Test d’intrusion (Pentest) : les différents types de test

Article

Dans l’un de nos précédents articles, nous avons décortiqué ce qu’est un test de pénétration, aussi appelé test d’intrusion ou pentest en anglais. Après avoir parcouru et défini cette méthode, il s’agit à présent de rentrer plus en profondeur dans la mise en œuvre du pentest. Cet article a pour dessein de vous exposer quels sont les différents types de test que vous pouvez déployer lors d’un test d’intrusion.

Petite piqûre de rappel sur ce qu’est un pentest avant de rentrer dans le vif du sujet

  • Le test d’intrusion existe pour cartographier les faille de sécurité d’un système d’information, d’une application web, application mobile ou d’un logiciel. Le pentest détecte les vulnérabilités ou les éventuelles attaques qui ont eu lieu sur un système.
  • Le test de pénétration (pentest) est beaucoup plus concret qu’un audit de sécurité par exemple. Car il va apporter une liste de recommandations d’actions à mettre en œuvre pour améliorer la sécurité du SI.
  • Le pentest est plus rapide également à mettre en place qu’un audit de sécurité.
  • Le test d’intrusion peut être fait de deux méthodes différentes : soit directement en interne 📥 , depuis le réseau interne de l’organisation, soit depuis l’extérieur 📤 via une connexion internet.
  • La personne qui détient les connaissances pour effectuer un pentest s’appelle un pentesteur.

Rentrons encore plus dans la pratique et examinons ensemble les différents types de tests de pénétration possibles dans le cadre d’un pentest. Nous tâcherons dans un second temps de comprendre de quelle façon sélectionner le type de test.

Comme évoqué précédemment, il y a deux types de test d’intrusion :

  • Le pentest externe.
  • Le pentest interne.

Qu’est-ce que c’est qu’un pentest externe ?

La personne responsable du test s’appelle le pentesteur ou bien l’attaquant. Il s’agit de mettre en test le pentesteur, en le mettant en situation. Ce dernier va agir comme si il était un pirate informatique malveillant. Il va essayer de s’introduire dans le logiciel, l’application ou bien le système d’information cible. Pour ce faire, les adresse IP publiques du pentesteur et de la cible sont utilisées dans ce cas-là.

Qu’est-ce que c’est qu’un pentest interne ?

Dans la mise en pratique d’un pentest interne, le pentesteur est présent dans le réseau interne de l’entreprise. Toujours en position d’attaquant, il va tenter d’attaquer sa cible via le réseau interne directement. En effet, ce type de cas de figure peut représenter une attaque provenant de quelqu’un qui est connecté au système, qui est déjà à l’intérieur du système (un employé par exemple ou toute personne ayant accès au réseau interne).

Dans ces deux cas de test d’intrusion externe et interne, on analyse et on étudie de quelle façon la cible va-t-elle réagir et se comporter.

En effet c’est un point d’attention qu’il ne faut pas oublier et bien prendre en considération, que ce soit de façon volontaire ou non, une personne quelle qu’elle soit qui a accès directement au réseau interne d’une entreprise, représente un risque :

  • Un employé rancunier ou malveillant.
  • Un prestataire quelconque maladroit.
  • Une action imprudente provenant de l’employé qui va insérer une clé USB infectée sur un poste ou bien transmettre un document corrompu, perdre ses mots de passe et tant d’autres choses.

Dans quelles conditions se déroule le test d’intrusion ?

Rentrons encore plus dans le détail en analysant le jargon utilisé par le pentesteur expert : la boîte noire, la boîte grise et la boîte blanche. A quoi peuvent donc bien servir ces surnoms ?

La boîte grise : pentest (test d'intrusion)
La boîte grise : pentest (test d’intrusion)

⬛ Qu’est-ce que boîte noire dans le cadre d’un pentest ?

Quand le pentesteur est en situation de boîte noire cela signifie qu’il ne dispose d’aucune information sur sa cible. Il ne connaît rien de sa cible, ni mots de passe, ni identifiants etc.

Le pentesteur va dans ce type de scénario entamer son travail avec une première étape de recherche approfondie d’informations sur sa cible, telles que, à titre d’exemple :

  • Des informations générales sur l’entreprise, son type, son domaine d’activité, son historique etc.
  • Les employés de l’entreprise, ses partenaires.
  • La localisation géographique du ou des établissements de l’entreprise.

Grossomodo toutes données qui vont permettre de se frayer un chemin vers les vulnérabilités de l’entreprise.

Dans le cas de la boîte noire, le pentesteur endosse le rôle d’un pirate ☠ qui s’introduit dans une organisation qu’il ne connaît pas.

⬜ Qu’est-ce que boîte grise dans le cadre d’un pentest ?

Le pentesteur détient très peu informations au départ, en amont de son test. Envisager le scénario d’une boîte grise peut permettre au pentesteur d’aller plus vite et de plus orienter son travail sur l’analyse à l’intérieur du système.

Le pentesteur peut avoir à sa connaissance un identifiant et un mot de passe par exemple, ce qui va l’aider à démarrer son test dans le concret promptement.

Dans ce type de scénario, le pentesteur détient le rôle d’un utilisateur lambda qui est déjà à l’intérieur de l’entreprise cible.

Qu’est-ce que boîte blanche dans le cadre d’un pentest ?

Dans le cadre d’une boîte blanche, le pentesteur est à la place d’un administrateur du système ou administrateur réseaux de l’organisation. Le pentester possèdent de nombreuses informations sur l’entreprise, comme par exemple : de la documentation sur l’architecture du réseau, des comptes utilisateurs pour s’authentifier, le code source du logiciel…

La boîte blanche confère l’avantage d’aller extraire de façon la plus complète et approfondie possible toutes les failles du logiciel ou du SI.

Comment choisir entre la boîte noire, grise ou blanche ?

Un test de pénétration effectué en boîte noire, grise ou blanche ne donnera pas les mêmes résultats et conclusions. Le type de test ainsi que les conditions de possession des informations dès le départ est très important. Pour vous aiguiller dans ce choix, faites-le en fonction du degré de risque auquel vous faite face. En effet posez-vous la question : de quel type d’attaque souhaitez-vous vous protéger ?

Cas n°1

Vous êtes responsable réseau dans une entreprise de banque en ligne. Vous êtes inquiet de savoir si un pirate pourrait voler les données bancaires que vous détenez sur vos clients. Dans ce cas, partez sur un test en boîte noire, car la méthode de la boîte noire se rapproche le plus du scénario contre lequel vous souhaitez vous protéger.

Cas n°2

Vous êtes à la tête d’une entreprise de e-commerce et vous êtes dans un conflit important avec l’un de vos employés. Vous craignez le pire, et avez peur que votre employé se venge et lance une attaque contre votre site e-commerce. Dans un tel cas, envisagez un pentest basé sur une boîte grise afin que le pentesteur ai accès aux mêmes données que celles que détient votre employé.

Confiez votre projet de pentest à une équipe d’experts qui détient un savoir-faire impressionnant : Maltem Consulting Group, basé à Neuilly-sur-Seine saura vous accompagner dans la sécurisation de vos applications.

Visitez le Blog - tech, méthodes et dernières actus.