fethi.amirouche fethi.

amirouche

Quelles sont les différentes phases d’un

test d’intrusion ?
Afin de parfaire leur technique et augmenter de manière significative leurs résultats dans le domaine du
sport, les athlètes de haut niveau ont recours à des routines d’entraînement. Ces gestes reproduits des
centaines, voire des milliers de fois, permettent d’obtenir le meilleur résultat possible au cours de la
compétition.

Durant les tests d’intrusion, les auditeurs disposent également de ces routines que l’on nomme
méthodologies de tests. L’utilisation d’une méthodologie permet de n’omettre aucun test. Le partage de
cette dernière permet également de simplifier le travail en équipe lors de la répartition des actions à
exécuter.

De nombreuses méthodologies existent, mais deux d’entre elles sortent du lot :

PTES

PTES (Penetration Testing Execution Standard) est un standard permettant de disposer d’une
méthodologie complète pour la réalisation des tests d’intrusion.

En effet, à l’inverse d’autres méthodologies uniquement basées sur les tests, PTES établit un ensemble de
principes et d’actions à mener pour le déroulement d’un test d’intrusion dans sa globalité.

Le standard est divisé en sept étapes :

Pre-engagement (engagements préalables)

© Editions ENI - Tous droits réservés - Copie personnelle de fethi.amirouche fethi.amirouche -1-
 fethi.amirouche fethi.amirouche

Du point de vue des auditeurs, cette étape est certainement l’une des plus importantes du fait que les six
prochaines étapes vont être basées sur les éléments obtenus au cours de celle-ci. Certains auditeurs
appellent cette phase « la réunion d’initialisation ».

Au cours de cette dernière, l’objectif est de comprendre les besoins du client. Pour cela, il est nécessaire
d’obtenir les informations telles que :

ˇ le périmètre des tests (les cibles que les auditeurs vont devoir exploiter)
ˇ les dates ainsi que les horaires de réalisation des tests
ˇ le type de tests attendu (externes, internes, Wi-Fi, etc.)
ˇ le niveau de connaissance (boîte noire, boîte grise, boîte blanche)
ˇ le type d’application (production, préproduction, développement, etc.)

Il est également possible pour un client de limiter les attaques effectuées par les auditeurs. Lorsque le site
est en production, il n’est pas rare que les tests de déni de service (DoS) ne soient pas autorisés.

C’est au cours de ces échanges qu’il sera nécessaire de disposer des contacts techniques pouvant
intervenir au cours des tests en cas de questions sur le fonctionnement de l’application ou si une
fonctionnalité venait à ne pas fonctionner correctement.

D’un point de vue juridique, c’est grâce à ces informations qu’il sera possible de rédiger un mandat
d’autorisation. Ce dernier devra être approuvé par la société d’audit, le client désireux de réaliser les tests
ainsi qu’éventuellement l’hébergeur des applications à auditer.

Grâce à l’obtention de l’ensemble de ces informations, la société d’audit sera alors en mesure de
contractualiser les tests souhaités par le client au sein d’une proposition commerciale reprenant
l’ensemble des points abordés.

Intelligence gathering (collecte de renseignements)

Une fois les tests contractualisés et débutés, la deuxième étape consiste en la collecte de renseignements
sur le système cible. Il n’est pas rare d’entendre parler d’« information gathering » à ce stade-là.

Le but de cette collecte d’informations est de glaner le maximum de renseignements sur l’ensemble du
périmètre à auditer (produits, versions, etc.) tel que le ferait un attaquant ne disposant d’aucune
information initiale. Cela va permettre à l’auditeur de se familiariser avec l’environnement cible ainsi que
les systèmes de sécurité ayant été mis en place (WAF,

© Editions ENI - Tous droits réservés - Copie personnelle de fethi.amirouche fethi.amirouche -2-
 fethi.amirouche fethi.amirouche

firewall, VPN, CDN, etc.) pour commencer à en déduire des scénarios d’attaque.

Bien qu’il soit possible d’obtenir des informations grâce au facteur humain (on parle alors d’HUMINT -
Human Intelligence), les techniques d’OSINT (Open Source Intelligence) sont plus souvent utilisées lors
des audits. En effet, le social engineering reste, à ce jour, toujours très tendancieux pour les entreprises
auditées.

Threat modeling (modélisation des menaces)

En fonction des auditeurs, la phase de modélisation des menaces peut être réalisée avant ou après la
phase de collecte de renseignements.

Cette phase s’apparente à la réalisation d’une analyse de risque de la société. Au cours de cette étape, il
est nécessaire de tenter d’identifier les différentes faiblesses/menaces que comporte le périmètre.
L’analyse de risque passe par un processus d’identification et d’évaluation des risques encourus par
l’ensemble des éléments de l’entreprise.

Cette évaluation des risques permettra d’identifier des scénarios d’attaque pouvant réellement nuire à
l’entreprise. En effet, chaque société ne placera pas le curseur sécurité au même endroit en ce qui
concerne la confidentialité, l’intégrité ou la disponibilité des données.

