Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

LE PENTEST ETUDIANTS ASAOUA Sodiq ASSI Arlette Audrey TACKA Walter Michael TABL

LE PENTEST ETUDIANTS ASAOUA Sodiq ASSI Arlette Audrey TACKA Walter Michael TABLES DES MATIERES TABLES DES MATIERES ................................................................................................. 0 INTRODUCTION ................................................................................................................ 2 PARTIE I : CADRE THEORIQUE ..................................................................................... 3 I. DEFINITION DE TERMES CLES : ........................................................................ 4 1. Les hacker black hat ............................................................................................... 4 2.Les hacker white hat .............................................................................................. 4 3. Les hacker grey hat ................................................................................................ 4 4. Un pentester ........................................................................................................... 4 5. Audit de sécurité .................................................................................................... 4 II. Objectifs du pentester ................................................................................................ 5 III. LES TYPES DE PENTEST ................................................................................... 5 1. Le pentest en boite blanche .................................................................................... 5 2. Le pentest en boite grise (grey box) ....................................................................... 6 3. Le pentest en boite noire ........................................................................................ 6 IV. STRATEGIE DE PENTEST ................................................................................. 6 V. LA METHODOLOGIE OU LES ETAPES DE PENTEST ...................................... 7 1. PTES (Penetration Testing Execution Standard) ................................................... 7 2. OWASP Testing Guide .......................................................................................... 8 3. OSSTM (Open Source Security Testing Methodology Manual) ........................... 8 Partie 2 : Cadre pratique .....................................................................................................10 I. Phase de reconnaissance ..........................................................................................11 II. Phase de Scan ..........................................................................................................11 III. Exploitation ..........................................................................................................12 IV. Postexploitation et maintien d’accès ....................................................................14 CONCLUSION ..................................................................................................................15 1 INTRODUCTION Le système d’information définit l’ensemble des données et des ressources (matérielles, logicielles et humaines) permettant de stocker et de faire circuler les informations qu’il contient. Depuis les années 1970, les systèmes d’information se sont multipliés et ont pris de plus en plus d’importance, permettant un accès de plus en plus rapide à de plus en plus d’informations. Une réelle avancée technologique dans un monde où tout doit aller si vite, mais un véritable problème de fond en ce qui concerne la sécurité des données et la vie de chacun (y compris les entreprises). Les entreprises sont de plus en plus victimes de piratage informatique, mettant en péril non seulement leurs données, mais aussi la sécurité de l’entreprise. Afin de mieux se protéger de ses attaquants, certaines entreprises utilisent le pentest ou test d’intrusion qui est une méthode d’évaluation de la sécurité d’un système d’information. Le but est de trouver des vulnérabilités exploitables en vue de proposer un plan de contre-mesures destiné à améliorer la sécurité du système ciblé. Tout au long de notre analyse, nous scinderons notre travail en deux parties : l’une qui présentera un cadre théorique et l’autre qui présentera un cas pratique. 2 PARTIE I : CADRE THEORIQUE 3 I. DEFINITION DE TERMES CLES : 1. Les hacker black hat Les hacker black hat désignent généralement dans le domaine de l’informatique les hackers révoltés contre le système, qui frôlent les limites de la loi ou les dépassent carrément. Ils pénètrent par effraction dans les systèmes, dans un intérêt qui n’est pas celui des propriétaires du réseau ou du système, mais plutôt personnel voire financier. 2. Les hacker white hat Les hacker white hat : l’informaticien qui utilise ses connaissances de la sécurité informatique pour en rechercher et en exploiter les failles. Ils ont pour ambition d’aider à la sécurisation du système sans en tirer profit de manière illicite. Ils bidouillent les systèmes pour découvrir les vulnérabilités pas encore connues ou non publiées. 3. Les hacker grey hat Les Hacker grey hat sont des hackers hybrides du chapeau noir et du chapeau blanc. Il s’agit d’un hacker compétent qui agit parfois avec l’esprit d’un white hat mais avec une philosophie de divulgation différente. Son intention n’est pas forcement mauvaise même s’il commet cependant occasionnellement un délit. 