Archive

Archive for the ‘Uncategorized’ Category

Est-ce que tout ce que nous avons appris sur la sécurité est faux?

August 28th, 2013 No comments

Le 19 septembre prochain, j’aurai la chance de donner une conférence en anglais au New York Institute of Technologies (NYIT).

 

 
Toutes les actualités >>

 

19 septembre 2013 Site Internet

Conférence sur la cybersécurité à New York le 19 septembre 2013 

Agrandir l’image

La Délégation générale du Québec à New York a l’honneur de sponsoriser la conférence sur la cybersécurité à la NYIT-New York Institute of Technology le 19 septembre, 2013. Si vous souhaitez y participer, suivez le lien plus bas.

Le conférencier Québécois Michel Cusin traitera la question : Est-ce que tout ce que nous avons appris sur la sécurité est faux?

Résumé : Au cours des dernières années, le paysage de la sécurité de l’information a considérablement changé. Les moyens de défense traditionnels pour protéger les réseaux informatiques ne sont désormais plus suffisants. Peu importe ce que nous faisons, les mécanismes de sécurité sont contournés et les systèmes informatiques se font systématiquement pirater. La question n’est plus de savoir « si » nous serons attaqués, mais « quand? » et « pendant combien de temps? ».

Les attaquants compromettent furtivement les systèmes et maintiennent l’accès à ces derniers afin d’exfiltrer et manipuler d’importantes quantités d’informations. Un changement radical de notre approche est devenu nécessaire puisqu’il est désormais impossible de protéger tous nos actifs informationnels avec succès. Nous devons commencer à mettre d’avantage d’emphase sur la détection plus rapide des attaques et sur comment mieux réagir à ces dernières plutôt que d’uniquement concentrer nos efforts a tenter de protéger nos infrastructures.

Michel Cusin, Consultant en Sécurité

Profil, expérience et qualifications :

Michel est le fondateur de la firme Cusin Sécurité Inc. (CSI) et possède plus d’une quinzaine d’années d’expérience en sécurité de l’information. Ses années d’expérience comme instructeur et consultant en sécurité lui ont permis de développer une solide expertise, notamment au niveau de l’architecture de la sécurité, des analyses de vulnérabilités, des tests d’intrusion, la gestion d’incident, la pénétration dans l’intrusion, ainsi que divers autres champs d’activités liés à la sécurité. Michel a également occupé le rôle d’officier de sécurité au sein d’organisations importantes et a participé à diverses investigations.

Certifications et formation industrielle :

En plus d’être détenteur de plusieurs certifications en sécurité telles que CISSP, GIAC (GCIH, GPEN), CEH, OPST et plusieurs autres relatives à divers fabricants de solutions de sécurité, Michel est mentor et instructeur pour le SANS Institute. Communicateur passionné, il participe fréquemment à divers évènements de sécurité à titre de conférencier. Il maintient un blogue traitant de sujets liés à la sécurité et publie des articles dans différents médias en plus d’être le fondateur de la conférence annuelle en sécurité BSidesQuébec.

Cliquer ici pour plus de détails sur la conférence

Cliquer ici pour vous inscrire maintenant !

Combler les écarts en sécurité de l’information

April 15th, 2013 No comments

Voici le dernier article d’une série de deux, ou j’ai eu l’occasion de collaborer sur deux articles de Jean-François Ferland, rédacteur en chef pour la revue Direction Informatique. Bonne lecture !

– Michel

Sécurité de l’information: L’importance du réveil des organisations.

April 13th, 2013 No comments

J’ai récemment eu l’occasion de collaborer sur deux articles de Jean-François Ferland, rédacteur en chef pour la revue Direction Informatique. Voici donc le premier des deux articles. Bonne lecture!

– Michel

Formation SANS SEC560 en français à Québec – Mai 2013.

