Hacking éthique (pentesting)
Définition
Le hacking éthique ("ethical hacking" en anglais) décrit le métier du pentester (contraction de "penetration tester"). Il s'agit, pour une entreprise, de s'assurer du niveau de sécurité de son Système d'Informations. Pour ce faire, elle fait appel à des sociétés de sécurité qui réalisent les mêmes actions que les attaquants potentiels, afin de prendre conscience des vulnérabilités de son Système, et de combler les failles découvertes.
Comme la sécurité absolue n'existe pas, il est nécessaire que des personnes de confiance testent le Système d'Informations et en corrige les vulnérabilités, avant que ces dernières soient exploitées par des personnes ayant des buts bien moins éthiques.
Les familles d'attaquants
Il ne faut pas confondre les personnes suivantes car leurs motivations sont différentes :
- Le hacker appartient à la famille des "white hats". Les hackers cherchent à mettre en évidence des vulnérabilités sur des systèmes et les communiquent afin qu'elles soient corrigées.
- Les crackers ("black hats"), souvent qualifiés de "pirates", cherchent quant à eux à exploiter des failles référencées (failles connues, 0-day exploits) ou non, à des fins de sabotage (défacage de site, vol d'informations, etc.). Le terme cracker est la contraction de criminal hacker.
- Le pentester est un professionnel de la sécurité qui agit dans le cadre d'une prestation de sécurité commandée par une entreprise. Ses actions sont donc limitées (il n'effectuera par exemple pas d'actions destructives tels que des DoS)
Les familles d'audit
On distingue les types d'audit suivants :
- Audit dit "blackbox" (boîte noire) : l'entreprise auditée ne fournit aucun renseignement sur son Système d'Informations (architecture, cartographie des serveurs, système de détection des intrusions, etc.). Il s'agit d'une mise en situation réelle d'un crackeur. Les questions auxquelles l'entreprise auditée souhaite des réponses sont les suivantes : "avez-vous réussi à pénétrer?", "Comment y êtes-vous parvenus?", "Les Systèmes de Détection d'Intrusions ont-ils détecté les attaques?", etc.
- Audit dit "whitebox" (boîte blanche) : l'entreprise auditée fournit des renseignements à l'équipe de pentesters, et les attaques sont limitées (liste d'adresses IP, etc.). Cet audit permet entre autres de vérifier l'exactitude des renseignements fournis.
- Audit dit "graybox" (boîte grise) : permet de mettre en évidence les dangers venant de l'intérieur de l'entreprise. En effet, la plupart des menaces proviennent des employés eux-même.
Les tests peuvent être de différentes natures :
- tests de vulnérabilité
- tests de pénétration
- évaluation du réseau
- exercice d'alerte
- évaluation des vulnérabillités postes clients
- hacking éthique
- ...
Stratégies d'audit
Il existe plusieurs stratégies pour procéder à un audit :
| Strategie
| Type d'audit
| Equipes IT
prévenues
| Informations
fournies par
équipes IT
| Caractéristiques
|
Stratégie Aveugle
(Blind Strategy)
| Boîte noire
| oui
| non
|
- Utilisation des méthodologies de crackers
- Coût élevé, temps nécessaire important
|
Stratégie Double Aveugle
(Double Blind Strategy)
| Boîte noire
| non
| non
|
- Permet de tester la réactivité des équipes IT à la détection d'une attaque
- Coût elevé, temps nécessaire important
|
Stratégie Boîte Grise
(Gray Box Strategy)
| Boîte noire
Boîte blanche
| oui
| limité
|
- Equipes IT informées à l'avance des scenarii de tests
- Test de la cible dans un cadre de surveillance aléatoire
|
Stratégie Double Boîte Grise
(Double Gray Box Strategy)
| Boîte noire
Boîte blanche
| oui
| limité
|
- Equipes IT informées à l'avance des champ d'actions et des dates de tests, mais pas des scenarii de tests
- Test de la cible dans un cadre de surveillance incertain
|
Stratégie Tandem
(Tandem Strategy)
| Boîte blanche
| oui, travail en équipe avec les pentesters
| oui
|
- Permet de tester les contrôles et le niveau de protection de la cible
- Scenarii orientés donc limités
- Ne permet pas d'évaluer le comportement de la cible
|
Stratégie Inversée
(Reversal Strategy)
| Boîte blanche
| non
| oui
|
- Permet de tester la réactivité des équipes IT face aux attaques
|
Méthodologies et Outils
Méthodologies
Les pentesters suivent des méthodologies référencées :
Outils
Des outils de reporting sont utilisés par les pentesters afin de répertoriés les incidents détectés :