4. Un pentester Un pentester : un hacker ayant décidé de faire un métier de sa passion et d’en vivre 5. Audit de sécurité Un audit de sécurité est plus large qu’un test d’intrusion, lors d’un audit de sécurité, nous allons vérifier la sécurité organisationnelle, le PRA/PCA, DLP (Data Loss Prevention), la conformité par rapport aux exigences d’une norme (exemple : PCI DSS) ou un référentiel, et également procéder à un audit des configurations, audit de codes, et enfin effectuer une analyse des risques (EBIOS, MEHARI, MARION). L’audit de sécurité s’effectue en plusieurs phases, dont le test d’intrusion. 4 II. Objectifs du pentester Le pentester vise plusieurs objectifs lors de son test d’intrusion à savoir : ✓ Lister un ensemble d’informations, trouvées d’une manière ou d’une autre, et qui peuvent être sensibles ou critiques ✓ Dresser une liste des vulnérabilités ou faiblesses du système de sécurité pouvant être exploitées ✓ Démontrer qu’un attaquant potentiel est en capacité de trouver des vulnérabilités et de les exploiter pour s’introduire dans le système d’information. Au-delà des vulnérabilités sans relations entre elles, une réelle démarche vise à relever la présence d’un plan d’action amenant de la position d’un attaquant externe à la prise de contrôle du SI ou la possibilité d’y effectuer des actions (espionnage, sabotage, etc.) ✓ Tester l’efficacité des systèmes de détections d’intrusion et la réactivité de l’équipe de sécurité, et parfois des utilisateurs (ingénierie sociale) ✓ Effectuer un reporting et une présentation finale de son avancement et de ses découvertes au client ✓ Donner des pistes et conseiller sur les méthodes de résolution et de correction des vulnérabilités découvertes. III. LES TYPES DE PENTEST Nous en avons essentiellement trois (3) types : le pentest en boite blanche, le pentest en boite grise (gray box), le pentest en boite noire (black box) 1. Le pentest en boite blanche Le pentest en white box ou boite blanche : les pentesters disposent du maximum d’informations techniques avant de démarrer l’analyse. De ce fait, il est de son devoir de tester chaque service, de vérifier sa configuration, ses vulnérabilités éventuelles et de faire un tour complet pour en assurer l’étanchéité. Le but ici est d’évaluer les risques potentiels en toute connaissance du système et également de vérifier que le système sera apte à redémarrer sans perte d’informations même si une attaque a tout de même lieu. 5 2. Le pentest en boite grise (gray box) Le pentest en grey box ou boite grise : le consultant ne possède qu’une quantité limite d’informations. Cela va ouvrir d’autres portes sans pour autant donner toutes les informations. Cet audit permettra d’aller un peu loin dans le test et de parcourir d’autre domaine. Les pentesters disposent des connaissances d’un utilisateur standard du système d’information 3. Le pentest en boite noire Le pentest en Black box ou boite noire : c’est la méthode la plus réaliste car elle correspond à une situation réelle. Dans ce cas, l’hacker qui vient tester le système ne dispose généralement d’aucune information. Il va s’agir comme le ferait un attaquant, en testant tour à tour les différentes portes à la recherche d’une vulnérabilité à exploiter. Il peut être diriger vers quelques vulnérabilités probables à tester de manières plus approfondies mais ne sera pas plus informé qu’un hacker externe. Ces tests à l’aveugle ont pour principaux avantages d’être réalistes, plus rapides. Cependant, ils sont moins exhaustifs et ne testent pas la qualité de la configuration du système. IV. STRATEGIE DE PENTEST Pour réaliser un pentest, plusieurs stratégies sont proposées selon le type de pentest souhaité. Nous en avons six (6) à savoir : ➢ Blind Strategy ou stratégie aveugle : qui s’effectue en boite noire et qui consiste à prévenir les administrateurs réseau de la société et à ne fournir aucun renseignement au pentester. ➢ Double Blind Strategy même situation que le pentest en aveugle mais sans prévenir le personnel IT (ingénieurs et techniciens) ➢ Gray Box Strategy les équipes IT sont prévenues des scenarios et fournissent des informations limitées au pentester. ➢ Tandem Strategy : Elle se fait en boite blanche, le pentester travaille en collaboration avec les équipes IT qui lui fournissent toutes les informations. Elle permet de tester les contrôles et le niveau de protection du système cible mais pas son comportement. ➢ La Reversal Strategy ou stratégie inversée : Les équipes IT ne sont pas prévenues mais les informations sur le système sont données. Cette stratégie permet de tester la réactivité des équipes IT face aux attaques. 6 V. LA METHODOLOGIE OU LES ETAPES DE PENTEST Pour la réalisation d’un pentest, le pentester ou l’équipe de pentesters doit suivre une méthodologie référencée. Nous pouvons citer entre autres : 1. PTES (Penetration Testing Execution Standard) Le Penetration Testing Execution Standard (le standard d'exécution de tests d'intrusion) est un standard créé afin de proposer aux entreprises et aux équipes de sécurité une trame commune et un cadre (scope) pour l’exécution d’un pentest. pre Information threat L’analyse des l’exploitation Post- reporting engagement gathering Modeling vulnérabilités Exploitation ➢ Pre-engagement : chaque test d’intrusion débute avant tout par une négociation, une compréhension des besoins clients et pour finir une contractualisation qui met tout cela en forme sur papier. ➢ Information gathering : il s’agit de comprendre la collecte de renseignements/d’informations. ➢ Threat modeling (modélisation de menace) : on va ici chercher à dresser une liste des menaces pour l’entreprise. ➢ Analyse des vulnérabilités : On va ici se servir des informations collectées précédemment pour analyser les systèmes, le personnel et les processus en place afin de rechercher des failles de sécurité et de vulnérabilités exploitables. ➢ L’exploitation : on va chercher à tester les vulnérabilités trouvées dans la phase précédente et à avancer uploads/Management/ audit-et-securite-informatique-d-un-reseau-local-d-entreprise.pdf