TP Audit de sécurité

Livrable au client

Vendredi 8 décembre 2017

Quentin DUPONT

Sommaire

TP1 : Expliquer le déroulement d’un test d’intrusion

Les Différentes étapes d’un test d’intrusion
Questionnaire de préparation d’un test d’intrusion

TP2 : Réaliser un protocole d’audit

Questionnaire
Contrat d’audit

TP3 : Réaliser un rapport qualifié de scan de vulnérabilités

Résultat du scan de la cible / windows server 2003 grâce à OpenVAS :
Evaluation du niveau de sécurité via le système CVSS :
Niveau de sécurité général :

1/18
TP1 : Expliquer le déroulement d’un test d’intrusion

Les Différentes étapes d’un test d’intrusion

● Prise de contact
● Définir le type de l’audit
a. Black-box (les auditeurs n’ont pas d’informations sur l’entreprise),
b. White-box (les auditeurs ont toutes les informations sur l’infrastructure),
c. Grey-box (les auditeurs simulent ce à quoi peut avoir accès un utilisateur
lambda),
d. Red-team (les auditeurs simulent une attaque de hacker préparée en amont
sans information donnée par l’entreprise (tests physiques et logiques)
● Définition du périmètre et dates
a. Combien de temps va durer l’audit.
b. A partir de quand commence et jusqu’à quand.
● Définir les objectifs du test
● Définir les règles d’engagement (conditions d'arrêt + moyens de communication en
cas d'incident)
● Demander le business de l’entreprise (pour orienter les attaques)
● Mise en place du contrat
a. en donner un exemplaire signé à tous les auditeurs en cas de litige)
● Reconnaissance passive sur la cible
a. Shodan
b. OSINT
c. Google
d. Offres d'emploi actuelles
e. Web crawling
● Reconnaissance active
a. the Harvester
b. trash diving
c. social Engineering
d. détection de port/services, versions, OS
● Exploitation des failles décelées précédemment
● Post-exploitation
● Réunion avec le client (présenter ce qui a été trouvé et ce qui peut être fait)
● Définition du niveau de sécurité global
● Rendu du rapport

2/18
Questionnaire de préparation d’un test d’intrusion
Objectif: Lister les questions à poser à une entreprise dans le but de rédiger un protocole
d’audit pour une prestation de pentest.
Cadre : 1 site Web et 1 infrastructure cloud à auditer.

L’entreprise auditée devra nous fournir des détails sur les éléments suivants :

1. Quel est votre secteur d’activité ?

2. Quelles ont été vos motivations pour demander un audit ? (nécessité pour obtenir
une certification, initiative personnelle, augmentation du budget)

3. Quel est le type d’audit ? (les éléments à fournir sont différents selon le choix du
client)
a. WhiteBox
■ Plage d’adresses IP (Interne & Externe)
■ Nombre et type d’ordinateurs
■ Nombre et type de téléphones IP
■ Infos sur du personnel (email, nom, prénom)
■ Information sur le lien VPN (si existant)
b. GreyBox
■ Un compte utilisateur
c. BlackBox
■ Nom de domaine
d. Red-Team

4. Quel est le périmètre du test ?

a. Nombre d’adresses IP ou applications à auditer.
b. URL du site à auditer disponible ?
c. Eléments de l’infrastructure où les auditeurs peuvent effectuer des tests

5. Quel est la cible précise de l’audit ? (Site web, application, ...)

6. Qui héberge le site web, la plateforme cloud ?

a. Le type d’hébergement,
b. S’agit-il d’un cloud privé ou d’un fournisseur extérieur ?

7. Y a-t-il un PAS, PAQ, PAQS lié à l'hébergement ?

8. Quelle type de données est stockée sur le cloud ?

9. Sur quelle durée voulez-vous faire ce test ?

10. Y a-t-il des plages horaires sur lesquelles les tests ne doivent pas avoir lieu ?
(heures ouvrées, périodes de soldes par exemple)
11. Quels sont les objectifs (découverte des vulnérabilités, test de la réponse à une
attaque, exploitation des vulnérabilités, gain d'accès à privilèges) ?

3/18
12. Souhaitez-vous que des tests complémentaires soient réalisés ?
a. Test de sécurité physique : pour accéder à l'espace physique en évitant les
contrôles de sécurité physique
b. Social Engineering : pour obtenir ou déduire des informations sensibles d'un
de vos employés.

