Home > Uncategorized > Test de pénétration (pentest ) : au-delà des apparences

Test de pénétration (pentest ) : au-delà des apparences

October 17th, 2012 Leave a comment Go to comments

Les organisations font-elles régulièrement vérifier la sécurité de leur environnement technologique par des firmes externes qui effectuent des analyses de vulnérabilité et des tests d’intrusion? Si oui, le font-elles pour les bonnes raisons?

 

Malheureusement, certaines entreprises font faire des tests de pénétration afin d’obtenir le « papier » et pouvoir dire qu’elles ont utilisé leur budget à cet effet et qu’elles ont donc fait leur devoir en ce qui concerne la sécurité de leur environnement technologique. D’autres font faire des tests d’intrusion afin de découvrir les failles de leur environnement technologique et d’avoir sur lui la même vision que les attaquants pour exploiter les vulnérabilités et recréer ce qui pourrait se produire dans la vraie vie. Peu importe les motivations pour lesquelles ces organisations font faire ces vérifications. Un fait demeure. Au final, la seule chose qu’elles auront entre les mains sera le rapport pour lequel elles auront payé. Mais, connaissent-elles la méthode utilisée par le pentesteur? Puis, savent-elles à quoi elles devraient s’attendre de ce dernier? Quel est l’objectif d’un test de pénétration? Qu’est-ce qui devrait se retrouver dans le rapport?

 

Test de pénétration et analyse de vulnérabilité

Un test de pénétration est très différent et beaucoup plus intrusif qu’une simple analyse de vulnérabilité. Il consiste principalement à pousser plus loin l’analyse de vulnérabilité en exploitant les failles découvertes lors de cette dernière. Une analyse de vulnérabilité est donc l’une des étapes d’un test de pénétration et elle est loin d’être aussi exhaustive. Alors, pourquoi effectuer un test de pénétration plutôt qu’une simple analyse de vulnérabilité? Après tout, si les vulnérabilités sont identifiées et corrigées rapidement, où est le problème?

 

Sans équivoque, le test de pénétration détermine les risques d’affaires réels de l’organisation dans le but de pallier ces derniers le plus rapidement et le plus efficacement possible. L’un de ses objectifs peut être de tester les mécanismes de défense déjà en place tant sur le plan technologique que sur celui des processus.

 

Le pirate sérieux qui trouve une vulnérabilité sur un système ne s’arrêtera pas là. Il utilisera cette faille pour compromettre le système afin de s’en servir comme tremplin ou pivot dans le but d’accéder au reste de l’environnement et d’atteindre ainsi le système qui contient le « secret de la Caramilk ». De plus, comme les techniques d’attaque ont grandement évolué, les attaquants utilisent maintenant des méthodes qui exploitent des vecteurs d’attaque qu’une simple analyse de vulnérabilité ne « couvre » pas nécessairement, contrairement à un test de pénétration.

 

Les pirates, eux, font de vrais tests. Les entreprises, elles, le font-elles?

 

Voici une analogie intéressante. Quelle méthode est la plus efficace pour détecter une bombe cachée dans une valise à l’aéroport? Celle de tapoter la valise légèrement sans l’ouvrir en demandant à son transporteur s’il y a une bombe à l’intérieur ou celle d’ouvrir la valise, de la passer aux rayons X et de la faire sentir par un chien renifleur? En fait, veut-on vraiment savoir ce qu’il y a à l’intérieur? Si la réponse est non, boum! Si la réponse est oui, on prend les moyens qui s’imposent pour le savoir. Toutefois, qu’advient-il si la machine à rayons X n’affiche qu’une partie de l’image ou qu’elle ne produit aucune alerte si elle détecte quelque chose? Ou qu’arrive-t-il si le chien renifleur ne s’assoit pas à côté de la valise ou s’il ne jappe pas lorsqu’il sent les explosifs? Et si le personnel ne reçoit aucune consigne sur la façon de gérer la situation? Évidemment, le parallèle avec les tests et les rapports déficients est simple à faire. Non?

 

Malheureusement, les rapports d’analyses de vulnérabilité ne sont que trop souvent des copier-coller presque intégraux et sans valeur ajoutée du résultat provenant d’un outil accessible à tous (parfois gratuit). Pire encore, certaines firmes livrent à leurs clients le rapport original de l’outil lui-même en ne changeant parfois que le logo du haut de la page, ce qui n’a, encore une fois, aucune valeur ajoutée et qui démontre un manque de compétence et de laxisme flagrant. Le tout est bien sûr assorti d’une facture probablement trop élevée si l’on considère la valeur réelle du résultat qui est, somme toute, « un léger tapotement » sans valeur ajoutée. Certains professionnels de l’industrie appellent ces tests des “Really Crappy Penetration Test”[1]. Évidemment, si le client ne recherche qu’un balayage de port ou de vulnérabilité, ce qui ne se compare d’aucune façon à une analyse de vulnérabilité et encore moins à un test de pénétration en ce qui concerne la valeur pour l’organisation, c’est différent. Les objectifs et les résultats sont très différents et sa valeur est loin d’être la même.

