{"id":7899,"date":"2019-02-07T10:00:55","date_gmt":"2019-02-07T09:00:55","guid":{"rendered":"http:\/\/www.ab-consulting.fr\/blog?p=7899"},"modified":"2019-02-12T12:00:41","modified_gmt":"2019-02-12T11:00:41","slug":"pentests-indispensables-mais-pas-suffisants","status":"publish","type":"post","link":"http:\/\/www.ab-consulting.fr\/blog\/securite\/pentests-indispensables-mais-pas-suffisants","title":{"rendered":"Tests de p\u00e9n\u00e9tration : n\u00e9cessaires mais pas suffisants"},"content":{"rendered":"

Trop souvent, lors de mes missions dans diff\u00e9rentes parties du monde, je fais face \u00e0 des id\u00e9es fondamentalement erron\u00e9es sur l’objectif d\u2019un test de p\u00e9n\u00e9tration. Et malheureusement, ces incompr\u00e9hensions peuvent mener \u00e0 des catastrophes en termes de \u00a0cr\u00e9ation de valeur. Dans cet article, j\u2019explore certains des comportements courants que j\u2019ai pu constater vis \u00e0 vis des pentests. Ils conduisent le plus souvent \u00e0 une absence de retour sur investissement, faute d’\u00eatre correctement utilis\u00e9s. Et, h\u00e9las, ils aboutissent syst\u00e9matiquement \u00e0 une augmentation des risques business\u00a0due\u00a0\u00e0 un faux sentiment de s\u00e9curit\u00e9.<\/i><\/p>\n

\"Cybers\u00e9curit\u00e9
Cr\u00e9dit : \u00a9 rawpixel.com 2018<\/figcaption><\/figure>\n

Si vous \u00eates un lecteur r\u00e9gulier de ce blog, vous savez que j’aborde r\u00e9guli\u00e8rement des sujets relatifs \u00e0 la cybers\u00e9curit\u00e9. Mes articles s’appuient souvent sur des r\u00e9f\u00e9rentiels, des normes ou des r\u00e9glementations. Aujourd’hui, je vous propose un sujet un peu diff\u00e9rent. On entend de plus en plus parler de tests de p\u00e9n\u00e9tration (ou pentests) des syst\u00e8mes d’information. On parle \u00e9galement souvent de tests d’intrusion. Mais \u00e0 quoi cela sert-il vraiment? Est-ce vraiment utile? Et si vous r\u00e9alisez ce type de test, cela vous garantit-il que votre syst\u00e8me informatique est vraiment s\u00e9curis\u00e9? Je vais essayer de r\u00e9pondre \u00e0 toutes ces questions et vous d\u00e9montrer l’utilit\u00e9 de ces tests de s\u00e9curit\u00e9. Je vais aussi vous d\u00e9montrer qu’ils ne constituent qu’un des \u00e9l\u00e9ments de la cha\u00eene, parmi beaucoup d’autres. En d’autres termes, je vais vous expliquer pourquoi les tests de p\u00e9n\u00e9tration sont indispensables mais totalement insuffisants.<\/p>\n

En quoi consiste la cha\u00eene cyber-criminelle (\u00ab\u00a0Cyber Kill Chain\u00a0\u00bb)?<\/h2>\n

Il est important de conna\u00eetre les \u00e9tapes qu\u2019un cybercriminel va suivre pour attaquer votre entreprise \/ service. Le terme \u00abcha\u00eene cyber-criminelle\u00bb a \u00e9t\u00e9 adopt\u00e9 pour exprimer l’ensemble de ces \u00e9tapes.<\/p>\n

Pour mieux comprendre l’int\u00e9r\u00eat des tests de p\u00e9n\u00e9tration, il faut d’abord comprendre ce qu’on appelle la cha\u00eene cyber-criminelle (\u00ab\u00a0Cyber Kill \u00ab\u00a0Chain’). En fait il s’agit de comprendre comment se d\u00e9roule une cyber-attaque de fa\u00e7on g\u00e9n\u00e9rale.<\/p>\n

A l’origine, c’est l’arm\u00e9e qui utilisait le terme de \u00ab cha\u00eene de destruction \u00bb. Cette \u00ab\u00a0cha\u00eene\u00a0\u00bb d\u00e9finit les \u00e9tapes que l’ennemi utilise pour attaquer une cible. En 2011, Lockheed Martin<\/a> a publi\u00e9 un document d\u00e9finissant une \u00abcha\u00eene cyber-criminelle\u00bb<\/strong><\/em>. Ce document, similaire \u00e0 celui de l\u2019arm\u00e9e, d\u00e9finit les \u00e9tapes suivies par les hackers dans les cyber-attaques d\u2019aujourd\u2019hui. Et c’est en comprenant chacune de ces \u00e9tapes que les d\u00e9fenseurs peuvent mieux identifier et bloquer les attaques.<\/p>\n