13. Quel est le protocole à suivre en cas d'alertes ou de vulnérabilités trouvées ?

a. Attendre la fin du test pour vous les répertorier.
b. Les reporter au fur et à mesure.
c. Faire un rapport journalier.
d. Reporter seulement les plus critiques.
e. Fournir un moyen de contacter le responsable technique (voir ci-dessous).

14. Qui est le responsable technique à contacter en cas d’incidents en supposant que
ce n’est pas un un pentest en Black Box ?
a. Nom / Prénom :
b. Téléphone :
c. Mobile / Email :

15. Le test sera-t-il réalisé sur un environnement en production ?

16. Si les environnements de production ne doivent pas être affectés, existe-t-il un

environnement similaire (systèmes de développement et / ou de test) pouvant être
utilisé pour effectuer l’audit ?
a. Les propriétaires de l’entreprise sont-ils au courant de ce test ?
b. Les principaux intervenants sont-ils conscients que la nature d'un pentest est
d'attaquer le système en tant que hacker (ou acteur hostile) pour apprendre
et prouver la faiblesse du système ?
c. En plus d'identifier les vulnérabilités, si nous les trouvons, nous essaierons de
les exploiter et de vous montrer les résultats.

17. Pouvez-vous fournir une lettre de consentement officielle de la compagnie auditée

indiquant qu’elle autorise un audit ainsi que les dates durant lesquelles peuvent avoir
lieu le test d’intrusions et quelle doit être la durée totale du test.

18. Avez-vous des livrables relatifs aux éléments de l’infrastructure qui font l’objet de
l’audit (DAT, ...) à nous communiquer ?

19. Quelles sont vos exigences en terme de confidentialité ?

20. Avez-vous des informations additionnels à nous faire parvenir ?

21. Pour finir quel est votre budget ?

4/18
TP2 : Réaliser un protocole d’audit
Objectif : Ecrire le contrat de la prestation de pentest. Poser les questions du TP1 à un
autre groupe.

Questionnaire
Mr. GUPY est Président Directeur Général de la société “e-strad”, société de vente en ligne
de violon stradivarius. Le siège social de l’entreprise se trouve au 36 rue des vignes 75016
Paris. Un site en ligne vient d’être lancé pour commercialiser les violons via Internet.

1) Le secteur d’activité de l’entreprise est la vente.

2) Le site internet a été développé en externe par une entreprise non française. Mr
GUPY souhaite tester la conformité et le niveau de sécurité du site. De plus, la base
de donnée est hébergée en cloud, il faut donc aussi vérifier que le tout est bien
sécurisé. En dernier lieu, si le temps nous le permet, le client souhaite que nous
vérifions que le tout est bien conforme aux futures normes RGPD.

3) Le type d’audit que nous réaliserons pour le client sera de de type Grey box. L’audit
sera réalisé dans les locaux de l’AFTI Audit, à Orsay.

4) Nous devrons auditer tout le site internet et si l’accès aux données personnelles des
client est bien sécurisé. Pour cela, nous utiliserons l’URL du site fourni our e client
ainsi qu’une adresse.

5) La cible précise de l’audit est le site de vente en ligne ainsi que la base de donnée.

6) Le site web est hébergé sur serveurs locaux. En revanche, la base de données est
hébergée sur un cloud.

7) Ni PAS, PAQ ou PAQS ne sont mis en place.

8) Sur le cloud, le client stocke toutes les informations personnelles liées à ses propres
clients. Par exemple, nous trouvons les noms, prénoms, adresses, mail et numéro de
cartes bancaires.

9) Le test d’intrusion se déroulera sur cinq jours, du lundi au vendredi. Il faudra rendre
utilisable la plateforme d’achat en ligne pour 16h le vendredi.

10) Les plages horaires définies avec le client sont : de minuit à 17H du lundi au jeudi et
de minuit à 16H pour le vendredi. Les tests se dérouleront du 8 au 12 janvier 2018
pour éviter de possibles dérangement pendant les fêtes de fin d’année.
11) Les objectifs sont de découvrir les vulnérabilités et définir un niveau de sécurité
globale afin que Mr GUPY prenne des dispositions en conséquences.

12) Le client souhaite un test de sécurité physique complémentaire: Est-il possible

d’accéder à l’espace physique en évitant les contrôles de sécurité physiques ?

