Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Faculté des Sciences Economiques et de Gestion de Sfax (FSEGS) Cours Intégré «

Faculté des Sciences Economiques et de Gestion de Sfax (FSEGS) Cours Intégré « Pentest » Auditoire 2ème année Mastère Professionnel ASI Enseignante Mme Salsabil Dhouib PECB Certified ISO 27001 Lead Implementer Année Universitaire: 2020-2021 Objectifs du cours 2  Acquérir une méthodologie pour organiser un test de pénétration  Rédiger un rapport final suite à un test d’intrusion  Formuler des recommandations de sécurité Méthodes pédagogiques 3 Après deux premières séances dédiées aux rappels et à la présentation de l’environnement, les séances suivantes seront consacrées à la réalisation des tests d’intrusion en situation réelle. Prérequis 4 Bonnes connaissances de la sécurité informatique (matériel, architectures réseau, architectures applicatives) Contexte 5 Les systèmes d’informations (SI) sont régulièrement attaqués par des « pirates » ou « hackers mal intentionnés », et ce pour différentes raisons (économiques, politiques, etc.). Pour pallier ces cyberattaques, les infrastructures informatiques doivent être testées en passant par des tests d’intrusions pour s’assurer du bon niveau de sécurité. Plan du cours 6 Chapitre 1: Préparer un test d’intrusion  C’est quoi un test d’intrusion (ou pentest) ?  Un pentest vs un audit de sécurité  C’est quoi un scan de vulnérabilités ?  Maîtriser les différents types de tests  Découvrir les systèmes d’exploitation adaptés  Configurer l’environnement LAB  Préparer le pentest  Quiz: Préparer un test d’intrusion TP 1: Expliquer le déroulement d’un test d’intrusion TP 2: Réaliser un protocole d’audit Plan du cours 7 Chapitre 2: Réaliser un test d’intrusion  Maîtrisez les attaques les plus courantes  Prévenez-vous des attaques plus complexes  Scannez les vulnérabilités d’un système  Testez le système cible avec des méthodes simples  Testez le système cible avec des méthodes complexes  Entraînez-vous à mener un test d’intrusion TP 3: Réaliser un rapport qualifié de scan de vulnérabilités Chapitre 3: Rédiger un rapport de test d’intrusion  Proposer et inventorier les mesures correctives  Rédiger un rapport de test d’intrusion  Présenter un rapport de test d’intrusion  Quiz: Rédiger un rapport de test d’intrusion Chapitre 1: Préparer un test d’intrusion 8  C’est quoi un test d’intrusion (ou pentest) ?  Un pentest vs un audit de sécurité  C’est quoi un scan de vulnérabilités ?  Maîtriser les différents types de tests  Découvrir les systèmes d’exploitation adaptés  Configurer l’environnement LAB  Préparer le pentest  Quiz: Préparer un test d’intrusion Chapitre 1: Préparer un test d’intrusion 1. C’est quoi un test d’intrusion ? (ou pentest)? 9 a. Un pentest, c’est quoi? 10  Un test d’intrusion, ou test de pénétration, ou encore pentest, est une méthode qui consiste à analyser une cible dans la peau d’un attaquant (connu aussi sous le nom d’un hacker malveillant ou pirate. Cette cible peut être:  une IP,  une application,  un serveur web,  ou un réseau complet.  Le test d’intrusion est donc une photographie à l’instant T de cette cible. Il ne doit donc pas être confondu avec le scan de vulnérabilités. b. Un pentest vs un audit de sécurité 11  Contrairement à ce que certains pensent, le test d’intrusion n’est pas un audit de sécurité. Brièvement, l’audit permet d’établir un panorama de la sécurité d’un système d’information, mais, il ne va pas tester la réalité et l’exploitabilité de chaque vulnérabilité.  Un audit de sécurité se concentre plutôt sur la sécurité fonctionnelle , opérationnelle et plus généralement la politique de sécurité du système d’information (PSSI) mise en place. D’un autre côté, le test d’intrusion est plus technique et pratique. Il va révéler par exemple, une application non à jour ou encore un port ouvert par erreur dans le firewall. c. C’est quoi un scan de vulnérabilité ? 12  Le scan de vulnérabilité est une composante du test d’intrusion, c’est-à-dire une sous-partie.  Le test d’intrusion est donc une photographie à l’instant C’est plus précisément un scan (comme son nom l’indique) de la cible qui permet d’énumérer les vulnérabilités, sans tenter de les qualifier ou de vérifier si elles sont exploitables, d. Un test d’intrusion, pour quoi faire ? 13  Depuis plusieurs années, le nombre de cyberattaques double, année après année.  L’intention des pirates est variée, mais les principales motivations sont d’ordre:  économique,  politique  ou juste pour le challenge de l’exercice !  Cela dit, la grande majorité du temps, elle est économique. L’objectif étant de gagner de l’argent à l’insu ou sur le dos des entreprises, comme dans le cas du cheval de Troie « Ruthless » qui vole les numéros de cartes bancaires et accès aux comptes bancaires. d. Mais pourquoi faire des tests d’intrusion ? 