Les tests de pénétration, aussi appelés pentests ou piratage éthique, sont des outils essentiels pour constituer une stratégie de sécurité défensive et offensive au sein d’un réseau informatique. Mais en quoi consistent-ils ? Quels sont les différents types de tests ? Et dans quelle mesure sont-ils essentiels ? Tour d’horizon en 2022.

Qu’est-ce qu’un pentest ?

  Un test de pénétration, ou pentest, est une forme de piratage « désirable », dans le sens où ces attaques sont contrôlées, désirées, et ont pour but d’évaluer la sécurité d’un système informatique. Un test de pénétration n’est pas à confondre avec une évaluation de vulnérabilité, qui, elle, reste purement théorique : un test de pénétration est, en somme, une tentative de piratage de vos systèmes, par des acteurs autorisés à le faire. On trouve parmi les pentests deux grandes catégories : les tests traditionnels, ou manuels, et les tests automatisés.

Y a-t-il différents types de tests de pénétration manuels ?

  On peut ranger ces pentests dans trois grandes catégories :

Les tests dits « boîte noire » (Black Box Testing)

 

Les tests de type black box consistent à attaquer un système ou un réseau sans aucune connaissance préalable de la composition de celui-ci. C’est donc le type de tests qui se rapprochera le plus d’une attaque réelle par un acteur néfaste. Ces tests permettent d’identifier des vulnérabilités exposées, des erreurs de configuration, et même les faiblesses humaines pouvant mener à l’exploitation d’un réseau avec succès. Bien que ces tests soient les plus proches des conditions réelles, ils ont de nombreux inconvénients : puisqu’ils se basent sur un travail de recherche et d’établissement d’hypothèses, il est difficile d’identifier l’intégralité des failles pouvant se cacher au sein d’un réseau. Ce sont aussi, de par leur nature exploratoire, des tests qui peuvent avoir une durée de plusieurs mois, augmentant par conséquent leur coût. Enfin, l’exhaustivité d’un tel type de test de pénétration dépend encore plus de l’expertise du pentester, puisqu’il est fait « à l’aveugle ».

Les tests dits « boîte blanche » (White Box Testing)

  On retrouve à l’opposé des tests black box, les tests en boîte blanche, ou white box. Ici, les pentesters ont accès, généralement, à la description complète du réseau à attaquer, des identifiants de connexion à toutes les parties du réseau, ainsi que, le cas échéant, le code source des applications utilisées au sein du réseau. Ce type de tests est très complet, et permet un gain de temps important dans la simulation d’attaques. En très peu de temps, il est possible d’utiliser de multiples vecteurs d’attaque sur chaque partie du réseau, voire même de créer une copie du réseau pour l’attaquer sans impacter le réseau en production. Ces tests sont plus complets et rapides, mais manquent parfois d’objectivité, puisque certaines vulnérabilités évidentes pourraient prendre le pas sur des vecteurs plus subtils. Aussi, il faut avoir une confiance absolue dans vos pentesters, ceux-ci auront une cartographie complète de votre réseau ainsi que les « clés du royaume ». Il faut noter que, bien que cela reste rare, certaines entreprises de sécurité ont pu voir leurs réseaux infiltrés : la sécurité informatique est une cible mouvante, et n’est jamais infaillible !

Les tests en « boîte grise » (Gray Box Testing)

  Ce type de test combine des aspects des deux types précédents : le client donne aux pentesters des informations limitées sur leur réseau, typiquement des informations de connexion à un équipement du réseau. Ces tests simulent typiquement une « attaque de l’intérieur », ou une attaque extérieure d’un tiers de confiance (qui aurait été, par exemple, attaqué lui-même). Ce type de tests permet de simuler quel type d’accès un utilisateur à privilèges pourrait obtenir grâce à des informations de connexions que vous lui auriez fourni, et est un point tout aussi important qu’une attaque « à l’aveugle ».

Quel test manuel choisir ?

  L’objectif principal d’un pentest est d’identifier, d’évaluer et de protéger les vecteurs d’attaques possibles sur un réseau, un équipement ou un outil métier. Un test black box est le plus rapide à mettre en œuvre : les testeurs n’ont qu’à essayer de pénétrer le système sans aucune connaissance antérieure du réseau. Mais ceux-ci peuvent manquer des vecteurs d’attaques importants ; malgré leur mise en place rapide, un test en boîte noire exhaustif peut être très chronophage, selon la taille de la cible. Les tests en boîtes blanches et grises, eux, réduisent grandement le temps total de l’attaque, mais ont pour inconvénient principal la possibilité que les testeurs, ayant connaissance du réseau, changent leur comportement par rapport à un assaillant réel, et manquent certains vecteurs d’attaques qui pourraient être plus simples à exploiter.

Les tests automatisés

  Il existe également tout un groupe de technologies appelées BAS (Breach and Attack Simulation – Simulation de faille et d’attaque), qui permettent de largement automatiser le travail de recherche de failles. Ce sont des technologies relativement récentes ; celles-ci sont toutefois redoutables, permettant une évaluation en continu des vecteurs d’attaques, et sont un complément incontournable d’une politique de sécurité complète, notamment pour des entreprises soumises au PCI-DSS et au RGPD, où la réponse à une attaque doit être rapide, et les utilisateurs impactés prévenus sous 72h. Les BAS proposent, à travers l’analyse méticuleuse de sondes placées à travers un réseau, un tableau de bord complet montrant les potentiels points faibles d’un réseau, et comment y remédier. Ce sont des outils inestimables dans la surveillance et la remédiation de la sécurité informatique, particulièrement dans le cadre de PCI-DSS, où des tests réguliers sont indispensables à la certification.

Les tests de pénétration, pour quoi faire ?

  Les tests de pénétration manuels sont des outils d’une valeur inestimable pour évaluer la sécurité d’un réseau informatique ou d’une application à un moment donné. Couplés aux tests automatisés, ils forment une ligne de défense passive et active protégeant vos données et celles de vos utilisateurs. En 2020, 15 000 nouvelles vulnérabilités ont été recensées, sur des applications diverses et variées. Le top 30 de ces vulnérabilités est responsable de 98 % des dommages causés aux réseaux et données des entreprises. Qui plus est, le délai moyen de remédiation d’une vulnérabilité est de plus de 200 jours en moyenne en 2021. Récemment, une faille très simple à exploiter dans un outil incroyablement populaire, log4j, a été découverte. L’étendue des dommages de la découverte de cette faille n’a pas encore été évaluée, bien que celle-ci ait déjà été corrigée. Log4j est une librairie incluse dans de nombreux logiciels, et pourrait tout à fait se cacher profondément dans une application métier, ou un outil acquis auprès d’un tiers. Un pentest permettrait dans ce cas de recenser les vecteurs exploitables de votre réseau pour les protéger. De nouvelles failles sont découvertes tous les jours ; c’est donc un processus à répéter régulièrement. Si votre entreprise est soumise aux règles PCI-DSS, les tests de pénétration font partie des requis des audits de sécurité réguliers à réaliser. Une évaluation consciencieuse des vecteurs de vulnérabilité d’un réseau permet d’être plus à même de défendre son réseau, face à un nombre d’attaques grandissante chaque jour. Notre prochain article traitera les enjeux de PCI-DSS, et de l’importance des tests de pénétration dans leur cadre.
Sonema propose une gamme complète de tests de pénétration automatisés et manuels. Depuis plus de 30 ans, nous fournissons à nos clients des services de connectivité, d’hébergement et de sécurité sur-mesure, répondant à leurs besoins les plus exigeants. Pour plus d’informations, contactez-nous.