5/18
 13) En cas d’alerte ou de vulnérabilités trouvées, il faut contacter via mail le responsable
informatique. De plus, MR GUPY demande un rapport journalier de ce qui est testé.

14) Le responsable informatique à contacter est Mr BOBEREAU dont le courriel est :

bobereau@e-strad.org.

15) Le test est réalisé en environnement de production.

16) Il n’y a pas d’environnement test proposé pour réaliser les test.

17) Le client fournira la lettre de consentement lors de la signature du contrat.

18) Le client n’a pas de livrable à nous communiquer.

19) Il faudra que toutes les informations soient supprimées après la remise du rapport.

20) Pas d’informations additionnelles.

21) Le budget du client s’élève à 6000€.

Ci-dessous le contrat d’audit qui découle de l’entretien réalisé avec Mr GUPY.

6/18
Contrat d’audit

AFTI Audit - auto-entrepreneur

Domaine de corbeville
91400 Orsay
01 69 33 05 50
Ci-après, dénommé le prestataire

Et

La société E-strad au capital de 38567 €, ayant son siège social

au 36 rue des vignes 75016 PARIS, prise en la personne de Mr GUPY

Président Directeur Général,
Ci-après dénommé le client,

Il a été préalablement exposé:

Article 1 : Objet

Le présent contrat est un contrat de prestations de conseil ayant pour objet l'audit du site
Internet disponible à l'adresse https://www.e-strad.com en procédant à des tests d'intrusion.

Article 2 : Prix

Les prestations définies à l'article 1 ci-dessus seront facturées au client mille euros (1000 €)
hors taxe par journée pour un maximum de cinq journées.

Par ailleurs, comme vu également, un surplus raisonnable de rémunération peut être calculé
en fonction d'un pourcentage assis sur des éléments quantifiables pour faire participer le
prestataire au succès de l'opération. S'ils ne sont pas compris dans le prix ci-dessus, il
conviendra en outre que soient prévus les frais de déplacement, séjour et autres du
prestataire.

Les frais engagés par le prestataire : de déplacement, d'hébergement, de repas et frais

annexes de dactylographie, reprographie etc., nécessaires à l'exécution de la prestation
seront facturés en sus au client sur relevé de dépenses et joints à la facture totale.

Les modalités de paiement du prix pourront soit figurer dans la présente clause de prix, soit
dans une clause autonome, qui alors, pourra détailler davantage divers éléments.

Les sommes prévues ci-dessus seront payées par chèque, cinq jours calendaires à partir de
l’émission de la facture, droits et taxes en sus.

Article 3 : Durée

7/18
La durée de la prestation sera de cinq jours maximums.

Elle débutera le 08/01/2018 et s’achèvera le 12/01/2018 sauf indications contraires

expresses du prestataire.

Article 3 bis : Lieu d’exécution

La prestation se déroulera à Orsay (siège AFTI Audit), de 09h00 à 17h00, avec l’IP suivante
: 10.0.0.143

Article 4 : Exécution de la prestation

Le prestataire s'engage à mener à bien la tâche précisée à l'article 1, conformément aux

règles de l'art et de la meilleure manière. Il procédera seul et remettra un rapport final
détaillant l'ensemble des vulnérabilités identifiées lors des tests d'intrusion.

Article 4 bis : Contenu du rapport final

Le prestataire s’engage à fournir un rapport final comportant les éléments suivants :

● L’objet du pentest
● La composition de l’objet du pentest
● L’adresse IP utilisée et le système employé
● La méthodologie employée
● Les outils employés
● Les relevés et les rapports de chacun des outils employés
● Les préconisations techniques et les patchs si cela est inclus dans la prestation.

Article 5 : Durée d’exécution du contrat

Le début de la prestation est fixé au 8 janvier 2018.

Le rapport terminal sera achevé et livré au client au plus tard le 19 janvier 2018.

Article 6 : Obligation de confidentialité

Le prestataire considèrera comme strictement confidentiel, et s'interdit de divulguer, toute

information, document, donnée ou concept, dont il pourra avoir connaissance à l'occasion
du présent contrat. Pour l'application de la présente clause, le prestataire répond de ses
salariés comme de lui-même. Le prestataire, toutefois, ne saurait être tenu pour responsable
d'aucune divulgation si les éléments divulgués étaient dans le domaine public à la date de la
divulgation, ou s'il en avait connaissance, ou les obtenait de tiers par des moyens légitimes.

