Hacking-Ethique-Pentesting
Hacking éthique (pentesting)
Définition
Le hacking éthique ("ethical hacking" en anglais) décrit le métier du pentester (contraction de "penetration tester"). Il s'agit, pour une entreprise, de s'assurer du niveau de sécurité de son Système d'Informations. Pour ce faire, elle fait appel à des sociétés de sécurité qui réalisent les mêmes actions que les attaquants potentiels, afin de prendre conscience des vulnérabilités de son Système, et de combler les failles découvertes. Comme la sécurité absolue n'existe pas, il est nécessaire que des personnes de confiance testent le Système d'Informations et en corrige les vulnérabilités, avant que ces dernières soient exploitées par des personnes ayant des buts bien moins éthiques.
Les familles d'attaquants
Il ne faut pas confondre les personnes suivantes car leurs motivations sont différentes :
- Le hacker appartient à la famille des "white hats". Les hackers cherchent à mettre en évidence des vulnérabilités sur des systèmes et les communiquent afin qu'elles soient corrigées.
- Les crackers ("black hats"), souvent qualifiés de "pirates", cherchent quant à eux à exploiter des failles référencées (failles connues, 0-day exploits) ou non, à des fins de sabotage (défacage de site, vol d'informations, etc.). Le terme cracker est la contraction de criminal hacker.
- Le pentester est un professionnel de la sécurité qui agit dans le cadre d'une prestation de sécurité commandée par une entreprise. Ses actions sont donc limitées (il n'effectuera par exemple pas d'actions destructives tels que des DoS)
Les familles d'audit
On distingue les types d'audit suivants :
- Audit dit "blackbox" (boîte noire) : l'entreprise auditée ne fournit aucun renseignement sur son Système d'Informations (architecture, cartographie des serveurs, système de détection des intrusions, etc.). Il s'agit d'une mise en situation réelle d'un crackeur. Les questions auxquelles l'entreprise auditée souhaite des réponses sont les suivantes : "avez-vous réussi à pénétrer?", "Comment y êtes-vous parvenus?", "Les Systèmes de Détection d'Intrusions ont-ils détecté les attaques?", etc.
- Audit dit "whitebox" (boîte blanche) : l'entreprise auditée fournit des renseignements à l'équipe de pentesters, et les attaques sont limitées (liste d'adresses IP, etc.). Cet audit permet entre autres de vérifier l'exactitude des renseignements fournis.
- Audit dit "graybox" (boîte grise) : permet de mettre en évidence les dangers venant de l'intérieur de l'entreprise. En effet, la plupart des menaces proviennent des employés eux-même.
Les tests peuvent être de différentes natures :
- tests de vulnérabilité
- tests de pénétration
- évaluation du réseau
- exercice d'alerte
- évaluation des vulnérabillités postes clients
- hacking éthique
- ...
Stratégies d'audit
Il existe plusieurs stratégies pour procéder à un audit :
| Strategie | Type d'audit | Equipes IT prévenues |
Informations fournies par équipes IT |
Caractéristiques |
|---|---|---|---|---|
| Stratégie Aveugle (Blind Strategy) |
Boîte noire | oui | non |
|
| Stratégie Double Aveugle (Double Blind Strategy) |
Boîte noire | non | non |
|
| Stratégie Boîte Grise (Gray Box Strategy) |
Boîte noire Boîte blanche |
oui | limité |
|
| Stratégie Double Boîte Grise (Double Gray Box Strategy) |
Boîte noire Boîte blanche |
oui | limité |
|
| Stratégie Tandem (Tandem Strategy) |
Boîte blanche | oui, travail en équipe avec les pentesters | oui |
|
| Stratégie Inversée (Reversal Strategy) |
Boîte blanche | non | oui |
|
Méthodologies et Outils
Méthodologies
Les pentesters suivent des méthodologies référencées :
- OSSTMM (Open Source Security Testing Methodology Manual)
- OWASP (Open Web Application Security Project)
- ...
Outils
Des outils de reporting sont utilisés par les pentesters afin de répertoriés les incidents détectés :