Pentest avec la méthodologie Black box

Vous souhaitez savoir si le système d’information de votre entreprise est à même de résister à une cyberattaque ? Découvrir les failles de sécurité potentielles et identifier la façon dont elles pourraient être exploitées demande des connaissances et des compétences particulières. Le test d’intrusion black box est sans aucun doute la méthode la plus efficace pour arriver au résultat escompté. (Découvrez les autres méthodes de Pentest Black Box, White Box, Grey Box. ) Le principe est de mener une cyberattaque contre votre entreprise de la manière la plus réaliste possible. Le pentester n’aura alors pas pour objectif de nuire à l’entreprise, mais bien d’identifier les failles dans le système informatique afin de proposer des solutions pour les corriger.

Définition du pentest black box

Le test d’intrusion black box consiste à se mettre dans le rôle d’un hacker ou pirate pour tenter d’exploiter les failles de sécurité du système d’information de l’entreprise. Le test en black box se déroule donc dans des conditions réelles dans le sens où le pentester ne disposera d’aucune information sur l’entreprise, à part son nom bien entendu, au début du test. Il devra donc obtenir par lui-même toutes les informations dont il pourra avoir besoin afin d’identifier les potentielles failles de sécurité informatique de l’entreprise cible. L’un des grands intérêts du black box est donc de tester la sécurité d’un système d’information sans avoir défini préalablement le périmètre de vérification. L’entreprise peut avoir conscience de l’existence de certaines failles et vouloir se concentrer sur ce qu’elle perçoit comme potentiellement vulnérable. C’est louable, mais cela limite forcément l’efficacité des tests. Le pentester black box s’affranchit de ces limites et va donc pouvoir tester l’ensemble du système, ainsi que les réactions des équipes internes face à une cyberattaque.

Le déroulement du test en black box

Le pentest black box ne se limite pas à un audit technique du système d’information de l’entreprise. L’ingénierie sociale est un moyen efficace d’obtenir des informations. En fonction de ce que publient l’entreprise et ses salariés sur le web et sur les réseaux sociaux, il sera possible au pentester de récupérer de précieuses informations. Pour atteindre ses objectifs, tous les coups sont permis (ou presque). Le pentester va pouvoir user de différentes techniques de renseignement, d’infiltration et d’attaque. Son objectif est de déterminer dans quelle mesure l’entreprise est exposée aux risques classiques d’une cyberattaque : intrusion au sein du système d’information, détournement d’informations confidentielles, ralentissement ou arrêt de l’activité, atteinte à l’image de l’entreprise et détournement/extorsion d’argent. Naturellement, le pentester n’a pas les mêmes objectifs qu’un pirate et adopte un comportement éthique. Il va identifier les failles de sécurité, tenter de les exploiter, effacer les traces qu’il aurait pu laisser puis produire un rapport détaillant les actions à mettre en œuvre. Le test d’intrusion black box se décompose en trois grandes phases.

Reconnaissance

Cette première phase consiste pour le pentester à recueillir toutes les informations dont il aura besoin sur l’entreprise. Il va se baser sur les données publiques publiées sur les réseaux sociaux notamment. Les publications de l’entreprise peuvent donner des indications sur son activité, les logiciels utilisés en interne, l’infrastructure… Les publications des employés peuvent également contenir de précieuses informations : poste occupé, qualification, horaires de travail, type de contrôle d’accès… Des données techniques sont également accessibles légalement, comme les sous-domaines enregistrés ou encore les DNS. Des informations concernant un hack précédent ou le hack d’une autre entreprise peuvent également exister et être récupérées et exploitées légalement. Des informations potentiellement utiles ont pu être mises en ligne à la suite de ces précédentes attaques. Enfin, le pentester fera de la reconnaissance active. Il s’agit ici par exemple de scanner les ports ouverts, protégés ou non, de l’entreprise. Cela lui permettra notamment de déterminer les services utilisés et les éventuelles failles de sécurité déjà connues.

Découverte

Lors de cette phase, notre hacker éthique passe à l’action. La phase de reconnaissance lui ayant permis de définir un certain nombre de cibles, il va pouvoir vérifier si elles sont vulnérables. L’identification des versions des serveurs et des langages utilisés va permettre de déterminer s’il s’agit des dernières versions. Si ce n’est pas le cas, peut-être des failles de sécurité sont-elles déjà connues et référencées. Beaucoup de logiciels et d’applications sont installés avec la configuration d’origine ou avec une configuration inadéquate. Des ports ouverts alors qu’ils ne devraient pas ou un mot de passe trop simple sont autant de portes d’entrée possibles. Des outils permettent de scanner automatiquement les sites et serveurs exposés sur Internet, mais ils ont leurs limites. Ils permettent néanmoins de mettre en évidence les failles les plus courantes listées dans le top 10 de l’OWASP. Le pentester effectuera des tests manuels également. Son expérience et ses connaissances lui permettront sans doute de détecter des vulnérabilités qu’un outil automatique ne verrait pas.

Exploitation

Les deux premières phases du test d’intrusion black box ont permis d’établir une liste des vulnérabilités du système d’information de l’entreprise. Le pentester va maintenant essayer d’exploiter ces failles et d’en tirer profit. L’ingénierie sociale ayant permis de repérer des comportements dangereux (du point de vue de la sécurité informatique), le pentester va pouvoir tenter de récupérer des informations et de pénétrer le système grâce à du phishing par exemple. L’exploitation des failles techniques va ensuite permettre de vérifier s’il est possible d’atteindre les objectifs fixés.

Pourquoi préférer une approche black box du pentest ?

L’avantage du pentest black box, c’est qu’il se rapproche le plus possible d’une véritable cyberattaque. Un hacker va tenter de s’introduire dans le système et il va être possible d’observer non seulement les vulnérabilités mais également les réactions de l’équipe en charge de la sécurité informatique. Une confiance sans faille dans le prestataire chargé de réaliser l’opération est primordiale puisqu’il est susceptible d’accéder à des informations confidentielles lors de l’exploitation d’une faille. Le test d’intrusion black box demande du temps cependant. Le pentest durera peut-être plusieurs semaines, voire plusieurs mois. En contrepartie, les tests effectués seront très complets.

En quoi le test d’intrusion black box va-t-il renforcer la sécurité ?

A l’issue du test d’intrusion, le pentester va présenter un rapport complet non seulement sur les failles de sécurité identifiées mais également sur la ou les méthodes utilisées pour arriver à ses fins. Contrairement à un audit de sécurité moins poussé, le rapport présenté ne va pas se contenter d’exposer les problèmes. Il s’agit d’être pragmatique. Le pentester va proposer des mesures concrètes à mettre en place. Elles seront évaluées en termes de gain, de risque et de coût. Les responsables de l’entreprise auront ensuite la charge de procéder à un arbitrage pour la mise en place concrète des solutions qu’ils jugeront prioritaires en fonction du budget disponible. Le pentester d’ailleurs tiendra compte du budget de l’entreprise dans les solutions qu’il préconisera. Une multinationale ne dispose pas des mêmes moyens et n’est pas exposée aux mêmes risques qu’une petite entreprise.

Pourquoi nous confier un audit de sécurité black box ?

Nous mettons notre expertise en matière de sécurité informatique à votre service. Nous élaborons ensemble les conditions de réalisation du pentest black box. Nos experts vous assisteront ensuite pour la mise en place des contre-mesures nécessaires. Vous bénéficierez ainsi d’un accompagnement personnalisé pour le renforcement de votre sécurité informatique. Tous les aspects seront pris en compte, depuis la mise en place de solutions techniques jusqu’à la formation de votre personnel si nécessaire.