January 17th, 2013 No comments

-

SEC560 Network Penetration Testing and Ethical Hacking

-

La formation SANS SEC560 en français est de retour à Québec et aura lieue

les 1-3 & 6-8 mai 2013

-

Description sommaire du cours

Les cybers attaques augmentent au même titre que la demande pour les professionnels de la sécurité de l’information possédants de vraies compétences au niveau des tests d’intrusions réseau et de piratage éthique. Plusieurs cours de piratage éthique prétendent enseigner ces compétences mais peu le font réellement. Le cours « SANS SEC560: Network Penetration Testing and Ethical Hacking » vous prépare vraiment à effectuer avec succès vos projets de tests d’intrusion et de piratage éthique. Ce cours d’une durée de six jours, est réparti comme suis :

560.1 : La planification, la définition de la portée et la reconnaissance ;

560.2 : Les balayages de ports et de vulnérabilités ;

560.3 : L’exploitation des failles sur les systèmes ;

560.4 : Les attaques de mots de passe ;

560.5 : Les applications sans fil et les applications Web ;

560.6 : La capture du drapeau « Capture the Flag » est un exercice pratique et intensif dans lequel vous procéderez à un test d’intrusion contre une organisation fictive, afin de mettre en pratique ce que vous aurez appris durant le cours.

La description complète du cours est disponible en anglais sur le site Web du SANS.

Qui devrait y assister?

* Les professionnels de la sécurité effectuant des tests d’intrusion (Pentesters)
* Les pirates éthiques (Ethical Hackers)
* Les auditeurs ayant besoin d’améliorer leur compétences techniques
* Le personnel de sécurité dont le travail consiste à évaluer les réseaux et les systèmes afin de trouver des failles de sécurité

Le cours « SANS SEC560: Network Penetration Testing and Ethical Hacking » prépare les candiats visant l’obtention de la certification GIAC Certified Penetration Tester (GPEN).

 

                     

 

Instructeur:
Michel Cusin
[email protected]
(418) 431-9932

Dates Ce cours de six jours aura lieu les 1-3 & 6-8 Mai 2013
Emplacement AFI Expertise – Bureau de Québec
Cliquez ici pour vous inscrire directement sur le site Web d’AFI Expertise

Podcast #77 de l’analyse des geeks: Spécial sécurité CQSI 2012

October 31st, 2012 No comments

Lors du dernier Colloque québécois sur la sécurité de l’information (CQSI) qui s’est tenu au manoir Richelieu dans Charlevoix, j’ai eu l’immense plaisir de co animer l’épisode #77 du podcast de l’analyse des geeks avec Benoit Gagnon alias : Ben The Man (@BenDaGeek).  Jason White le responsable du CQSI 2012 ainsi que mes bons chums Mario Audet et Samuel Bonneau de la revue Secus (@secusmag) y ont également participé.

Cusin Sécurité Inc

October 22nd, 2012 2 comments

 

 

 

 

Cusin Sécurité Inc est une firme de consultation indépendante se spécialisant en sécurité de l’information et offrant une gamme de services de sécurité permettant à nos clients de mieux comprendre les risques et menaces auxquels ils sont confrontés afin de mieux y faire face.

  • Analyses de vulnérabilités
  • Tests d’intrusion
  • Gestion d’incidents
  • Investigation numérique et Forensics
  • Architecture de sécurité (conception, analyse, révision)

Contactez-nous pour en savoir plus sur notre offre de services ou pour combler vos besoins en sécurité. Notre approche amicale, professionnelle et actuelle tient compte de la nouvelle réalité du monde d’aujourd’hui et va au-delà des paradigmes de certaines approches traditionnelles.

ADVANCED PERSISTENT THREAT (APT): Quand se protéger ne suffit plus.

October 22nd, 2012 No comments

En juillet dernier, je vous invitais à écrire un article dans le cadre du partenariat entre BSidesQuébec la revue Secus, afin que ce dernier soit publié dans la parution d’automne. Comme nous n’avons reçu aucun article du public, je me suis donc porté volontaire pour écrire le premier qui s’intitule : « ADVANCED PERSISTENT THREAT (APT): Quand se protéger ne suffit plus ».