\"Cha\u00eene
\u00a9 Lockheed Martin 2011<\/figcaption><\/figure>\n

La cha\u00eene cyber-criminelle, telle que d\u00e9crite dans le document de Lockheed Martin se compose de 7 \u00e9tapes.<\/p>\n

Une variante, d\u00e9finie par Varonis<\/a>, rajoute une \u00e9tape suppl\u00e9mentaire : l’exfiltration. C’est une \u00e9tape qui appara\u00eet n\u00e9cessaire. En effet, un pirate ne commet jamais une attaque sans avoir une strat\u00e9gie de sortie.<\/p>\n

\"Cha\u00eene
\u00a9 Varonis 2016<\/figcaption><\/figure>\n

Voici la description d\u00e9taill\u00e9e de chacune des \u00e9tapes d’une cha\u00eene cyber-criminelle (le chemin suivi pour attaquer une cible) :<\/p>\n

1. Reconnaissance<\/h3>\n

Tout \u00ab casse \u00bb r\u00e9ussi commence toujours par une mission de rep\u00e9rage des lieux. Le m\u00eame principe s\u2019applique dans le cas d’une cyber-attaque. La phase de reconnaissance constitue la phase pr\u00e9liminaire de toute attaque. Il s’agit de la mission de recueil d\u2019informations. Le cybercriminel recherche alors les indications susceptibles de r\u00e9v\u00e9ler les vuln\u00e9rabilit\u00e9s et les points faibles de votre syst\u00e8me. Les pare-feu, les dispositifs de pr\u00e9vention des intrusions, les p\u00e9rim\u00e8tres de s\u00e9curit\u00e9 (et m\u00eame les comptes de m\u00e9dias sociaux) font l\u2019objet de reconnaissance et d\u2019examen minutieux. Les outils de rep\u00e9rage analysent les r\u00e9seaux des entreprises pour y trouver des points d\u2019entr\u00e9e et des vuln\u00e9rabilit\u00e9s \u00e0 exploiter.<\/p>\n

2. Intrusion<\/h3>\n

Apr\u00e8s avoir obtenu ces renseignements, il est temps de s\u2019infiltrer dans le syst\u00e8me. Le cybercriminels est maintenant juste derri\u00e8re la porte. Il est pr\u00eat \u00e0 agir. Il doit encore, cependant, pi\u00e9ger les lieux pour faciliter son attaque. L\u2019intrusion constitue le moment o\u00f9 l\u2019attaque devient active. Les logiciels malveillants (y compris les ransomware, spyware et adware) peuvent \u00eatre envoy\u00e9s vers le syst\u00e8me pour en forcer l\u2019entr\u00e9e. C\u2019est la phase de livraison. Elle peut s\u2019effectuer par e-mail de phishing ou prendre la forme d\u2019un site Web compromis. Elle peut aussi venir du sympathique caf\u00e9 au coin de la rue avec sa liaison WiFi non s\u00e9curis\u00e9e, facile \u00e0 utiliser par les pirates. L\u2019intrusion constitue le point d\u2019entr\u00e9e d\u2019une attaque. C’est le moment o\u00f9 les agresseurs p\u00e9n\u00e8trent dans la place.<\/p>\n

3. Exploitation<\/h3>\n

Le hacker se trouve de l\u2019autre c\u00f4t\u00e9 de la porte et le p\u00e9rim\u00e8tre est d\u00e9sormais viol\u00e9. La phase d\u2019exploitation d\u2019une attaque exploite les failles du syst\u00e8me. Les cybercriminels peuvent d\u00e9sormais entrer dans le syst\u00e8me, installer des outils suppl\u00e9mentaires, modifier les certificats de s\u00e9curit\u00e9 et cr\u00e9er de nouveaux scripts \u00e0 des fins nuisibles.<\/p>\n

4. Escalade de privil\u00e8ges<\/h3>\n

Quel int\u00e9r\u00eat y aurait-t-il \u00e0 entrer dans un b\u00e2timent si vous restez coinc\u00e9 \u00e0 la r\u00e9ception? Vous devez absolument p\u00e9n\u00e9trer le coeur du b\u00e2timent pour y trouver les secrets les plus int\u00e9ressants. C’est ce que font les cybercriminels en utilisant l\u2019escalade de privil\u00e8ges. Ils vont ainsi pouvoir obtenir des autorisations \u00e9lev\u00e9es d\u2019acc\u00e8s aux ressources. Ils modifient les param\u00e8tres de s\u00e9curit\u00e9 des GPO, les fichiers de configuration, les permissions et essaient ensuite d\u2019extraire des informations d\u2019identification.<\/p>\n

