Test d’intrusion : comment détecter les failles

de votre réseau ?
Tout responsable d’un réseau informatique local connaît les efforts importants qu’il faut déployer
pour mettre en place un réseau et le maintenir. Tous les composants doivent être configurés de
manière à ce qu’ils soient fonctionnels et mis à jour. Pour tous les appareils utilisateurs, les logiciels
requis doivent être installés et les droits d’accès appropriés définis. Cependant, la tâche la plus
importante est de développer un concept de sécurité approprié pour protéger votre propre
réseau contre les attaques malveillantes. Selon la taille du réseau et la norme de sécurité requise,
il existe une grande variété de mesures et de composants qui peuvent être utilisés : des logiciels
pare-feu classiques, les programmes antivirus ou bien un pare-feu matériel jusqu’aux solutions
avec des composants supplémentaires comme les systèmes de détection et de prévention
d’intrusions.

Lorsque que la stratégie de défense est mise en place, il est important de ne toutefois pas
relâcher les efforts. Des tests de sécurité réguliers pour vérifier la bonne protection du réseau sont
des pratiques courantes pour les grandes entreprises ou administrations. Les tests d’intrusion ou,
en anglais, penetration test, abrégé en pentest, peuvent être utilisés pour déterminer les
potentielles attaques du réseau, des systèmes participants ou même d’une seule application. Sur
la base des résultats, des mesures d’optimisation appropriées peuvent alors être lancées. Alors,
comment réaliser un tel test et quel est son impact pour le réseau existant ?

Sommaire
1. Qu’est-ce qu’un test d’intrusion ?
2. Prérequis et raisons pour réaliser un test d’intrusion
3. Test d’intrusion : les outils utilisés
4. Procédure d’un test d’intrusion
5. Avantages et inconvénients des tests de sécurité complexes

Qu’est-ce qu’un test d’intrusion ?

En informatique, un pentest est une attaque planifiée d’un réseau de toute taille ou d’un ordinateur
individuel dans le but de révéler les points faibles et les failles de l’objet testé. Pour cela, différents
outils sont utilisés pour simuler des modèles d’attaque différents basés sur des méthodes connues.
Les composants qui sont soumis au test d’intrusion sont :

 Les éléments intermédiaires du réseau comme les routeurs, les commutateurs ou les
passerelles.
 Les passerelles de sécurité comme les pare-feu, filtres de paquets, antivirus, répartiteurs
de charge (Load Balancer), IDS et IPS etc.
 Les serveurs comme les serveurs Web, serveurs de base de données et serveurs de
fichiers etc.
 Les équipements et systèmes de télécommunication.
 Les applications Web.
 Les installations d’infrastructures comme les mécanismes de contrôle d’accès.
 Les réseaux sans fil impliqués comme les WIFI ou Bluetooth.

D’une manière générale, on distingue plusieurs méthodes : la méthode « black box » et « white
box » (en français test par boîte noire ou boîte blanche). Dans le premier cas, seules les
informations d’adresse du réseau ou du système cible sont mises à la disposition des tests
d’intrusion. Avec la seconde méthode, les testeurs ont une connaissance approfondie des
systèmes à tester, comme les adresses IP et les composants logiciels et matériels utilisés. Par
conséquent, les tests d’intrusion « white box » couvrent également les scénarios d’attaque qui ne
sont pas pris en compte pas un test par boîte noire comme par exemple l’attaque d’un hacker bien
informé au sein du système.

Prérequis et raisons pour réaliser un test d’intrusion

En principe, plus vos données sont importantes, plus le risque d’attaque est grand. Les autorités
et les banques qui gèrent une mine de données clients personnelles assez sensibles sur leurs
clients, sont des cibles attractives pour les hackers, de même pour les entreprises qui possèdent
des données sensibles sur des serveurs. Cependant, si vous gérez des données ou des projets
moins importants dans votre réseau, vous ne devez pas vous sentir en parfaite sécurité et à l’abri
du piratage pour autant. En effet, si vous gérez une boutique en ligne ou des systèmes de gestion
de marchandises sur un serveur réseau, si vous exécutez un projet Web informatif avec un grand
nombre de messages ou encore si vous utilisez simplement le réseau comme plateforme de travail,
le risque d’être victime des hackers existe avec les conséquences suivantes :

 La paralysie de vos projets Web ou de vos environnements de travail

 Le vol de mots de passe des utilisateurs du réseau
 L’infiltration par des malwares
 Le vol des données de connexion des comptes clients
 La mauvaise utilisation des systèmes informatiques de votre réseau

Outre les conséquences économiques, l’image et la réputation de votre société risquent aussi
d’en pâtir, notamment si les clients sont directement touchés ou si l’attaque est rendue publique.