 

Le rapport d’un test de pénétration

Un rapport d’analyse de vulnérabilité ou de test de pénétration devrait notamment inclure la méthodologie utilisée, l’expertise d’un professionnel en sécurité, l’intelligence humaine, l’interprétation de données, des explications, des recommandations, un sommaire, une conclusion et un certain accompagnement pour qu’il y ait une valeur réelle pour le client. Si une entreprise reçoit un rapport qui ne contient pas ces éléments, elle est en droit de s’interroger et même de le refuser.

 

De plus, un rapport devrait inclure la liste détaillée des vulnérabilités, idéalement par ordre de sévérité (haute, moyenne, basse). Pour chacune des vulnérabilités, des informations telles qu’une description de la vulnérabilité, la façon dont cette dernière peut être exploitée par un attaquant, le type de connaissances requises pour l’exploiter, des solutions pour chacune des vulnérabilités découvertes, les systèmes affectés devraient être fournies. Puis, un rapport devrait présenter des recommandations spécifiques basées sur les résultats réels du présent test et non des conseils génériques (par exemple, « suivez les bonnes pratiques et appliquez les rustines ») qui pourraient s’appliquer à n’importe quel environnement du même type. Non pas que ces avis ne devraient pas s’y retrouver, mais ils devraient être contextualisés et non génériques.

 

Dans un test de pénétration, la transparence est de mise, donc aucune « magie-noire-ésotérique-vaudou » ne devrait venir mystifier le test, bien au contraire. L’organisation est en droit de savoir tout ce qui se passe. L’heure de début et de fin de l’une des phases du test, l’adresse IP source du testeur, le système exploité, le moment approximatif de l’événement, les techniques et outils utilisés, etc. Il s’agit de l’environnement de l’entreprise. Ses responsables doivent être à l’aise avec le processus. L’utilisation d’une méthodologie reconnue est également très importante dans le but de s’assurer que les tests sont structurés et toujours effectués de la même façon. De cette manière, les résultats devraient être les mêmes, peu importe qui fait le test. Plusieurs méthodes existent à cet effet telles que l’Open Source Security Testing Methodology Manual[2], le Penetration Testing Execution Standard[3], le Technical Guide to Information Security Testing and Assessment du National Institute of Standards and Technology[4]. L’organisation est également en droit de demander à ce que la liste des outils utilisés pour faire les tests apparaisse dans le rapport, et ce, tant sur le plan des outils commerciaux que des logiciels libres (open source).

 

Le coût d’un test de pénétration

Le coût d’un test de pénétration peut varier de façon importante. Trop souvent, la décision de l’entreprise n’est basée que sur le prix du test de pénétration. C’est donc le moins cher qui l’emporte! Cependant, comme il s’agit de la sécurité de son environnement technologique, de ses données, de sa réputation, et de bien plus encore, l’organisation doit comprendre l’importance de prendre le temps d’y réfléchir sérieusement. Si quelqu’un magasine une fourgonnette pour transporter sa famille, le prix du véhicule sera-t-il son unique critère ou considérera-t-il également les options de sécurité?

 

Conseils

Magasinez vos tests et utilisez les éléments mentionnés plus tôt afin de vous faire une grille d’évaluation. N’hésitez surtout pas à rajouter des critères qui vous semblent importants. Cela vous aidera à comparer les différentes options disponibles dans les offres que vous recevrez. De cette façon, vous serez en mesure de comparer des pommes avec des pommes. Beaucoup trop d’entreprises se contentent de rapports médiocres et sans valeur réelle. Un test de pénétration de qualité moyenne avec un bon rapport est beaucoup mieux qu’un super test de pénétration avec un rapport médiocre. L’objectif d’un test de pénétration est donc de déterminer les risques d’affaires et non de démontrer comment le pentesteur est un « super l337 kung-fu ninja » et que rien ne lui résiste. N’oubliez pas que le résultat, et ce pour quoi vous payez, c’est le rapport. C’est lui qui vous aidera vraiment à déterminer les risques, les vulnérabilités, les actions et les budgets auxquels vous devez accorder la priorité.

 

Happy Pentesting!

 

La prochaine formation SANS SEC560 “Network Penetration Testing and Ethical Hacking” à Québec en français aura lieue  les 1-3 & 6-8 Mai 2013.

 

Pour plus de renseignements ou pour discuter de vos besoins en matière de tests d’intrusion contactez-nous.

 


[1] (« très mauvais test de pénétration ») http://pen-testing.sans.org/blog/2012/02/09/maximizing-value-in-pen-testing?reply-to-comment=101.

[2] www.isecom.org/research/osstmm.html (en anglais).

[3] www.pentest-standard.org/ (en anglais).

[4] csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf (en anglais).

_________________________________________________________________________________

Cet article est également disponible dans le Vol. 4 No. 3 Automne 2012 la revue Secus et également dans la section “Présentations / Publications” de mon blogue.

Bookmark and Share
  1. January 18th, 2013 at 11:12 | #1

    Excellent article ! Effectivement en matière de sécurité on ne peut être confiant que par rapport à une infrastructure que l’on comprend et que l’on contrôle concrètement. Les spécialistes engagés pour un pentest doivent expliquer clairement ce qu’ils ont fait.

    Ce rappel est donc très pertinent !

Powered by Netfirms