Les organisations ou entreprises, face aux cyberattaques, ont mis en place de nombreuses politiques de sécurité web pour se protéger contre les attaques de pirates. Cependant comment s’assurer que ces mesures sont efficaces ? Pour le savoir, nos équipes vous aident à évaluer et renforcer le niveau de sécurité de vos plateformes web en réalisant un test d’intrusion web, encore appelé Pentest Web, de l’ensemble de vos services exposés.
Découvrez, en complément, les différents types de Pentest.
L’objectif d’un pentest de site web
Nombreuses sont les entreprises qui emploient des équipes de développeurs pas toujours formés aux bonnes pratiques de sécurité. Un manquement qui est à l’origine de nombreuses attaques web de hackers sur leurs plateformes. L’objectif d’un pentest de site web est donc d’évaluer le niveau de sécurité des :
- serveurs web,
- serveur de base de données,
- applications front/back offices,
- web services et APIs.
Le résultat de ce test d’intrusion web permettra aux équipes de développeurs de corriger les différentes failles de sécurité identifiées.
Périmètre d’action de nos équipes
Le périmètre d’un Pentest web dépend entièrement de l’objectif à atteindre, raison pour laquelle il est important avant de se lancer, de répondre à un certain nombre de questions, à savoir :
- S’il faut faire un test d’intrusion serveur web et de bases de données, ou prioriser un test d’intrusion d’application web, APIS, site internet etc.
- Traiter les menaces en fonction de leur niveau de criticité, ou les inspecter dans leur ensemble.
- À quels moments les pentesters devront-ils agir ? Avant ou après le départ des employés ?
- L’ingénierie sociale (contact avec les collaborateurs) est-elle autorisée ?
- Quelles sont les limites des auditeurs techniques ? Quels accès leur seront interdits ? Il faut savoir que plus le niveau d’autonomie des nos pentesters est grand, plus les résultats sont intéressants.
Déroulement d’un pentest de site web
Après avoir délimité le périmètre du pentest, nos auditeurs techniques ont une idée claire des objectifs à atteindre à la fin de l’audit, et des besoins spécifiques du client. La prochaine étape est la création des conditions techniques, avec la définition des dates, du cadrage de la cible, et la mise en place des comptes test. Durant le pentest, l’équipe d’auditeurs techniques travaille en collaboration avec le service responsable de la plateforme à inspecter, et une fois l’audit terminé nos pentesters livrent un rapport détaillé de leur travail.
Méthodologie du Pentest
Le Pentest BlackBox :
Nos pentesters se mettent à la place d’un hacker, et lancent avec peu ou pas d’informations sur les plateformes plusieurs attaques web « éthiques », afin de tester leur niveau de sécurité. Le pentest BlackBox est un moyen utile pour mettre en place des scénarios en cas d’attaque venant de l’extérieur de l’entreprise.
Le Pentest WhiteBox :
Nos équipes travaillent en communion avec les responsables des plateformes web. Disposant des privilèges élevés, elles peuvent donc aisément évaluer en profondeur le niveau de sécurité web des applications et serveurs web afin de détecter d’éventuelles vulnérabilités.
Le Pentest GreyBox :
Cette stratégie est une combinaison du BlackBox et du WhiteBox. Méthodologie très utilisée par nos pentesters, elle donne la possibilité de simuler des tests d’intrusion externe comme interne, avec des attaques venant d’un collaborateur de l’entreprise, ou d’un prestataire externe.
Pentest de serveur web
Les tests d’intrusion sur les serveurs web reposent essentiellement sur la détection et l’exploitation des pages web, des serveurs PHP / ASP, des serveurs de base de données SQL / MYSQL / ORACLE, des adresses IP, des périphériques réseaux et des services tels : FTP, SSH, mail, web, …
Les types de faille les plus répandues sont :
- Failles liées à la mauvaise configuration des serveurs web, et bases de données
- Les logiciels non à jour (antivirus…), et les systèmes de défense défaillants (Firewall, pare-feu, système de détection IPS/IDS).
- Les ports des serveurs ouverts et non sécurisés
- Vulnérabilités liées à l’architecture logicielle des systèmes d’exploitation installés sur les serveurs
Test d’intrusion de la Couche applicative
Le pentest de la couche applicative est le plus important de l’audit. Nous recherchons les failles logiques (workflow) liées au peu de rigueur des développeurs dans les étapes de conception de l’application, et les failles techniques.
Les failles les plus connues sont :
- Injection des requêtes SQL dans la base de données
- Failles liées au vol des sessions et mots de passe
- Cross-Site Scripting (XSS) : injection d’un script malveillant dans le code d’une page web
- Failles liées aux droits d’accès utilisateur
- L’envoi des requêtes à l’insu d’un utilisateur
- L’exposition des données sensibles (mot de passe, données personnelles, carte de paiement)
Les attaques Web
À partir des failles identifiées, tant au niveau des serveurs que de la couche applicative, différentes attaques web seront alors réalisées afin de franchir le premier niveau de sécurité, et ainsi pénétrer le Système d’Information.