Si vous décidez de réaliser un test d’intrusion pour votre réseau, il est conseillé de ne pas lancer
vous-mêmes des attaques contre vos systèmes informatiques et vos applications. Il est préférable
au contraire de recourir aux services d’un expert. Les tests requièrent en effet une compétence
professionnelle dans ce domaine et possèdent des intensités différentes, enfin si ces derniers sont
mal effectués, ils peuvent entraîner rapidement des complications ou des dommages
importants. Il est donc nécessaire de trouver l’équilibre entre la trajectoire d’attaque nécessaire et
l’exploitation des points faibles qui peuvent être évités. En outre, un testeur externe qui n’a pas été
impliqué dans la conception, la construction et la maintenance du réseau permet d’obtenir de
meilleurs résultats grâce à son impartialité et du fait qu’il peut ainsi voir le réseau sous un angle
neuf et différent.

Pour tout type de test d’intrusion, il est nécessaire d’être propriétaire du réseau testé ou bien d’avoir
l’autorisation appropriée. La coopération avec un professionnel externe nécessite donc un accord
contractuel, qui stipule la durée et l‘intensité du test ainsi que les mesures de protection de
données, etc.

Test d’intrusion : les outils utilisés

Puisqu’il y a une grande variété de formes d’attaque réseau, il existe un large éventail d’outils
différents pour les testeurs. Il s’agit par exemple des balayeurs ou scanneurs de ports, scanneurs
de vulnérabilité, analyseurs réseau, générateurs de paquets ou crackeurs de mots de passe. De
nombreux outils ont été spécifiquement développés pour les tests de sécurité réseau et sont donc
adaptés à des domaines bien particuliers. Bien que la majorité des programmes soit open-
source, il existe aussi des applications de sécurité commerciales, elle sont généralement mieux
documentées et accompagnées d’un support utilisateur complet. Ceci peut se révéler être un
avantage, car il est important que le testeur puisse déterminer dans quelle mesure les outils
fonctionnent bien, ce qui est plus facile si les scénarios d’application et les possibilités sont
clairement définis.

Il existe désormais de grandes collections d’outils pour les tests d’intrusion, qui ont été compilées
par des experts en sécurité expérimentés. Ces collections fonctionnent souvent sur la base d’une
distribution Linux stable qui peut être exécutée via un support de stockage externe comme un DVD
ou une clé USB. L’avantage de ces tests d’intrusion est qu’ils sont prêts à l’emploi et combinés en
une seule interface. Parmi les solutions les plus populaires, on trouve la distribution Kali Linux, qui
a été publiée pour la première fois en 2007.

Procédure d’un test d’intrusion

Pour réussir un pentest, vous devez tout d’abord créer un concept clair. Il faut sélectionner les
composants à tester, établir le calendrier et le temps imparti pour un test individuel ou bien pour la
vérification complète de votre réseau, et enfin vérifier si vous disposez de tous les outils
nécessaires. Cette phase préparatoire est d’autant plus importante si vous souhaitez effectuer le
contrôle de sécurité par un testeur externe et mettre en œuvre un test par boîte blanche (white
box). Dans ce cas, il est nécessaire de communiquer toutes les informations relatives à votre
réseau et aux systèmes participants et de transmettre également la documentation existante.
La situation est différente avec un test par boîte noire, pour lequel vous ne spécifiez que l’adresse
cible des objets testés respectifs.

La procédure de test peut être divisée en quatre phases :

 Vérification du concept de réseau : déjà dans la phase préparatoire, un testeur peut

détecter des incohérences ou des faiblesses dans la conception du réseau ou dans des
composants individuels. Par exemple, si différentes applications sont configurées avec des
groupes d’accès différents, elles peuvent rapidement créer des complications et poser un
risque de sécurité pour l’ensemble du réseau, même si le réseau et les programmes
hébergés individuels sont bien protégés. Certains de ces cas peuvent déjà être réglés lors
de cette phase préliminaire. D’autres ne peuvent être confirmés que par un test pratique.

 Test des mesures de durcissement (Hardening) : l’élément central d’un réseau

d’entreprise sécurisé est le fait que les systèmes concernés soient aussi durables que
possible. Lors du test d’intrusion, il est important de vérifier quelles mesures de défense
sont actives. D’une part, il s’agit des logiciels installés comme le système
d’exploitation, les services système ou les applications utilisateurs qui doivent
toujours être à jour. Si les versions plus anciennes sont compatibles avec d'autres
applications, vous devez prendre des précautions alternatives pour protéger votre système.
En outre, les exigences en matière d’accès et d’authentification des différents
systèmes et programmes jouent également un rôle central. Le pentest traite ici des
questions telles que les droits d’accès, l’utilisation et le cryptage des mots de passe ainsi
que la question du refus d’accès des personnes non autorisées. Une autre tâche consiste
à vérifier les diverses interfaces existantes : les ports ouverts ainsi que les règles et
réglementations définies comme par exemple un pare-feu.

