Académique Documents
Professionnel Documents
Culture Documents
amirouche
Durant les tests d’intrusion, les auditeurs disposent également de ces routines que l’on nomme
méthodologies de tests. L’utilisation d’une méthodologie permet de n’omettre aucun test. Le partage de
cette dernière permet également de simplifier le travail en équipe lors de la répartition des actions à
exécuter.
PTES
PTES (Penetration Testing Execution Standard) est un standard permettant de disposer d’une
méthodologie complète pour la réalisation des tests d’intrusion.
En effet, à l’inverse d’autres méthodologies uniquement basées sur les tests, PTES établit un ensemble de
principes et d’actions à mener pour le déroulement d’un test d’intrusion dans sa globalité.
© Editions ENI - Tous droits réservés - Copie personnelle de fethi.amirouche fethi.amirouche -1-
fethi.amirouche fethi.amirouche
Du point de vue des auditeurs, cette étape est certainement l’une des plus importantes du fait que les six
prochaines étapes vont être basées sur les éléments obtenus au cours de celle-ci. Certains auditeurs
appellent cette phase « la réunion d’initialisation ».
Au cours de cette dernière, l’objectif est de comprendre les besoins du client. Pour cela, il est nécessaire
d’obtenir les informations telles que :
ˇ le périmètre des tests (les cibles que les auditeurs vont devoir exploiter)
ˇ les dates ainsi que les horaires de réalisation des tests
ˇ le type de tests attendu (externes, internes, Wi-Fi, etc.)
ˇ le niveau de connaissance (boîte noire, boîte grise, boîte blanche)
ˇ le type d’application (production, préproduction, développement, etc.)
Il est également possible pour un client de limiter les attaques effectuées par les auditeurs. Lorsque le site
est en production, il n’est pas rare que les tests de déni de service (DoS) ne soient pas autorisés.
C’est au cours de ces échanges qu’il sera nécessaire de disposer des contacts techniques pouvant
intervenir au cours des tests en cas de questions sur le fonctionnement de l’application ou si une
fonctionnalité venait à ne pas fonctionner correctement.
D’un point de vue juridique, c’est grâce à ces informations qu’il sera possible de rédiger un mandat
d’autorisation. Ce dernier devra être approuvé par la société d’audit, le client désireux de réaliser les tests
ainsi qu’éventuellement l’hébergeur des applications à auditer.
Grâce à l’obtention de l’ensemble de ces informations, la société d’audit sera alors en mesure de
contractualiser les tests souhaités par le client au sein d’une proposition commerciale reprenant
l’ensemble des points abordés.
Le but de cette collecte d’informations est de glaner le maximum de renseignements sur l’ensemble du
périmètre à auditer (produits, versions, etc.) tel que le ferait un attaquant ne disposant d’aucune
information initiale. Cela va permettre à l’auditeur de se familiariser avec l’environnement cible ainsi que
les systèmes de sécurité ayant été mis en place (WAF,
© Editions ENI - Tous droits réservés - Copie personnelle de fethi.amirouche fethi.amirouche -2-
fethi.amirouche fethi.amirouche
firewall, VPN, CDN, etc.) pour commencer à en déduire des scénarios d’attaque.
Bien qu’il soit possible d’obtenir des informations grâce au facteur humain (on parle alors d’HUMINT -
Human Intelligence), les techniques d’OSINT (Open Source Intelligence) sont plus souvent utilisées lors
des audits. En effet, le social engineering reste, à ce jour, toujours très tendancieux pour les entreprises
auditées.
Cette phase s’apparente à la réalisation d’une analyse de risque de la société. Au cours de cette étape, il
est nécessaire de tenter d’identifier les différentes faiblesses/menaces que comporte le périmètre.
L’analyse de risque passe par un processus d’identification et d’évaluation des risques encourus par
l’ensemble des éléments de l’entreprise.
Cette évaluation des risques permettra d’identifier des scénarios d’attaque pouvant réellement nuire à
l’entreprise. En effet, chaque société ne placera pas le curseur sécurité au même endroit en ce qui
concerne la confidentialité, l’intégrité ou la disponibilité des données.