Article 7 : Obligation de collaboration

8/18
Le client tiendra à la disposition du prestataire toutes les informations pouvant contribuer à
la bonne réalisation de l'objet du présent contrat.

Article 8 : Propriété des résultats

De convention expresse, les résultats de l'étude seront en la pleine maîtrise du client, à

compter du paiement intégral de la prestation et le client pourra en disposer comme il
l'entend. Le prestataire, pour sa part, s'interdit de faire état des résultats dont il s'agit et de
les utiliser de quelque manière, sauf à obtenir préalablement l'autorisation écrite du client.

Article 9 : Responsabilités

Le client convient que, quels que soient les fondements de sa réclamation, et la procédure
suivie pour la mettre en œuvre, la responsabilité éventuelle du prestataire à raison de
l'exécution des obligations prévues au présent contrat, sera limitée à un montant n'excédant
pas la somme totale effectivement payée par le client, pour les services ou tâches fournis
par le prestataire.
Par ailleurs, le client renonce à rechercher la responsabilité du prestataire en cas de
dommages survenus aux fichiers, ou tout document qu'il lui aurait confié. Il donne
l’autorisation expresse – en tant que maître du système – au prestataire pour procéder à
toutes les investigations qui sembleront nécessaires à ce dernier.

Le prestataire dégage sa responsabilité à l'égard des dommages matériels pouvant

atteindre les immeubles, installations, matériels, mobiliers du client.

Le client convient que le prestataire n'encourra aucune responsabilité à raison de toute perte
de bénéfices, de trouble commercial, de demandes que le client subirait; de demandes ou
de réclamations formulées contre le client et émanant d'un tiers quel qu'il soit.

Le client s’engage à prévenir les responsables techniques notamment l’hébergeur, qu’un

pentest aura lieu, en précisant l’IP du prestataire, la durée d’exécution de la prestation ainsi
que les éléments techniques nécessaires à l’hébergeur. Il s’engage également à informer le
prestataire par courrier ou par email de la bonne délivrance de cette information.

Article 10 : Référencement

Le client accepte que le prestataire puisse faire figurer parmi ses références les travaux
accomplis dans le cadre du présent contrat, sans pour autant en dévoiler la nature exacte ni
les résultats finaux.

Article 11 : Interprétation du contrat

Le présent contrat et ses annexes contiennent tous les engagements des parties, et les
correspondances, offres ou propositions antérieures à la signature des présentes, sont
considérées comme non-avenues.

9/18
 Article 12 : Clause relative aux conditions et aux conséquences de la résolution

Le contrat pourra être résolu si le client ne paye pas la somme fixée par la clause n°2 huit
jours au plus tard après émission de la facture. Le paiement d’une fraction du prix vaut
absence de paiement et autorise le prestataire à demander la résolution du contrat. En cas
d’urgence, le créancier pourra prendre l’initiative de déclarer le contrat résolu à ses risques
et périls.

Article 13 : Clause pénale

En cas d’inexécution par l’une des parties de ses obligations, l’autre partie sera en droit de
demander des dommages-intérêts d’un montant de quinze mille euros (15000 €), quel que
soit le montant du préjudice effectivement subi.

Article 14 : Clause relative à la recherche d’un accord avant la saisine du juge / de

l’arbitre

Dans le cadre du présent contrat, les parties tenteront de trouver un accord avant de saisir
le juge compétent ou un arbitre. Elles disposeront d’un délai de deux mois. A l’issue de ce
délai, si aucun accord n’est trouvé́ en vue d’une transaction, la partie la plus diligente pourra
saisir la juridiction compétente / l’arbitre.

Article 15 : Clause compromissoire

Les litiges qui pourront naître entre les parties à l’occasion du présent contrat seront
tranchés par un arbitre que les parties désigneront. L’arbitre nommé sera chargé de trancher
le litige entre les parties. Les frais qui seront liés à son intervention seront payés par moitié
par chacune des parties / par la partie qui l’a saisi / par le débiteur de l’obligation inexécutée
à l’origine du litige tranché par l’arbitre.