Cet article traite d’un sujet d’actualité qui est malheureusement trop méconnu. J’espère que vous l’apprécierez et qu’il vous donnera le gout de contribuer au prochain numéro de Secus. Bonne lecture!

– Michel

________________________________________________________________________________

 

Sans être astrophysiciens à la NASA, plusieurs sont en mesure d’affirmer que l’industrie de la sécurité est tombée dans une déchirure spatiotemporelle. Le monde de la sécurité, dans son ensemble, accuse un retard d’au moins une dizaine d’années par rapport à celui des attaquants.

Il y a dix ans, les coupe-feu, les sondes de détection d’intrusion et les antivirus constituaient la majeure partie de l’arsenal de protection et permettaient de contrer la plupart des attaques. Aujourd’hui, ces moyens de défense, dits traditionnels, sont encore nécessaires. Toutefois, ils ne sont plus suffisants pour contrer, à eux seuls, les nouveaux vecteurs d’attaque auxquels on fait face.

En fait, une stratégie de défense qui ne repose que sur des mécanismes classiques de protection est tout simplement déficiente. Il faut changer les paradigmes et voir les choses en face. Malgré tous les mécanismes de protection déployés, presque tout le monde a déjà été piraté, et cela arrivera encore dans le futur, qu’on le veuille ou non. La question n’est pas « est-ce que cela arrivera de nouveau? », mais plutôt « quand cela arrivera-t-il? » et « combien de fois encore? ».

 

“On est en train de perdre la guerre, mais que peut-on faire vis-à-vis de ce constat d’échec?”

 

Advanced Persistent Threat  (APT)

 

L’une des causes du problème est que le monde de la sécurité, dans son ensemble, n’a pas évolué au même rythme que l’industrie du piratage. On est donc nettement désavantagé lorsque vient le temps d’affronter les nouvelles techniques d’attaque. Il faut comprendre qu’elles sont conçues de façon à contourner ou à s’intégrer aux mécanismes traditionnels de défense. Les attaquants sont non seulement en mesure de contourner les mécanismes de défense, mais ils réussissent à garder le contrôle des réseaux de leurs victimes pendant plusieurs mois, voire près de deux ans dans certains cas, avant d’être détectés. C’est ce que l’on appelle l’APT. Un bon exemple d’APT est l’attaque qui a frappé la compagnie RSA en 2011, où les secrets partagés (seeds), qui sont des composantes reliées aux jetons SecurID , avaient été dérobés par des pirates . Les auteurs de ce type d’attaque ne font pas partie de la catégorie des attaquants habituels qui tentent d’en obtenir plus avec le moins d’efforts possible et qui ne se soucient pas de se faire détecter. En fait, ce sont des pros. Ils sont organisés, motivés, tenaces et leur taux de réussite est impressionnant. Leurs attaques sont stratégiques. Ces attaquants compromettent leurs objectifs de façon systématique et s’assurent de maintenir un accès continu de façon à pouvoir voler ou manipuler l’information à leur guise. Ils ne sont pas « bruyants », bien au contraire. Ils maintiennent un profil bas afin de passer inaperçus pendant et après l’attaque tout en maintenant un accès leur permettant de revenir plus tard pour frapper de nouveau.
La firme américaine Mandiant se spécialise notamment dans la réponse aux incidents et publie un rapport annuel qui s’intitule M-Trends. Le rapport de 2012 fait état de cas d’incidents traités au cours de la dernière année et dépeint un portrait très peu rassurant de cette nouvelle réalité que trop peu de gens et d’organisations connaissent. Voici quelques faits saillants du M-Trends (2012):
•    Seulement 6 % des organisations ont découvert les brèches elles-mêmes et 94 % d’entre elles ont été avisées par une source externe.
•    L’APT typique passe inaperçue pendant plus d’un an.
•    Les brèches sont de plus en plus découvertes lors de processus de fusions et d’acquisitions.
•    Les attaques avancées visent plusieurs maillons de la « chaîne ».
•    Les logiciels malveillants (malware) racontent seulement la moitié (54 %) de l’histoire.
•    L’utilisation d’outils publics ajoute de la complexité dans l’identification des acteurs derrière les menaces.
•    Les attaquants diversifient leurs mécanismes de persistance.
•    Les attaquants motivés par des objectifs financiers sont de plus en plus persistants.