Il est possible de s’appuyer sur la norme ISO/CEI 27005, un recueil des lignes directrices traitant de la
gestion des risques. Cette norme s’appuie sur la démarche continue suivante :

ˇ établissement du contexte
ˇ appréciation des risques
ˇ traitement du risque
ˇ acceptation du risque
ˇ communication du risque
ˇ surveillance et réexamen du risque

Vulnerability analysis (analyse des vulnérabilités)

La phase d’analyse des vulnérabilités permet de condenser les deux précédentes phases (collecte de
renseignements et modélisation des menaces) afin de rechercher des vulnérabilités dans la partie
technique, mais également dans les différents processus identifiés.

© Editions ENI - Tous droits réservés - Copie personnelle de fethi.amirouche fethi.amirouche -3-
 fethi.amirouche fethi.amirouche

Cette phase peut être réalisée de manière automatique grâce à des outils tels que des scanneurs de
vulnérabilités, mais également manuellement.

De nombreux sites tels qu’exploit-db mettent à disposition des codes d’exploitation permettant de faciliter
la mise en place d’une attaque.

La finalité de cette étape est de construire un chemin d’attaque pouvant amener à la découverte d’une
autre vulnérabilité ou à la compromission du système (phase d’exploitation).

Exploitation
La phase d’exploitation correspond à la phase où l’on met en pratique les scénarios que l’on a imaginés
jusqu’à présent grâce à l’ensemble des informations/vulnérabilités identifiées.

En fonction des éléments de sécurité détectés, c’est également lors de cette phase que l’auditeur tente de
contourner (bypass) ces équipements afin d’atteindre son objectif.

Post-exploitation
La phase de post-exploitation intervient juste après la compromission d’un ou de plusieurs systèmes. En
effet, l’exploitation d’une vulnérabilité n’est pas une fin en soi (bien sûr, dans le cadre des tests d’intrusion,
il faut être certain d’avoir l’autorisation pour effectuer ce type d’action).

Cette phase permet à un auditeur de se comporter de la même manière qu’un attaquant afin de tenter
d’exploiter de nouvelles faiblesses identifiées.

À partir de cette dernière, l’objectif est donc d’obtenir le maximum d’informations au sein du système cible
dans le but éventuel d’élever ses privilèges ou bien d’accéder à des données sensibles. Au cours de cette
étape, l’auditeur peut tenter de maintenir ses privilèges sur la machine infectée tout en s’assurant qu’un
administrateur n’est pas en mesure d’identifier sa présence. Il peut encore être possible de compromettre
d’autres machines afin de se déplacer au sein du réseau.

La phase de post-exploitation n’est pas obligatoirement la dernière phase lors d’un test d’intrusion. En
effet, l’exploitation de vulnérabilités peut entraîner l’accès à de nouvelles informations. Il sera alors
nécessaire de recommencer la phase d’analyse des vulnérabilités avant de reprendre. Cela est fréquent
lorsqu’un équipement de sécurité vient d’être contourné ou lorsque l’auditeur accède à un nouveau réseau
(problème de

© Editions ENI - Tous droits réservés - Copie personnelle de fethi.amirouche fethi.amirouche -4-
 fethi.amirouche fethi.amirouche

segmentation par exemple).

Reporting (rédaction du rapport)

Enfin, la dernière étape du PTES se trouve être la rédaction du rapport. Après la réunion d’initialisation
permettant de cadrer les tests, cette phase est la phase qui doit être réalisée avec le plus d’attention. En
effet, au cours de cette dernière, l’auditeur doit exposer le déroulement des tests d’intrusion, ses
découvertes, mais également les recommandations qu’il est nécessaire de mettre en place pour pallier la
vulnérabilité.

Ce rapport doit reprendre l’ensemble des éléments abordés lors des engagements préalables et répondre
aux questions de l’audité. Pour cela, le rapport doit être un savant mélange de termes techniques et non
techniques permettant d’être compris par le maximum de personnes.

Dans le cadre des tests d’intrusion externes, l’audité n’est pas en mesure de « vérifier » le travail de
l’auditeur. Le rapport fourni sera ainsi le seul gage de qualité des tests.

Il n’est pas impossible que l’auditeur ne trouve aucune vulnérabilité sur le système cible. Néanmoins, si
c’était le cas, un excellent rapport étayé permettra de faire comprendre l’absence de vulnérabilité à un
client.

OWASP Testing Guide

L’OWASP (Open Web Application Security Project) Testing Guide, à la différence de la méthodologie PTES,
s’oriente exclusivement sur les tests web et mobile des ouvrages à destination des auditeurs, mais
également des développeurs.

Cette méthodologie complète est découpée en plusieurs sections, à savoir :

ˇ information gathering (prise d’informations)

ˇ configuration and deployment management testing (gestion de la configuration et de
l’installation)
ˇ identity management testing (gestion des identités)
ˇ authentication testing (gestion de l’authentification)
ˇ authorization testing (gestion des autorisations)
ˇ session management testing (gestion des sessions)
ˇ input validation testing (gestion des entrées)
ˇ testing for error handling (gestion des erreurs)

© Editions ENI - Tous droits réservés - Copie personnelle de fethi.amirouche fethi.amirouche -5-
 fethi.amirouche fethi.amirouche

ˇ testing for weak cryptography (attaque sur les cryptographies faibles)

ˇ business logic testing (test de la logique business)
ˇ client side testing (test du côté client)

Nous ne citerons que deux méthodologies, mais de nombreuses autres existent telles que l’OSSTMM,
l’ISAF, le NIST SP800-115...

© Editions ENI - Tous droits réservés - Copie personnelle de fethi.amirouche fethi.amirouche -6-