Article 16 : Clause attributive de compétence

En cas de désaccord entre les parties sur la désignation d’un arbitre, l’action relative au
présent contrat devra être exercée devant le tribunal de commerce de Paris

Fait à ORSAY Le 11 decembre 2017 En double exemplaire,

Signature du client : Signature du prestataire :

10/18
TP3 : Réaliser un rapport qualifié de scan de vulnérabilités
Objectif : Lancer un scan de vulnérabilités d’une VM “vulnérable” avec un outil au
choix (OpenVas sur Kali). Qualifier les vulnérabilités et insister sur le top 10 des
vulnérabilités découvertes. Expliquer la requalification des vulnérabilités. Proposer une
remédiation (ou plus) par vulnérabilité.

VM (vulhub.com) https://www.vulnhub.com/entry/pwnlab-init,158/

Rapport de Pentest

Evaluation des vulnérabilités et Test d’Intrusion

Rapport Final
v1.0

Vendredi 19 janvier 2018

DOCUMENT CONFIDENTIEL

CLIENT

Responsable : Mr. GUPY

Entreprise : E-STRAD

PRESTATAIRE

Pentesters : Q. DUPONT

11/18
 Introduction
Un test d’intrusion est une tentative autorisée de pénétrer un système afin d’identifier les
faiblesses de ce dernier. L’exploitation de vulnérabilités présentes permettent d’identifier les
risques encourus par le système. La ou les personnes effectuant ce test sont appelées
pentesters et ont recours à plusieurs méthodes pour avoir accès à l’infrastructure cible,
souvent en s’introduisant d’abord dans une partie du système possédant de faibles droits.
Les pentesters gagnent ensuite en niveau de privilèges et peuvent atteindre des zones plus
sensibles sur système.

Les menaces et vulnérabilités des réseaux, des ordinateurs, des systèmes et logiciels
évoluant sans cesse, ce test d’intrusion n’est valide qu’à la date indiquée sur la couverture.
Les résultats présentés sont corrects jusqu’au jour où a été achevé l’évaluation.

Terminologie employée
CLIENT : L’entreprise e-strad possédée par Monsieur GUPY et son SI.
SI : Système d’information, comprend l’ensemble de l’infrastructure qui a fait l’objet de tests
(machine possédant l’adresse ip 10.0.0.143).

I. Objectif du pentest
Un test d’intrusion a été effectué sur votre site internet https://www.e-strad.com en
respectant le contrat signé entre le prestataire de ce test et le client en date du 11 décembre
2017. Ce test a permis d’évaluer le niveau de sécurité mis en place sur ce site internet.
Nous présentons les vulnérabilités trouvées ainsi que les menaces et risques présents.

La chronologie des tests a été la suivante :

8/01 09/01 10/01 11/01 12/01 13/01 14/01 15/01 16/01 17/01 18/01 19/01

B
Tests sur le
SI
C

Repporting E

A : Reconnaissance du SI
B : Scan du SI (découverte des ports ouverts de la machine, des services, des versions…)
C : Exploitation des vulnérabilités trouvées en A et B
D : Post-exploitation
E : Présentation au client et rendu des livrables

II.

12/18
III. Composition du pentest
IV.
La prestation s’est déroulée à Orsay et a posté sur l’adresse IP du client 10.0.0.143. Nous
avons utilisé des outils permettant de scanner le SI (netdiscover, nmap, OpenVas pour les
principaux) dont les résultats sont présentés dans la section suivante. Nous présentons
également les préconisations techniques correspondant aux failles présentes.

V. Résultat du scan de la cible / windows server 2003 grâce à

OpenVAS accompagné d'une réévaluation de chaque
vulnérabilité en fonction du contexte client.

High 445/tcp

Vulnérabilité :
High (CVSS: 10.0)
NVT : Vulnerabilities in SMB Could Allow Remote Code Execution (958687) - Remote
Risque : Une exploitation réussie pourrait permettre à des attaquants distants non
authentifiés de provoquer un déni de service en envoyant un message réseau
spécialement conçu à un système exécutant le service serveur.
Niveau de risque requalifié : 10

Vulnérabilité :
High (CVSS: 10.0)
NVT: Microsoft Windows SMB Server NTLM Multiple Vulnerabilities (971468)
Risque : Une exploitation réussie permettra aux attaquants distants d'exécuter du code
arbitraire ou de provoquer un déni de service ou contourner le mécanisme
d'authentification via la technique de force brute.
Niveau de risque requalifié : 10