Il est important de porter attention à deux de ces points. Le premier concerne les attaques avancées qui visent plusieurs maillons de la chaîne. En fait, les attaquants tentent de passer par un tiers pour atteindre leur cible. À titre d’exemple, des pirates ont réussi à s’introduire dans quatre grands cabinets d’avocats de la rue Bay à Toronto au cours de la dernière année, et ce, à l’aide de cyberattaques très sophistiquées conçues pour détruire des données ou voler des documents sensibles en matière de fusions et d’acquisitions imminentes . Évidemment, les cibles n’étaient pas les cabinets d’avocats, mais bien leurs clients. Le second concerne le fait que les logiciels malveillants ne racontent que la moitié (54 %) de l’histoire. Cela signifie que l’autre moitié des attaques (46 %) n’implique pas de logiciels malveillants. En fait, une fois qu’un système a été compromis par les attaquants à l’aide d’un logiciel malveillant, des noms d’utilisateur et mots de passe valides (credentials) sont volés sur le système. Ces derniers sont ensuite réutilisés par les pirates pour se connecter à d’autres systèmes. Les connexions à ces systèmes qui semblent alors légitimes passent sous le radar et n’attirent pas l’attention.

 

Prévention et défense par rapport à la détection et à la réponse

 

Il faut comprendre que les APT sont réelles et que leurs auteurs disposent de plus de temps et d’argent pour s’introduire dans les infrastructures que l’on a de temps et d’argent pour les sécuriser. Honnêtement, la plupart des organisations allouent la majorité de leur budget et de leurs efforts à la sécurité sur les techniques de prévention et de défense pour malheureusement négliger la détection et la réponse aux incidents. Alors, si l’on considère le fait que l’on se fera pirater peu importe les moyens de prévention et de défense mis en place, on constate évidemment qu’un changement de paradigmes sur le plan des stratégies traditionnelles de défense s’impose. Il faut voir les mesures préventives comme des moyens ayant pour but de ralentir les attaques afin que les mesures de détection aient le temps de les identifier. La notion de détection évoquée ici n’inclut pas uniquement les mécanismes traditionnels tels que les sondes de prévention et de détection des intrusions (IDS et IPS), mais également les trois approches mentionnées plus loin. Une réponse adéquate aux incidents est nécessaire afin de tenter de maîtriser la situation avant que les attaquants réalisent qu’ils ont été découverts.

 

Parmi les différentes approches de détection et réponses possibles, voici trois types de contrôles qui devraient être fortement considérés et qui pourraient aider grandement dans les situations où l’on doit faire face à des attaques de type APT :

 

1 . Augmenter les contrôles sur les communications sortantes

 

Trop souvent, les communications sortantes ne sont pas ou sont mal contrôlées sur le plan du périmètre. La plupart des logiciels malveillants tenteront tôt ou tard de se connecter vers un centre de commandement (CC), que ce soit pour télécharger des mises à jour, recevoir des instructions, voler et exfiltrer de l’information, etc. Or, les protocoles fréquemment utilisés en sortie vers Internet tels que HTTP, HTTPS ou DNS sont souvent utilisés par les logiciels malveillants afin de se fondre dans la masse du trafic légitime d’une organisation pour ensuite se connecter au CC. Il est donc essentiel d’exercer un contrôle adéquat à ce niveau, par exemple en permettant uniquement aux serveurs DNS de faire des requêtes vers Internet sur les ports TCP et UDP 53 pour qu’un logiciel malveillant tentant d’utiliser ce protocole soit bloqué. De plus, un système situé sur le réseau interne ne devrait jamais pouvoir rejoindre Internet directement sans passer par un serveur mandataire (proxy). Toutes les connexions qui tentent de rejoindre Internet sans passer par un serveur mandataire pourraient par exemple être redirigées via la route par défaut du réseau (0.0.0.0.) vers un pot de miel (Honeypot)   situé à l’interne. Cela contribuerait à bloquer les connexions de type CC et à analyser le contenu du trafic clandestin ou malicieux et ainsi à détecter les systèmes potentiellement infectés à l’interne et d’en apprendre plus sur l’attaque en cours qui, parfois, est invisible autrement.

