligeables. Le rapport inclut souvent également des recommandations de mesures correctives afin de réduire les risques identifiés.
6. Suivi
Après la soumission du rapport de test d’intrusion, le client doit l’examiner avec les parties prenantes concernées. Il doit ensuite ajuster les contrôles de sécurité en conséquence. Cela nécessitera probablement un effort de collaboration entre plusieurs fonctions, services, équipes et moyens. Ce suivi sera normalement réalisé sous la direction du CISO. L’objectif clé ici devrait être de permettre aux équipes de réduire le risque d’un service spécifique. Cependant il ne faut pas en rester là. Il convient également de jouer sur l’amélioration continue du processus de développement du cycle de vie logiciel/service afin d’améliorer la posture de sécurité et la robustesse tout au long du cycle de vie.
Les problèmes en amont des tests de pénétration
Les six phases de test de pénétration que j’ai décrites ci-dessus peuvent sembler relativement simples. Hélas les choses peuvent mal se passer. Et c’est malheureusement souvent ce qui se produit. Les quatre scénarios suivants sont des scénarios que je vois malheureusement maintes et maintes fois. Et, même avant le début des tests, ils contribuent à détruire tout le bénéfice de l’opération. Cette liste n’est pas exhaustive, alors n’hésitez pas à commenter ci-dessous (je suis sûr que vous avez d’autres exemples concrets).
- Les tests de pénétration ne sont effectués que sur un périmètre très réduit. Par exemple un test de type boîte noire est réalisé à partir d’une adresse IP spécifique par rapport à une cible spécifique, d’une manière limitée.
- La sélection du prestataire du test d’intrusion est effectuée sur la seule base du coût.
- La portée des tests ne représente pas un nombre suffisant de vecteurs d’attaque par rapport à ce que les cybercriminels utiliseront dans le monde réel.
- Les tests sont limités aux environnements de «test» uniquement, car l’entreprise craint que le business ou un service ne soit affecté si un test produisait un résultat «destructeur» sur les systèmes en production.
Les problèmes en aval du test d’intrusion
En plus de ce qui précède:
- Les résultats des tests de pénétration restent extrêmement secrets. Bien sûr, ils sont sensibles, mais les méchants vous sondent déjà. Et ils connaissent probablement déjà les faiblesses de votre système.
- Souvent, les résultats ne sont pas utilisés pour aider les équipes concernées (équipe bleue, opérations informatiques, développeurs, centre de services et architectes) à apprendre non seulement à atténuer les attaques spécifiques, mais également à améliorer leurs pratiques pour réduire le nombre de vulnérabilités créées.
Alors, que faut-il faire?
Vous liez ceci et vous pensez que rien de tout cela ne se peut se produire dans votre organisation? Alors j’en suis vraiment très heureux pour vous. Mais hélas, j’ai beaucoup de mal à vous croire. Cependant, je soupçonne que beaucoup d’entre vous, tout comme moi, hocherez la tête et grinceront un peu des dents en vous rappelant la valeur limitée des activités réalisées lors du dernier test d’intrusion.
Lors de la conception et de l’exploitation des services, il est essentiel que les activités de test et d’assurance de la sécurité se déroulent selon un cycle continu qui améliore à la fois la sécurité et la création de valeur. Les rapports sur les étagères, ou des listes des case de conformité à cocher ou encore des tests menés à un moment précis, n’apportent que peu de valeur ajoutée. Cela ne contribue pas efficacement à la réduction des risques pour l’entreprise.
La détection et la correction des vulnérabilités de sécurité sont beaucoup moins stressantes et coûteuses si elles sont traitées dès les premières étapes du cycle de vie. De plus la connaissance des outils et des méthodes à déployer avant de réaliser une revue de sécurité vous évitera de nombreuses nuits blanches si vous commencez très tôt et faites des évaluations en continu.
Conclusion
Les tests de pénétration ont définitivement un rôle à jouer pour sécuriser et garantir les services. Cependant, n’oubliez pas qu’il ne s’agit que d’un composant de la solution et non de la solution complète. Les autres activités importantes à réaliser comprennent notamment :
- Conception sécurisée,
- Gestion des actifs,
- Modélisation des menaces,
- Évaluation des risques,
- Revues de code,
- Audits et examens des services,
- Évaluation des vulnérabilités,
- Analyse de code (statique et dynamique),
- Renforcement de la sécurité,
- Gestion des correctifs de sécurité,
- Exploitation sécurisée,
- Simulation d’attaques,
- et bien d’autres encore…
Espérons que cet article vous amène à réfléchir à l’objectif des tests de pénétration. Cela devrait être l’amélioration de l’apprentissage et de la posture de la sécurité. Les tests de pénétration se doivent de jouer un rôle général dans la planification, la conception, la construction et l’exploitation de services sécurisés. Ainsi, non seulement vous réduirez les risques pour l’entreprise mais aussi vous offrirez de la valeur à votre client!
N’hésitez pas à commenter cet article pour échanger vos expériences. C’est sur la base d’une discussion avec et entre nos lecteurs que nous pouvons mieux répondre à vos attentes. Alors, n’attendez pas. Ne soyez pas timide et osez poster un commentaire.