Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Metasploit
  3. Introduction aux tests d’intrusion
Extrait - Metasploit Testez la sécurité de vos infrastructures (2e edition)
Extraits du livre
Metasploit Testez la sécurité de vos infrastructures (2e edition)
1 avis
Revenir à la page d'achat du livre

Introduction aux tests d’intrusion

Qu’est-ce qu’un test d’intrusion ?

Un test d’intrusion (ou penetration test, régulièrement abrégé en pentest) est le processus visant à éprouver la sécurité d’un système, d’un environnement et/ou d’un périmètre défini en conditions réelles.

Au cours de ce processus, le pentesteur se met dans la peau d’un attaquant ou d’un utilisateur malveillant en reproduisant les actions faites par une personne malintentionnée.

Grâce aux résultats des tests, les équipes auditées sont ainsi en mesure d’améliorer la sécurité du périmètre audité en appliquant les recommandations émises par les pentesteurs. De plus, la fourniture d’un rapport contenant des recommandations claires et précises permet également de sensibiliser les différents acteurs d’un même projet.

Enfin, les tests d’intrusion permettent d’aller au-delà de l’identification de vulnérabilités connues par le biais de scanneurs de vulnérabilités tels que Nessus. Ils permettent d’aller plus loin dans les tests dans le but de découvrir plus de vulnérabilités.

Quels sont les différents types de tests d’intrusion ?

La notion de tests d’intrusion est relativement vague. En effet, ce terme seul ne permet pas d’obtenir d’informations complémentaires sur les tests effectués.

Ainsi, pour donner plus de détails, nous pouvons spécifier les types de tests :

  • tests d’intrusion externes, réalisables depuis une simple connexion internet sur un périmètre publiquement accessible,

  • tests d’intrusion internes, réalisables depuis le réseau interne d’une société, 

  • tests d’intrusion Wi-Fi, permettant de mettre en évidence d’éventuels risques sur le réseau sans fil déployé,

  • etc.

Il est également possible de définir un test d’intrusion par le niveau de connaissance de l’attaquant. À noter que nous faisons le distinguo entre « attaquant » et « utilisateur malveillant ». On parlera ainsi de deux méthodes distinctes :

  • Les tests d’intrusion en boîte noire (black box) : au cours de ces derniers, l’entreprise auditée ne fournit aucune information aux pentesteurs. Ces derniers agissent à la manière d’un attaquant ciblant ce périmètre.

  • Les tests d’intrusion en boîte grise (grey box) : au cours de ces derniers...

Quelles sont les différentes phases d’un test d’intrusion ?

Afin de parfaire leur technique et augmenter de manière significative leurs résultats dans le domaine du sport, les athlètes de haut niveau ont recours à des routines d’entraînement. Ces gestes reproduits des centaines, voire des milliers de fois, permettent d’obtenir le meilleur résultat possible au cours de la compétition.

Durant les tests d’intrusion, les auditeurs disposent également de ces routines que l’on nomme méthodologies de tests. L’utilisation d’une méthodologie permet de n’omettre aucun test. Le partage de cette dernière permet également de simplifier le travail en équipe lors de la répartition des actions à exécuter.

De nombreuses méthodologies existent, mais deux d’entre elles sortent du lot :

PTES

PTES (Penetration Testing Execution Standard) est un standard permettant de disposer d’une méthodologie complète pour la réalisation des tests d’intrusion. 

En effet, à l’inverse d’autres méthodologies uniquement basées sur les tests, PTES établit un ensemble de principes et d’actions à mener pour le déroulement d’un test d’intrusion dans sa globalité.

images/02EP01.png

Le standard est divisé en sept étapes :

Pre-engagement (engagements préalables)

Du point de vue des auditeurs, cette étape est certainement l’une des plus importantes du fait que les six prochaines étapes vont être basées sur les éléments obtenus au cours de celle-ci. Certains auditeurs appellent cette phase «  la réunion d’initialisation ».

Au cours de cette dernière, l’objectif est de comprendre les besoins du client. Pour cela, il est nécessaire d’obtenir les informations telles que :

  • le périmètre des tests (les cibles que les auditeurs vont devoir exploiter)

  • les dates ainsi que les horaires de réalisation des tests

  • le type de tests attendu (externes, internes, Wi-Fi, etc.)

  • le niveau de connaissance (boîte noire, boîte grise, boîte blanche)

  • le type d’application (production, préproduction, développement, etc.)

Il est également...