Hacking-Ethique-Pentesting

From aldeid
Jump to navigation Jump to search
This article needs to be translated
This article has been copied from the old wiki and is in french. It needs to be translated into english. If you wish to participate, please send a mail to (click to reveal email)

Hacking éthique (pentesting)

Définition

Le hacking éthique ("ethical hacking" en anglais) décrit le métier du pentester (contraction de "penetration tester"). Il s'agit, pour une entreprise, de s'assurer du niveau de sécurité de son Système d'Informations. Pour ce faire, elle fait appel à des sociétés de sécurité qui réalisent les mêmes actions que les attaquants potentiels, afin de prendre conscience des vulnérabilités de son Système, et de combler les failles découvertes. Comme la sécurité absolue n'existe pas, il est nécessaire que des personnes de confiance testent le Système d'Informations et en corrige les vulnérabilités, avant que ces dernières soient exploitées par des personnes ayant des buts bien moins éthiques.

Les familles d'attaquants

Il ne faut pas confondre les personnes suivantes car leurs motivations sont différentes :

  • Le hacker appartient à la famille des "white hats". Les hackers cherchent à mettre en évidence des vulnérabilités sur des systèmes et les communiquent afin qu'elles soient corrigées.
  • Les crackers ("black hats"), souvent qualifiés de "pirates", cherchent quant à eux à exploiter des failles référencées (failles connues, 0-day exploits) ou non, à des fins de sabotage (défacage de site, vol d'informations, etc.). Le terme cracker est la contraction de criminal hacker.
  • Le pentester est un professionnel de la sécurité qui agit dans le cadre d'une prestation de sécurité commandée par une entreprise. Ses actions sont donc limitées (il n'effectuera par exemple pas d'actions destructives tels que des DoS)

Les familles d'audit

On distingue les types d'audit suivants :

  • Audit dit "blackbox" (boîte noire) : l'entreprise auditée ne fournit aucun renseignement sur son Système d'Informations (architecture, cartographie des serveurs, système de détection des intrusions, etc.). Il s'agit d'une mise en situation réelle d'un crackeur. Les questions auxquelles l'entreprise auditée souhaite des réponses sont les suivantes : "avez-vous réussi à pénétrer?", "Comment y êtes-vous parvenus?", "Les Systèmes de Détection d'Intrusions ont-ils détecté les attaques?", etc.
  • Audit dit "whitebox" (boîte blanche) : l'entreprise auditée fournit des renseignements à l'équipe de pentesters, et les attaques sont limitées (liste d'adresses IP, etc.). Cet audit permet entre autres de vérifier l'exactitude des renseignements fournis.
  • Audit dit "graybox" (boîte grise) : permet de mettre en évidence les dangers venant de l'intérieur de l'entreprise. En effet, la plupart des menaces proviennent des employés eux-même.

Les tests peuvent être de différentes natures :

  • tests de vulnérabilité
  • tests de pénétration
  • évaluation du réseau
  • exercice d'alerte
  • évaluation des vulnérabillités postes clients
  • hacking éthique
  • ...

Stratégies d'audit

Il existe plusieurs stratégies pour procéder à un audit :

Strategie Type d'audit Equipes IT
prévenues
Informations
fournies par
équipes IT
Caractéristiques
Stratégie Aveugle
(Blind Strategy)
Boîte noire oui non
  • Utilisation des méthodologies de crackers
  • Coût élevé, temps nécessaire important
Stratégie Double Aveugle
(Double Blind Strategy)
Boîte noire non non
  • Permet de tester la réactivité des équipes IT à la détection d'une attaque
  • Coût elevé, temps nécessaire important
Stratégie Boîte Grise
(Gray Box Strategy)
Boîte noire
Boîte blanche
oui limité
  • Equipes IT informées à l'avance des scenarii de tests
  • Test de la cible dans un cadre de surveillance aléatoire
Stratégie Double Boîte Grise
(Double Gray Box Strategy)
Boîte noire
Boîte blanche
oui limité
  • Equipes IT informées à l'avance des champ d'actions et des dates de tests, mais pas des scenarii de tests
  • Test de la cible dans un cadre de surveillance incertain
Stratégie Tandem
(Tandem Strategy)
Boîte blanche oui, travail en équipe avec les pentesters oui
  • Permet de tester les contrôles et le niveau de protection de la cible
  • Scenarii orientés donc limités
  • Ne permet pas d'évaluer le comportement de la cible
Stratégie Inversée
(Reversal Strategy)
Boîte blanche non oui
  • Permet de tester la réactivité des équipes IT face aux attaques

Méthodologies et Outils

Méthodologies

Les pentesters suivent des méthodologies référencées :

Outils

Des outils de reporting sont utilisés par les pentesters afin de répertoriés les incidents détectés :