 

2 . Contrôler l’accès aux ressources informatiques

 

Le nerf de guerre est l’information, et c’est exactement ce que les attaquants tentent d’obtenir lors qu’ils attaquent une infrastructure. Que ce soit des fichiers contenant des informations confidentielles ou des bases de données avec des numéros de cartes de crédit, l’accès aux ressources informatiques doit être rigoureusement contrôlé et journalisé. Par exemple, il n’est pas normal que des systèmes contenant de l’information de cette nature soient sur un réseau plat qui n’a aucune segmentation et qui n’offre aucun cloisonnement des données. De plus, des solutions d’authentification forte de type Role Based Access Control (RBAC)  combinées avec une solution de gestion des identités contribueront grandement à sécuriser les données. Il faut comprendre que, même si l’on met les meilleurs mécanismes en place, cela ne rendra pas les systèmes impénétrables. Cependant, plus on met de bâtons dans les roues des attaquants, plus ils risquent de s’enfarger et d’être bruyants, ce qui permettra de repérer leurs activités qui ne seraient peut-être pas détectées autrement.

 

3. Analyser les informations pertinentes

 

Il ne suffit pas de tout journaliser. Encore faut-il savoir quoi regarder et avoir les bons outils pour le faire. Voici l’exemple de la série de requêtes DNS :
•    date-20XX 08:42:29.121 client 1.1.1.130#18759: query: drpxbbjbvcvcjllyqxsn.com IN A
•    date-20XX 08:42:29.218 client 1.1.1.130#18789: query: eh4t07sruha0x3betqa.com IN A –E

Que remarque-t-on? Est-ce que les noms de domaine « drpxbbjbvcvcjllyqxsn.com » et « eh4t07sruha0x3betqa.com » semblent légitimes ou ressemblent-ils à des requêtes qui pourraient avoir été faites par un logiciel potentiellement malveillant tentant de rejoindre un CC? Il s’agit fort probablement de requêtes faites par un logiciel potentiellement malveillant.

Voici maintenant des requêtes ayant été journalisées par un coupe-feu :
•    2012 Mar 4 02:18:33 1.1.1.111/1.1.1.111 %ASA-5-304001: 1.1.1.42 Accessed URL 69.3.211.4:http://www.emcc.com/info.html
•    2012 Mar 4 08:18:34 1.1.1.111/1.1.1.111 %ASA-5-304001: 1.1.1.42 Accessed URL 69.3.211.4:http://www.emcc.com/info.html
•    2012 Mar 4 14:18:34 1.1.1.111/1.1.1.111 %ASA-5-304001: 1.1.1.42 Accessed URL 69.3.211.4:http://www.emcc.com/info.html

Un élément en particulier attire-t-il l’attention? Est-ce que des requêtes à intervalles fixes de six heures précises à la seconde près sur une période de douze heures et toujours vers la même adresse sont faites par un humain ou par une machine? Il y a de fortes chances que ce soit une machine.

 

Mais attendez! Il y a plus!

En plus de maintenir les contrôles traditionnels et d’exercer ceux qui sont mentionnés plus tôt, il est également recommandé d’effectuer régulièrement des analyses de vulnérabilité et des tests d’intrusion de façon périodique, ce qui est un excellent moyen de découvrir les failles et d’avoir la vision que les attaquants ont de l’environnement technologique. Il faut être conscient que ces deux activités sont différentes, alors on doit prendre cette réalité en compte. Une analyse de vulnérabilité est ni plus ni moins qu’un balayage (scan) de vulnérabilité suivi d’un rapport. Ce ne devrait pas seulement être un copier-coller provenant du résultat d’un outil, mais bien une interprétation de ce dernier, incluant des recommandations et des solutions pour chacune des vulnérabilités découvertes (voir autre article à ce sujet).