Vulnérabilité :
High (CVSS: 9.3)
NVT: Microsoft Windows SMB Server Multiple Vulnerabilities-Remote (4013389)
Risque : Une exploitation réussie permettra aux attaquants distants d'avoir la possibilité
d'exécuter du code sur le serveur cible, pourrait également conduire à la divulgation
d'informations du serveur.
Niveau de risque requalifié : 10

Medium 3268/tcp

Vulnérabilité :
Medium (CVSS: 5.0)
NVT: Use LDAP search request to retrieve information from NT Directory Services
Risque : Il est possible de divulguer des informations LDAP.
Niveau de risque requalifié : 5

13/18
Medium 636/tcp

Vulnérabilité :
Medium (CVSS: 5.0)
NVT: Use LDAP search request to retrieve information from NT Directory Services
Risque : Il est possible de divulguer des informations LDAP.
Niveau de risque requalifié : 5

Vulnérabilité :
Medium (CVSS: 5.0)
NVT: SSL/TLS: Certicate Expired
Risque : Le certificat SSL / TLS du serveur distant a expiré.
Niveau de risque requalifié : 7

Vulnérabilité :
Medium (CVSS: 4.3)
NVT: SSL/TLS: Deprecated SSLv2 and SSLv3 Protocol Detection
Risque : Un attaquant pourrait être capable d'utiliser des failles de crypto connues pour
espionner la connexion entre les clients et le service pour avoir accès aux données
sensibles transférées dans le connexion.
Niveau de risque requalifié : 7

Vulnérabilité :
Medium (CVSS: 4.3)
NVT: SSL/TLS: RSA Temporary Key Handling 'RSA_EXPORT' Downgrade Issue (FREAK)
Risque : Une exploitation réussie permettra à l'attaquant distant de déclasser la sécurité
d'une session pour utiliser les suites de chiffrement 'RSA_EXPORT', qui sont nettement
plus faibles que les suites de chiffrement non exportées. Cela peut permettre à un
attaquant du type man-in-the-middle de rompre plus facilement le cryptage et de
surveiller ou altérer le flux crypté.
Niveau de risque requalifié : 7

Vulnérabilité :
Medium (CVSS: 4.3)
NVT: SSL/TLS: SSLv3 Protocol CBC Cipher Suites Information Disclosure Vulnerability
(POODLE)
Risque : Une exploitation réussie permettra à un attaquant du type man-in-the-middle
d'accéder au flux de données en texte brut.
Niveau de risque requalifié : 6

Vulnérabilité :
Medium (CVSS: 4.0)
NVT: SSL/TLS: Certicate Signed Using A Weak Signature Algorithm
Risque : Le service distant utilise une chaîne de certificats SSL / TLS qui a été signée à
l'aide d'un algorithme de hachage cryptographiquement faible.
Niveau de risque requalifié : 6

Medium 21/tcp

14/18
 Vulnérabilité :
Medium (CVSS: 6.4)
NVT: Check for Anonymous FTP Login
Risque : Basé sur les fichiers accessibles via ce login FTP anonyme et les permissions de
ce compte, un attaquant pourrait être capable de :
- accéder aux fichiers sensibles
- télécharger ou supprimer les fichiers
Niveau de risque requalifié : 7

Medium 389/tcp

Vulnérabilité :
Medium (CVSS: 5.0)
NVT: Use LDAP search request to retrieve information from NT Directory Services
Risque : Il est possible de divulguer des informations LDAP.
Niveau de risque requalifié : 5

Medium 3269/tcp

Vulnérabilité :
Medium (CVSS: 5.0)
NVT: SSL/TLS: Certicate Expired
Risque : Le certificat SSL / TLS du serveur distant a expiré.
Niveau de risque requalifié : 5

Vulnérabilité :
Medium (CVSS: 4.3)
NVT: SSL/TLS: Deprecated SSLv2 and SSLv3 Protocol Detection
Risque : Un attaquant pourrait être capable d'utiliser des failles de crypto connues pour
espionner la connexion entre les clients et le service pour avoir accès aux données
sensibles transférées dans le connexion.
Niveau de risque requalifié : 7