5. Mouvement lat\u00e9ral<\/h3>\n

Vous avez maintenant carte blanche. Il vous reste cependant \u00e0 trouver la chambre forte o\u00f9 sont prot\u00e9g\u00e9es les informations les plus pr\u00e9cieuses. Les cybercriminels se d\u00e9placent de syst\u00e8me en syst\u00e8me, de mani\u00e8re lat\u00e9rale, afin d\u2019obtenir d\u2019autres acc\u00e8s et de trouver toujours plus de ressources. C\u2019est \u00e9galement une mission avanc\u00e9e d\u2019exploration des donn\u00e9es. Au cours de cette mission, les cybercriminels recherchent des donn\u00e9es critiques et des informations sensibles, des acc\u00e8s administrateur et des serveurs de messagerie. Ils utilisent souvent les m\u00eames ressources que le service informatique de l’entreprise. Ils tirent \u00e9galement parti d\u2019outils int\u00e9gr\u00e9s tels que PowerShell et se positionnent de mani\u00e8re \u00e0 causer le plus de d\u00e9g\u00e2ts possible.<\/p>\n

6. Camouflage<\/h3>\n

C’est bon, vous \u00eates arriv\u00e9s au bon endroit. Encore faut-il vous assurer que vous n’allez pas vous faire rep\u00e9rer.\u00a0Mettez les cam\u00e9ras de s\u00e9curit\u00e9 en boucle et montrez un ascenseur vide. Ainsi, personne ne verra ce qui se d\u00e9roule en coulisses. Les hackers font exactement la m\u00eame chose. Ils masquent leur pr\u00e9sence et leur activit\u00e9 pour \u00e9viter toute d\u00e9tection et d\u00e9jouer les investigations. Cela peut prendre la forme de fichiers et de m\u00e9tadonn\u00e9es effac\u00e9s, de donn\u00e9es \u00e9cras\u00e9es au moyen de fausses valeurs d\u2019horodatage (timestamps) et d\u2019informations trompeuses. Ou encore cela peut se faire sous forme d\u2019informations critiques modifi\u00e9es pour que les donn\u00e9es semblent ne pas avoir \u00e9t\u00e9 touch\u00e9es.<\/p>\n

7. D\u00e9ni de service<\/h3>\n

Bloquez les lignes t\u00e9l\u00e9phoniques et coupez le courant. C\u2019est la phase au cours de laquelle les cybercriminels ciblent le r\u00e9seau et l\u2019infrastructure de donn\u00e9es. Leur objectif est d’emp\u00eacher que les utilisateurs l\u00e9gitimes puissent acc\u00e9der \u00e0 ce dont ils ont besoin. L\u2019attaque par d\u00e9ni de service (DoS) perturbe et interrompt les acc\u00e8s. Elle peut entra\u00eener la panne des syst\u00e8mes et saturer les services.<\/p>\n

\u00a08. Exfiltration<\/h3>\n

Vous devez toujours pr\u00e9voir une strat\u00e9gie de sortie. Vous avez obtenu ce que vous \u00e9tiez venu chercher. Il serait idiot de rester l\u00e0 \u00e0 attendre d’\u00eatre d\u00e9couvert et arr\u00eat\u00e9 par la police. Vous devez maintenant sortir votre butin pour pouvoir en tirer profit. Les cybercriminels obtiennent les donn\u00e9es. Ils copient, transf\u00e8rent ou d\u00e9placent les donn\u00e9es sensibles vers un emplacement sous leur contr\u00f4le. Ils pourront ensuite en faire ce qu\u2019ils veulent : les rendre contre une ran\u00e7on, les vendre sur internet ou sur le Dark Web par exemple. Sortir toutes les donn\u00e9es peut prendre des jours entiers. Mais une fois qu\u2019elles se trouvent \u00e0 l\u2019ext\u00e9rieur, elles sont sous le contr\u00f4le des cybercriminels.<\/p>\n

N’oubliez pas que les attaquants disposent d’un temps consid\u00e9rable (potentiellement illimit\u00e9). Ils disposent \u00e9galement d’une \u00e9tendue totalement libre au niveau des vecteurs d’attaque. Rien n’est interdit! Ils ne se limiteront pas toujours \u00e0 une seule m\u00e9thode et les voies d\u2019attaque couvriront tous les chemins possibles entre vos donn\u00e9es et la position de l\u2019attaquant (y compris les serveurs \/ services et les points finaux n’appartenant pas \u00e0 votre entreprise). Les attaques peuvent \u00eatre continues et ne se d\u00e9rouleront probablement pas durant les heures de travail de votre organisation.<\/p>\n

Qu’en est-il des tests de p\u00e9n\u00e9tration?<\/h2>\n

Examinez maintenant les phases d\u2019un test de p\u00e9n\u00e9tration. Celles-ci (bien qu\u2019elles puissent sembler quelque peu similaires) sont souvent tr\u00e8s diff\u00e9rentes :<\/p>\n