Le test d’intrusion (pentest), quant à lui, pousse l’exercice plus loin. Le testeur tente d’exploiter les vulnérabilités ayant été découvertes, tout comme un vrai pirate le ferait, mais dans un cadre professionnel et contrôlé. Il faut noter que ces tests peuvent être effectués tant sur le plan du réseau, du serveur que de l’application. On peut même tester les humains grâce à l’ingénierie sociale! Mais c’est un autre dossier…

Toujours aussi confiant?

En terminant, posez-vous les trois questions suivantes:
1)    Si l’on vous demandait, à la suite de la lecture de ce texte, si vous avez déjà été piraté, répondriez-vous non avec certitude?
2)    Vous sentez-vous prêt à faire face à cette nouvelle réalité?
3)    Si oui, comment? Sinon, qu’allez-vous faire?

Contrairement au dicton qui dit que « ce que l’on ne sait pas ne fait pas mal », dites-vous qu’en sécurité, c’est ce que l’on ne sait pas qui fait mal!

Vous vous sentez démunis face aux APT? Vous ne savez pas par quel bout commencer? Vous êtes à la recherche de solutions pouvant vous aider?  Contactez-nous.

_____

Cet article est également disponible dans le Vol. 4 No. 3 Automne 2012 la revue Secus et également dans la section “Présentations / Publications” de mon blogue.

_____

 

Test de pénétration (pentest ) : au-delà des apparences

October 17th, 2012 1 comment

Les organisations font-elles régulièrement vérifier la sécurité de leur environnement technologique par des firmes externes qui effectuent des analyses de vulnérabilité et des tests d’intrusion? Si oui, le font-elles pour les bonnes raisons?

 

Malheureusement, certaines entreprises font faire des tests de pénétration afin d’obtenir le « papier » et pouvoir dire qu’elles ont utilisé leur budget à cet effet et qu’elles ont donc fait leur devoir en ce qui concerne la sécurité de leur environnement technologique. D’autres font faire des tests d’intrusion afin de découvrir les failles de leur environnement technologique et d’avoir sur lui la même vision que les attaquants pour exploiter les vulnérabilités et recréer ce qui pourrait se produire dans la vraie vie. Peu importe les motivations pour lesquelles ces organisations font faire ces vérifications. Un fait demeure. Au final, la seule chose qu’elles auront entre les mains sera le rapport pour lequel elles auront payé. Mais, connaissent-elles la méthode utilisée par le pentesteur? Puis, savent-elles à quoi elles devraient s’attendre de ce dernier? Quel est l’objectif d’un test de pénétration? Qu’est-ce qui devrait se retrouver dans le rapport?

 

Test de pénétration et analyse de vulnérabilité

Un test de pénétration est très différent et beaucoup plus intrusif qu’une simple analyse de vulnérabilité. Il consiste principalement à pousser plus loin l’analyse de vulnérabilité en exploitant les failles découvertes lors de cette dernière. Une analyse de vulnérabilité est donc l’une des étapes d’un test de pénétration et elle est loin d’être aussi exhaustive. Alors, pourquoi effectuer un test de pénétration plutôt qu’une simple analyse de vulnérabilité? Après tout, si les vulnérabilités sont identifiées et corrigées rapidement, où est le problème?

 

Sans équivoque, le test de pénétration détermine les risques d’affaires réels de l’organisation dans le but de pallier ces derniers le plus rapidement et le plus efficacement possible. L’un de ses objectifs peut être de tester les mécanismes de défense déjà en place tant sur le plan technologique que sur celui des processus.

 

Le pirate sérieux qui trouve une vulnérabilité sur un système ne s’arrêtera pas là. Il utilisera cette faille pour compromettre le système afin de s’en servir comme tremplin ou pivot dans le but d’accéder au reste de l’environnement et d’atteindre ainsi le système qui contient le « secret de la Caramilk ». De plus, comme les techniques d’attaque ont grandement évolué, les attaquants utilisent maintenant des méthodes qui exploitent des vecteurs d’attaque qu’une simple analyse de vulnérabilité ne « couvre » pas nécessairement, contrairement à un test de pénétration.