Vulnérabilité :
Medium (CVSS: 4.3)
NVT: SSL/TLS: SSLv3 Protocol CBC Cipher Suites Information Disclosure Vulnerability
(POODLE)
Risque : Une exploitation réussie permettra à un attaquant du type man-in-the-middle
d'accéder au flux de données en texte brut.
Niveau de risque requalifié : 6

Vulnérabilité :
Medium (CVSS: 4.3)
NVT: SSL/TLS: RSA Temporary Key Handling 'RSA_EXPORT' Downgrade Issue (FREAK)
Risque : Une exploitation réussie permettra à l'attaquant distant de déclasser la sécurité
d'une session pour utiliser les suites de chiffrement 'RSA_EXPORT', qui sont nettement
plus faibles que les suites de chiffrement non exportées. Cela peut permettre à un

15/18
 attaquant du type man-in-the-middle de rompre plus facilement le cryptage et de
surveiller ou altérer le flux crypté.
Niveau de risque requalifié : 7

VI. Niveau de sécurité général

★ ★ ☆ ☆ ☆

INSATISFAISANT

VII. Résumé des vulnérabilités

Sévérité Nombre Pourcentage

Critique 3 15 %

Haute 17 85 %

Moyenne 0 0%

Faible 0 0%

Total 20 100 %

VIII. Résumé des risques et réévaluation

Trois vulnérabilités critiques ont été trouvées et il est conseillé de mettre en place
les actions correctives suivantes :
● Installer les correctifs manquants (applicable à Microsoft Windows),
● Adopter un processus de gestion des correctifs pour maintenir le serveur à
jour (applicable à Microsoft Windows),
● Vérifier la bonne conformité des algorithmes de chiffrement.

16/18
 Niveau de Niveau de sécurité
Risque
sécurité CVSS réévalué

NVT : Vulnerabilities in SMB Could Allow

Remote Code Execution (958687) -
10 10
Remote

NVT: Microsoft Windows SMB Server

NTLM Multiple Vulnerabilities (971468) 10 10

NVT: Microsoft Windows SMB Server

Multiple Vulnerabilities-Remote (4013389)
9,3 10

NVT: Use LDAP search request to retrieve

5 5
information from NT Directory Services

NVT: Use LDAP search request to retrieve

information from NT Directory Services 5 5

NVT: SSL/TLS: Certicate Expired 5 7

NVT: SSL/TLS: Deprecated SSLv2 and

4,3 7
SSLv3 Protocol Detection

NVT: SSL/TLS: RSA Temporary Key

Handling 'RSA_EXPORT' Downgrade 4,3 7
Issue (FREAK)

NVT: SSL/TLS: SSLv3 Protocol CBC

Cipher Suites Information Disclosure 4,3 6
Vulnerability (POODLE)

NVT: SSL/TLS: Certicate Signed Using A

Weak Signature Algorithm
4 6

NVT: Check for Anonymous FTP Login 6,4 7

NVT: Use LDAP search request to retrieve

5 5
information from NT Directory Services

NVT: SSL/TLS: Certicate Expired 5 5

NVT: SSL/TLS: Deprecated SSLv2 and

4,3 7
SSLv3 Protocol Detection

NVT: SSL/TLS: SSLv3 Protocol CBC 4,3 6

17/18
Cipher Suites Information Disclosure
Vulnerability (POODLE)

NVT: SSL/TLS: RSA Temporary Key

Handling 'RSA_EXPORT' Downgrade 4,3 7
Issue (FREAK)

IX. Réévaluation du niveau de sécurité via le système CVSS

Voir annexes

Conclusion

Suite à l'audit, de nombreux risques ont été relevés. Ceux-ci ont un impact fort sur le
SI, sur les données personnelles des clients entre-autre. Des vulnérabilités qui ne
sont pas corrigées continuent d’introduire des risques et par conséquent, des
contrôles doivent être appliqués pour atténuer les risques associés aux vulnérabilités
trouvées en attendant qu’un correctif soit appliqué.
Le niveau de sécurité global est insatisfaisant. Beaucoup de vulnérabilités sont
facilement et rapidement corrigeables, ce qui permettrait de relever le niveau de
sécurité, mais beaucoup d'autres avec un impact moyen nécessitent plus
d'investissement.
Nous recommandons que le niveau de sécurité du SI soit réévalué au moins une fois
par an et dès lors que des modifications sont apportées à l’infrastructure.

Annexes :

18/18