14  Les objectifs sont clairs: identifier les vulnérabilités de son SI ou de son application évaluer le degré de risque de chaque faille identifiée proposer des correctifs de manière priorisée  Grâce au test d’intrusion, nous pouvons qualifier: la sévérité de la vulnérabilité, la complexité de la correction, et l’ordre de priorité qu’il faut donner aux corrections,  Le but n’est pas malveillant, mais il est de s’assurer que ces vulnérabilités sont bien réelles. d. Mais pourquoi faire des tests d’intrusion ? 15  Par exemple, aujourd’hui certaines entreprises ont encore des vulnérabilités dans leurs réseaux permettant aux rançongiciels de se propager. Un rançongiciel (ransomeware en anglais), c’est un logiciel malveillant qui prend en « otage » les données personnelles et qui les restitue uniquement contre le versement d’une « rançon »,  Un test d’intrusion permet d’en prendre conscience et de prioriser les corrections. Sinon la vulnérabilité risque de rester dans le système jusqu’à son exploitation malveillante. Une récente étude a établi que dans le monde, une entreprise se fait attaquer, en moyenne, toute les 40 secondes par un rançongiciel. e. Quand faire ce test ? 16  Afin de sécuriser l’infrastructure ou l’application, les tests d’intrusion peuvent être faits à différents moments: lors de la conception du projet, afin d’anticiper les éventuelles attaques, pendant la phase d’utilisation, à intervalle régulier, suite à une cyberattaque pour qu’elle ne se reproduise pas.  La conduite d’un test d’intrusion est à l’initiative de l’entreprise qui veut se tester.  Le test d’intrusion peut se faire de l’extérieur (test d’intrusion externe). Ce test d’intrusion pourra être réalisé de n’importe quelle connexion Internet.  Le test d’intrusion peut également se faire de l’intérieur de l’infrastructure (test d’intrusion interne). Dans ce cas, le test sera opéré sur le LAN (réseau interne de l’entreprise). d. Qui le fait ? 17  Un expert en cybersécurité ou encore appelé pentesteur.  Pour devenir pentesteur, il faut avoir une large maîtrise des systèmes et réseaux, car le monde de la sécurité est transversal. Il faut connaître les différents matériels et technologies sur le marché pour pouvoir comprendre et exploiter les vulnérabilités qui y sont présentes. En résumé 18 Un test d’intrusion est un test pour vérifier et identifier les types de vulnérabilités ou d’attaques d’un SI (infrastructure, application…). Il est plus rapide et efficace qu’un audit de sécurité. Il donne également des résultats plus pertinents qu’un scan de vulnérabilité. Les tests d’intrusions peuvent être faits depuis l’infrastructure elle-même ou via Internet. Les professionnels du domaine sont appelés des experts en cybersécurité expérimentés ou des pentesteurs. Chapitre 1: Préparer un test d’intrusion 2. Maîtriser les différents types de tests 19 a. Les 2 types de tests d’intrusion 20  Externe Sur ce type d’intrusion, l’attaquant ou le pentesteur dans notre cas, est placé sur Internet. Il est donc dans la situation ou un pirate tenterait de pénétrer dans l’entreprise à partir de l’extérieur. L’adresse IP publique de la connexion Internet du pentesteur et l’adresse IP publique de la connexion Internet de l’entreprise sont utilisées dans ce scénario.  Interne A l’inverse, dans ce cas-là, le pentesteur est sur le réseau interne de l’entreprise. Il est dans la situation d’une personne malveillante interne. Par exemple, cela peut être le cas d’un prestataire qui a accès physiquement au bureau de l’entreprise comme un technicien télécom, un électricien, etc. C’est également le cas d’un employé malveillant, par exemple pour de l’espionnage industriel ou par vengeance. L’employé peut également être inconscient des risques, et cliquer sur une pièce jointe infectée ou communiquer des identifiants. Enfin, on peut également imaginer un pirate ayant la possibilité de s’introduire physiquement dans l’entreprise et de se retrouver dans un de ces scénarios. b. Conditions du test 21  En fonction du niveau de connaissance du pentesteur, trois qualificatifs différents sont utilisés pour identifier les tests d’intrusion: La boîte noire La boîte grise La boîte blanche Boîte noire 22  Dans ce cas, le pentesteur n’a aucune information sur le réseau cible au début du test et ne connaît aucun nom d’utilisateur ni mot de passe.  Il s’agit dans un premier temps de rechercher des informations sur: L’entreprise, Les employés, Connaître la situation géographique, Les informations générales, Le fournisseur d’accès à Internet, Et toutes autres données pour rassembler un maximum d’informations qui pourraient aider à trouver des vulnérabilités.  Nous sommes là dans le scénario d’un uploads/Ingenierie_Lourd/ cours-integre-pentest-11-12-2020-2 1 .pdf