 

Les pirates, eux, font de vrais tests. Les entreprises, elles, le font-elles?

 

Voici une analogie intéressante. Quelle méthode est la plus efficace pour détecter une bombe cachée dans une valise à l’aéroport? Celle de tapoter la valise légèrement sans l’ouvrir en demandant à son transporteur s’il y a une bombe à l’intérieur ou celle d’ouvrir la valise, de la passer aux rayons X et de la faire sentir par un chien renifleur? En fait, veut-on vraiment savoir ce qu’il y a à l’intérieur? Si la réponse est non, boum! Si la réponse est oui, on prend les moyens qui s’imposent pour le savoir. Toutefois, qu’advient-il si la machine à rayons X n’affiche qu’une partie de l’image ou qu’elle ne produit aucune alerte si elle détecte quelque chose? Ou qu’arrive-t-il si le chien renifleur ne s’assoit pas à côté de la valise ou s’il ne jappe pas lorsqu’il sent les explosifs? Et si le personnel ne reçoit aucune consigne sur la façon de gérer la situation? Évidemment, le parallèle avec les tests et les rapports déficients est simple à faire. Non?

 

Malheureusement, les rapports d’analyses de vulnérabilité ne sont que trop souvent des copier-coller presque intégraux et sans valeur ajoutée du résultat provenant d’un outil accessible à tous (parfois gratuit). Pire encore, certaines firmes livrent à leurs clients le rapport original de l’outil lui-même en ne changeant parfois que le logo du haut de la page, ce qui n’a, encore une fois, aucune valeur ajoutée et qui démontre un manque de compétence et de laxisme flagrant. Le tout est bien sûr assorti d’une facture probablement trop élevée si l’on considère la valeur réelle du résultat qui est, somme toute, « un léger tapotement » sans valeur ajoutée. Certains professionnels de l’industrie appellent ces tests des “Really Crappy Penetration Test”[1]. Évidemment, si le client ne recherche qu’un balayage de port ou de vulnérabilité, ce qui ne se compare d’aucune façon à une analyse de vulnérabilité et encore moins à un test de pénétration en ce qui concerne la valeur pour l’organisation, c’est différent. Les objectifs et les résultats sont très différents et sa valeur est loin d’être la même.

 

Le rapport d’un test de pénétration

Un rapport d’analyse de vulnérabilité ou de test de pénétration devrait notamment inclure la méthodologie utilisée, l’expertise d’un professionnel en sécurité, l’intelligence humaine, l’interprétation de données, des explications, des recommandations, un sommaire, une conclusion et un certain accompagnement pour qu’il y ait une valeur réelle pour le client. Si une entreprise reçoit un rapport qui ne contient pas ces éléments, elle est en droit de s’interroger et même de le refuser.

 

De plus, un rapport devrait inclure la liste détaillée des vulnérabilités, idéalement par ordre de sévérité (haute, moyenne, basse). Pour chacune des vulnérabilités, des informations telles qu’une description de la vulnérabilité, la façon dont cette dernière peut être exploitée par un attaquant, le type de connaissances requises pour l’exploiter, des solutions pour chacune des vulnérabilités découvertes, les systèmes affectés devraient être fournies. Puis, un rapport devrait présenter des recommandations spécifiques basées sur les résultats réels du présent test et non des conseils génériques (par exemple, « suivez les bonnes pratiques et appliquez les rustines ») qui pourraient s’appliquer à n’importe quel environnement du même type. Non pas que ces avis ne devraient pas s’y retrouver, mais ils devraient être contextualisés et non génériques.