Les types d’attaques web sont nombreux et variés, voici une sélection des plus répandues.
Quelques exemple d’attaque Web :
Le phishing, ou hameçonnage
C’est une attaque par email très utilisée pour des usurpations d’identité. Plusieurs personnes choisies au hasard ou un groupe de personnes ciblées reçoivent un email contenant des malwares pouvant être transmis sous forme de pièce jointe, ou des liens les redirigeant vers des pages web factices.
Les failles d’injection
Cette faille permet l’injection des requêtes SQL dans la base de données d’une application ou d’un site web. Plusieurs types d’injection sont possibles : requêtes, logs, HTML, XPATH etc. Avec cette vulnérabilité un hacker peut voler vos données, prendre le contrôle de votre système, ou encore causer un déni de service.
Attaque par déni de service
C’est une attaque web dont le but est de rendre un service indisponible afin d’empêcher ses utilisateurs de l’exploiter. Ce type d’attaque prend les formes suivantes :
- L’inondation du réseau par un flux important de requêtes
- La perturbation de la connexion entre les machines, rendant les services indisponibles
Server Side Request Forgery – SSRF
Cette faille permet à un hacker de compromettre les fonctionnalités d’un serveur web, afin d’y accéder pour manipuler les informations qu’il contient. Le hacker utilise un serveur cible comme proxy pour attaquer des cibles intérieures et extérieures.
Les outils du Pentest site web
Afin de tester et d’évaluer la sécurité de vos services web, nous utilisons de nombreux outils de Pentest.
- La reconnaissance : c’est l’étape de cadrage de la cible, avec la collecte de données : sublist3r, whois, dig, knockpy, EmailHarvester.
- La cartographie : elle permet d’identifier les actifs et d’évaluer leur niveau de criticité : Nmap, Nessus ou OpenVas.
- La recherche des vulnérabilités : c’est la phase d’identification des menaces, des faiblesses : le site CVEdetails.com, Nikto, Burp, Owaps Zap, SQLMAP.
Les livrables
Après l’audit fait par nos pentesters, un rapport détaillé est mis à la disposition de l’entreprise, dans lequel sont listés toutes les applications web, web services et infrastructures testées, et les éventuelles vulnérabilités qui ont été trouvées. Ce rapport technique sera remis par nos équipes aux développeurs de l’entreprise afin de leur permettre de résoudre les incidents.
Les résultats des tests sont documentés et la vraisemblance déterminée. Nous détaillons précisément ce qui a été testé et trouvé, et les développeurs pourront ensuite s’en servir pour corriger les failles. Dans ce rapport, il est mentionné en détail :
- Le type de failles auxquelles les applications web, le site web, les serveurs web sont exposés et la façon dont elles ont été exploitées durant le pentest.
- Comment ces vulnérabilités pourraient affecter la sécurité web de l’entreprise et de quelle manière les hackers pourraient s’en servir.
- Pour finir un plan correctif est proposé afin de permettre aux développeurs d’y remédier.
Pour conclure, les failles de sécurité Web constituent le plus souvent le premier vecteur d’attaque du Système d’Information. Il est donc capital de s’assurer régulièrement du niveau de sécurité de ce dernier.
Nos équipes d’experts en sécurité et test d’intrusion se tiennent à votre disposition pour vous apporter un complément d’information ainsi qu’un accompagnement personnalisé.
Vous pourriez également être intéressé par les articles suivants :
Pentest d’ingénierie sociale
On dit souvent en parlant de la sécurité que la principale faiblesse vient de l’être humain. Cela est vrai également lorsqu’il s’agit de sécurité informatique.
Pentest Internet des objets – Test d’intrusion IoT
Les entreprises sont conscientes de l’importance de la sécurité de leur système d’information et investissent pour l’améliorer, notamment à l’aide de différents types de tests
Test d’intrusion applicatif
Les applications informatiques sont nombreuses au sein d’une entreprise. Qu’elles soient externes, comme des sites web accessibles au public ou des applications mobiles, ou internes,
Test d’intrusion environnement Cloud
Amazon Web Service (AWS), Microsoft Azure et Google Cloud sont sans doute les plus connus. Les offres d’hébergement cloud sont désormais suffisamment matures pour que
Test d’intrusion Réseau Externe
Les entreprises sont très exposées via les outils numériques. Pour exister, il faut être vu et les sites web ainsi que les nombreux réseaux sociaux
Test d’intrusion Réseau Interne
Lorsque l’on pense « sécurité informatique » et cyberattaque, on a souvent l’image du pirate qui opère depuis un lieu tenu secret. Mais le risque
Test d’intrusion Réseau Sans Fil – Wifi
Si beaucoup d’immeubles sont câblés et disposent d’un réseau filaire efficace, les points d’accès Wifi se multiplient malgré tout en entreprise. Pratique, facile à installer