Il est possible de s’appuyer sur la norme ISO/CEI 27005, un recueil des lignes directrices traitant de la
gestion des risques. Cette norme s’appuie sur la démarche continue suivante :
ˇ établissement du contexte
ˇ appréciation des risques
ˇ traitement du risque
ˇ acceptation du risque
ˇ communication du risque
ˇ surveillance et réexamen du risque
© Editions ENI - Tous droits réservés - Copie personnelle de fethi.amirouche fethi.amirouche -3-
fethi.amirouche fethi.amirouche
Cette phase peut être réalisée de manière automatique grâce à des outils tels que des scanneurs de
vulnérabilités, mais également manuellement.
De nombreux sites tels qu’exploit-db mettent à disposition des codes d’exploitation permettant de faciliter
la mise en place d’une attaque.
La finalité de cette étape est de construire un chemin d’attaque pouvant amener à la découverte d’une
autre vulnérabilité ou à la compromission du système (phase d’exploitation).
Exploitation
La phase d’exploitation correspond à la phase où l’on met en pratique les scénarios que l’on a imaginés
jusqu’à présent grâce à l’ensemble des informations/vulnérabilités identifiées.
En fonction des éléments de sécurité détectés, c’est également lors de cette phase que l’auditeur tente de
contourner (bypass) ces équipements afin d’atteindre son objectif.
Post-exploitation
La phase de post-exploitation intervient juste après la compromission d’un ou de plusieurs systèmes. En
effet, l’exploitation d’une vulnérabilité n’est pas une fin en soi (bien sûr, dans le cadre des tests d’intrusion,
il faut être certain d’avoir l’autorisation pour effectuer ce type d’action).
Cette phase permet à un auditeur de se comporter de la même manière qu’un attaquant afin de tenter
d’exploiter de nouvelles faiblesses identifiées.
À partir de cette dernière, l’objectif est donc d’obtenir le maximum d’informations au sein du système cible
dans le but éventuel d’élever ses privilèges ou bien d’accéder à des données sensibles. Au cours de cette
étape, l’auditeur peut tenter de maintenir ses privilèges sur la machine infectée tout en s’assurant qu’un
administrateur n’est pas en mesure d’identifier sa présence. Il peut encore être possible de compromettre
d’autres machines afin de se déplacer au sein du réseau.
La phase de post-exploitation n’est pas obligatoirement la dernière phase lors d’un test d’intrusion. En
effet, l’exploitation de vulnérabilités peut entraîner l’accès à de nouvelles informations. Il sera alors
nécessaire de recommencer la phase d’analyse des vulnérabilités avant de reprendre. Cela est fréquent
lorsqu’un équipement de sécurité vient d’être contourné ou lorsque l’auditeur accède à un nouveau réseau
(problème de
© Editions ENI - Tous droits réservés - Copie personnelle de fethi.amirouche fethi.amirouche -4-
fethi.amirouche fethi.amirouche
Ce rapport doit reprendre l’ensemble des éléments abordés lors des engagements préalables et répondre
aux questions de l’audité. Pour cela, le rapport doit être un savant mélange de termes techniques et non
techniques permettant d’être compris par le maximum de personnes.
Dans le cadre des tests d’intrusion externes, l’audité n’est pas en mesure de « vérifier » le travail de
l’auditeur. Le rapport fourni sera ainsi le seul gage de qualité des tests.
Il n’est pas impossible que l’auditeur ne trouve aucune vulnérabilité sur le système cible. Néanmoins, si
c’était le cas, un excellent rapport étayé permettra de faire comprendre l’absence de vulnérabilité à un
client.
L’OWASP (Open Web Application Security Project) Testing Guide, à la différence de la méthodologie PTES,
s’oriente exclusivement sur les tests web et mobile des ouvrages à destination des auditeurs, mais
également des développeurs.
© Editions ENI - Tous droits réservés - Copie personnelle de fethi.amirouche fethi.amirouche -5-
fethi.amirouche fethi.amirouche
Nous ne citerons que deux méthodologies, mais de nombreuses autres existent telles que l’OSSTMM,
l’ISAF, le NIST SP800-115...
© Editions ENI - Tous droits réservés - Copie personnelle de fethi.amirouche fethi.amirouche -6-