 

Dans un test de pénétration, la transparence est de mise, donc aucune « magie-noire-ésotérique-vaudou » ne devrait venir mystifier le test, bien au contraire. L’organisation est en droit de savoir tout ce qui se passe. L’heure de début et de fin de l’une des phases du test, l’adresse IP source du testeur, le système exploité, le moment approximatif de l’événement, les techniques et outils utilisés, etc. Il s’agit de l’environnement de l’entreprise. Ses responsables doivent être à l’aise avec le processus. L’utilisation d’une méthodologie reconnue est également très importante dans le but de s’assurer que les tests sont structurés et toujours effectués de la même façon. De cette manière, les résultats devraient être les mêmes, peu importe qui fait le test. Plusieurs méthodes existent à cet effet telles que l’Open Source Security Testing Methodology Manual[2], le Penetration Testing Execution Standard[3], le Technical Guide to Information Security Testing and Assessment du National Institute of Standards and Technology[4]. L’organisation est également en droit de demander à ce que la liste des outils utilisés pour faire les tests apparaisse dans le rapport, et ce, tant sur le plan des outils commerciaux que des logiciels libres (open source).

 

Le coût d’un test de pénétration

Le coût d’un test de pénétration peut varier de façon importante. Trop souvent, la décision de l’entreprise n’est basée que sur le prix du test de pénétration. C’est donc le moins cher qui l’emporte! Cependant, comme il s’agit de la sécurité de son environnement technologique, de ses données, de sa réputation, et de bien plus encore, l’organisation doit comprendre l’importance de prendre le temps d’y réfléchir sérieusement. Si quelqu’un magasine une fourgonnette pour transporter sa famille, le prix du véhicule sera-t-il son unique critère ou considérera-t-il également les options de sécurité?

 

Conseils

Magasinez vos tests et utilisez les éléments mentionnés plus tôt afin de vous faire une grille d’évaluation. N’hésitez surtout pas à rajouter des critères qui vous semblent importants. Cela vous aidera à comparer les différentes options disponibles dans les offres que vous recevrez. De cette façon, vous serez en mesure de comparer des pommes avec des pommes. Beaucoup trop d’entreprises se contentent de rapports médiocres et sans valeur réelle. Un test de pénétration de qualité moyenne avec un bon rapport est beaucoup mieux qu’un super test de pénétration avec un rapport médiocre. L’objectif d’un test de pénétration est donc de déterminer les risques d’affaires et non de démontrer comment le pentesteur est un « super l337 kung-fu ninja » et que rien ne lui résiste. N’oubliez pas que le résultat, et ce pour quoi vous payez, c’est le rapport. C’est lui qui vous aidera vraiment à déterminer les risques, les vulnérabilités, les actions et les budgets auxquels vous devez accorder la priorité.

 

Happy Pentesting!

 

La prochaine formation SANS SEC560 “Network Penetration Testing and Ethical Hacking” à Québec en français aura lieue  les 1-3 & 6-8 Mai 2013.

 

Pour plus de renseignements ou pour discuter de vos besoins en matière de tests d’intrusion contactez-nous.

 


[1] (« très mauvais test de pénétration ») http://pen-testing.sans.org/blog/2012/02/09/maximizing-value-in-pen-testing?reply-to-comment=101.

[2] www.isecom.org/research/osstmm.html (en anglais).

[3] www.pentest-standard.org/ (en anglais).

[4] csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf (en anglais).

_________________________________________________________________________________

Cet article est également disponible dans le Vol. 4 No. 3 Automne 2012 la revue Secus et également dans la section “Présentations / Publications” de mon blogue.

Cusin Sécurité Inc : Open for business.

September 22nd, 2012 1 comment

 

 

 

 

 

 

C’est avec un immense plaisir que je vous annonce que Cusin Sécurité Inc « is open for business »! L’idée de démarrer ma propre entreprise de sécurité de l’information faisait son chemin depuis un certain temps déjà. Après avoir passé les douze dernières années à travailler en sécurité dont dix au sein de la même compagnie de télécom, le temps était maintenant venu pour moi de mettre mon projet à exécution. Stay tuned, more to come…

– Michel

Tendances TI: à la croisée des chemins

September 5th, 2012 No comments
Powered by Netfirms