1. S\u00e9lection du prestataire<\/h3>\n

Les entreprises choisissent un fournisseur sur le march\u00e9. Ils se concentrent le plus souvent sur la liste de ses badges de certification et les co\u00fbts plut\u00f4t que sur la m\u00e9thode de test utilis\u00e9e.<\/p>\n

2. D\u00e9finition du p\u00e9rim\u00e8tre du test<\/h3>\n

Une r\u00e9union de cadrage est organis\u00e9e au cours de laquelle le client et le fournisseur discutent des exigences. Sur la base de cette r\u00e9union, le fournisseur \u00e9labore une proposition. Un p\u00e9rim\u00e8tre sp\u00e9cifique sera s\u00e9lectionn\u00e9, qui inclura et exclura des sc\u00e9narios et des types de tests. Il pourra s’agir de tests de type black box, grey box ou white box, \u00e0 l’aveugle, internes ou externes, …<\/p>\n

3. Planification<\/h3>\n

Une fois les contrats conclus, le test sera planifi\u00e9, les pr\u00e9requis activ\u00e9s et les d\u00e9lais convenus.<\/p>\n

4. R\u00e9alisation du test<\/h3>\n

Les tests seront effectu\u00e9s (souvent sur quelques jours) en fonction de la m\u00e9thode de test du fournisseur. Il peut s\u2019agir d\u2019un balayage automatis\u00e9 utilisant un produit tel que Nessus<\/a> . Id\u00e9alement, ce sera une combinaison de tests automatis\u00e9s et manuels couvrant l\u2019ensemble du spectre du service test\u00e9. Cependant il s\u2019agit le plus souvent d\u2019un ensemble limit\u00e9 de tests<\/p>\n

5. Fourniture d’un rapport<\/h3>\n

Une fois le test d’intrusion termin\u00e9, l’\u00e9tape finale consiste \u00e0 collecter les preuves des vuln\u00e9rabilit\u00e9s exploit\u00e9es et \u00e0 les signaler \u00e0 la direction. C’est elle qui les examine et prendra les mesures qui s’imposent. C\u2019est maintenant \u00e0 la haute direction de d\u00e9cider de la mani\u00e8re dont ce risque doit \u00eatre trait\u00e9. Ils choisiront d’accepter le risque, de le transf\u00e9rer, de le r\u00e9duire ou de l’ignorer (option la moins probable). Un rapport formel sera fourni au client. Celui-ci se pr\u00e9sente le plus souvent sous la forme d’un agencement de style feux de signalisation d\u00e9crivant les risques critiques, \u00e9lev\u00e9s, moyens, faibles ou n\u00e9gligeables. Le rapport inclut souvent \u00e9galement des recommandations de mesures correctives afin de r\u00e9duire les risques identifi\u00e9s.<\/p>\n

6. Suivi<\/h3>\n

Apr\u00e8s la soumission du rapport de test d’intrusion, le client doit l’examiner avec les parties prenantes concern\u00e9es. Il doit ensuite ajuster les contr\u00f4les de s\u00e9curit\u00e9 en cons\u00e9quence. Cela n\u00e9cessitera probablement un effort de collaboration entre plusieurs fonctions, services, \u00e9quipes et moyens. Ce suivi sera normalement r\u00e9alis\u00e9 sous la direction du CISO<\/a>. L’objectif cl\u00e9 ici devrait \u00eatre de permettre aux \u00e9quipes de r\u00e9duire le risque d’un service sp\u00e9cifique. Cependant il ne faut pas en rester l\u00e0. Il convient \u00e9galement de jouer sur l’am\u00e9lioration continue du processus de d\u00e9veloppement du cycle de vie logiciel\/service afin d’am\u00e9liorer la posture de s\u00e9curit\u00e9 et la robustesse tout au long du cycle de vie.<\/p>\n

Les probl\u00e8mes en amont des tests de p\u00e9n\u00e9tration<\/h2>\n

Les six phases de test de p\u00e9n\u00e9tration que j\u2019ai d\u00e9crites ci-dessus peuvent sembler relativement simples. H\u00e9las les choses peuvent mal se passer. Et c’est malheureusement souvent ce qui se produit. Les quatre sc\u00e9narios suivants sont des sc\u00e9narios que je vois malheureusement maintes et maintes fois. Et, m\u00eame avant le d\u00e9but des tests, ils contribuent \u00e0 d\u00e9truire tout le b\u00e9n\u00e9fice de l’op\u00e9ration. Cette liste n\u2019est pas exhaustive, alors n’h\u00e9sitez pas \u00e0 commenter ci-dessous (je suis s\u00fbr que vous avez d’autres exemples concrets).<\/p>\n