 Recherche des vulnérabilités connues : en général, il ne faut pas attendre longtemps

avant que des lacunes de sécurité logicielles soient détectées. C’est pourquoi, les testeurs
sont souvent familiers avec les points d’attaque des objets testés. Grâce à l'état de la
version et au statut des patchs, déterminés lors de la recherche sur le degré de
durcissement des composants du réseau, les testeurs apprennent rapidement quelles
applications représentent un risque de sécurité. Si de nombreux systèmes doivent être
analysés dans un laps de temps réduit, le recours aux scanners de vulnérabilité est alors
utile, mais cela n’aboutit pas toujours à un résultat exact.

 Utilisation ciblée des exploits : un exploit est un élément de programme permettant à un

individu ou à un logiciel malveillant d’exploiter une faille de sécurité dans un système. Le
testeur ne peut déterminer si les vulnérabilités découvertes peuvent être exploitées ou non
en utilisant un exploit correspondant. Une telle séquence de commandes sont en général
des scripts fournis par différentes sources Internet, mais ne sont pas toujours
programmées de manière sécurisée. Si vous exécutez un exploit non sécurisé, il y a alors
un risque que l’application ou le système testé plante et dans le pire des cas, que des
 données importantes soient écrasées. Le testeur doit donc veiller à n’utiliser que des
scripts sûrs provenant de sources fiables ou alors à ne pas tester les vulnérabilités.

Toutes les étapes et les résultats du test d’intrusion doivent être consignés. Les domaines
principaux seront au préalable vérifiés. Vous disposez ainsi d’une base optimale pour comprendre
les différentes étapes et évaluer ainsi la situation. Habituellement, le testeur vous donnera
également une évaluation précise des failles de sécurité qui représentent des risques forts pour
votre réseau. Grâce à ces listes de priorités, vous pouvez optimiser la protection du système
étape par étape.

Avantages et inconvénients des tests de sécurité complexes

Les structures informatiques homogènes appartiennent désormais au passé. Les structures
informatiques décentralisées actuelles, renforcées par la connexion directe des partenaires et des
clients sur Internet, peuvent être à l’origine de nouvelles failles de sécurité et de
dysfonctionnements quotidiens. Les éditeurs de logiciels les corrigent plus ou moins rapidement.
Pour certains programmes, le support est même complètement désactivé ou abandonné. Il faut
donc rester prudent. Les pare-feu et les antivirus permettent de protéger de nombreuses failles
contre les attaques externes, mais de nouvelles lacunes peuvent rapidement inverser cette
situation. Les scanneurs de sécurité sont des outils utiles mais ne sont pas suffisants pour les
systèmes complexes en réseau.

Un test d’intrusion prend ici tout son sens : d’une part il va beaucoup plus en détail qu’un simple
contrôle de sécurité lors de la vérification des systèmes, et de plus c’est l’objectif de base d’un tel
test de vérifier la bonne interaction des différents composants. Si un professionnel externe est
utilisé pour réaliser le pentest, vous obtenez alors un avis extérieur indépendant avec une vue
différente sur le concept de sécurité sous-jacent. Les testeurs professionnels sont
spécialement formés et procèdent de la même manière qu’un hacker. Les résultats révèlent
souvent les points faibles de votre réseau que vous n’auriez probablement jamais pu détecter
autrement.

Cependant, la collaboration avec un testeur externe comporte aussi certains risques. En effet, ce
dernier obtient un aperçu des aspects internes pendant l’exécution du processus. En outre, il est
toujours possible que le test d’intrusion provoque aussi des dommages qui ne peuvent être corrigés
ultérieurement. Par ailleurs, les tests d’intrusion ont l’inconvénient de ne fournir qu’un
instantané de vos systèmes réseau par rapport à d’autres mesures de sécurité qui fonctionnent
sans interruption en arrière-plan. C'est pourquoi vous ne devez jamais utiliser une structure de
sécurité comme excuse pour passer outre des mesures de défense communes, simplement parce
qu'elle a été optimisée sur la base d'un test d’intrusion.

De plus, l’ingénierie sociale (ou social engineering) n’est pas examinée par un test d’intrusion
classique. Cependant, de nombreux prestataires de services proposent des formations pour aider
les employés des entreprises à lutter contre les lacunes en matière de sécurité. Pour plus
d’informations sur ce sujet, vous pouvez consulter notre article sur l’ingénierie sociale.