Editions ENI Livres | Vidéos | e-Formations
La recherche d’informations
Préambule
À l’ère des avancées technologiques rapides et de la dépendance croissante au numérique, on observe une intensification des attaques cybercriminelles. Ces dernières exploitent non seulement les vulnérabilités techniques mais aussi les failles humaines, notamment dans le contexte du télétravail et de l’accélération de la transformation numérique. Les cybercriminels visent les réseaux d’entreprises pour y dérober, chiffrer ou manipuler des données sensibles afin de les monnayer ou de perturber des activités critiques.
En réponse, les entreprises ont renforcé leurs investissements dans la cybersécurité, adoptant des solutions avancées comme l’IA, le machine learning et la gestion des identités numériques. Par ailleurs, les audits de sécurité sont devenus une pratique standard, intégrés aux cahiers des charges lors d’appels d’offres, et ce, même pour les petites entreprises.
L’évolution des cadres réglementaires, tels que le RGPD ou les directives NIS2 en Europe, a amplifié cette prise de conscience des enjeux de sécurité, entraînant une demande croissante pour des certifications professionnelles telles que CISSP, CCSP ou OSCP.
Types et méthodologies des attaques
Avant de détailler le déroulement d’un test d’intrusion (pentest), il est essentiel de comprendre les méthodologies actuelles employées par les attaquants. Ces méthodologies incluent des phases de reconnaissance avancée, d’intrusion ciblée et d’exfiltration des données. Un test d’intrusion vise à reproduire ces phases tout en respectant les contraintes éthiques et légales, afin d’identifier les vulnérabilités exploitables.
1. L’évolution de la cybercriminalité
Depuis les années 1970, le profil des cybercriminels a considérablement évolué. Autrefois motivés par des défis techniques ou des idéaux, les premiers hackers cherchaient souvent à améliorer la sécurité des systèmes (white hackers). Au XXIe siècle, les motivations se sont diversifiées, incluant des considérations financières, politiques et stratégiques.
Aujourd’hui, les cyberattaques sont orchestrées par des groupes bien organisés, souvent soutenus par des États (cyberespionnage) ou des cartels criminels. L’émergence de marchés clandestins sur le dark web permet la vente de services malveillants « clé en main » comme les RaaS...
L’analyse des risques
L’analyse des risques est essentielle pour hiérarchiser les efforts de cybersécurité. Les normes ISO 27001:2022 et ISO 27005 définissent les bonnes pratiques en matière de gestion des risques. Vous pouvez consulter davantage d’informations sur le site officiel de l’ISO (ISO Official Website), liées aux systèmes d’information.
En France, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) recommande toujours l’utilisation de la méthode EBIOS, récemment mise à jour (EBIOS Risk Manager 1.5 - 2024) pour intégrer des scénarios de risques liés aux nouvelles technologies, comme l’IA et l’IoT.
Un chapitre complet sur l’analyse des risques rédigé par Jérôme Hennecart vous est proposé dans cet ouvrage.
Le test d’intrusion
Le test d’intrusion reste un pilier des audits de sécurité. Les nouvelles méthodologies incluent l’utilisation d’outils automatisés d’analyse et de simulation d’attaques, tels que Cobalt Strike et BloodHound, qui permettent de modéliser les mouvements latéraux et les privilèges élevés.
Par exemple, Cobalt Strike a été utilisé dans des campagnes majeures de ransomware comme celles menées par le groupe REvil en 2022, tandis que BloodHound est régulièrement déployé pour cartographier les chemins d’escalade de privilèges dans les environnements Active Directory lors de tests d’intrusion avancés.
1. Le pentester
Le pentester est un hacker ayant décidé de faire de sa passion un métier et d’en vivre. Les pentesters suivent des méthodologies reconnues qui définissent des standards pour structurer les tests d’intrusion et garantir leur efficacité :
-
OSSTMM (Open Source Security Testing Methodology Manual) : méthodologie open source de tests de sécurité couvrant l’ensemble des aspects de sécurité (physique, réseaux, humain).
-
OWASP (Open Web Application Security Project) Testing guide : projet communautaire fournissant ressources...
Collecte d’informations ou prise d’empreinte
La collecte d’informations constitue la première étape d’un test d’intrusion. Elle suit également une méthode rigoureuse qui se divise en plusieurs étapes clés :
-
L’ingénierie sociale (social engineering) : manipulation psychologique des individus pour obtenir des informations sensibles, traitée dans un autre chapitre par Damien Bancal.
-
La collecte d’informations de type OSINT (Open Source Intelligence) : recherche d’informations accessibles publiquement sur Internet.
-
La collecte d’informations en mode actif : comprend les scans réseau et l’analyse des services ouverts, la recherche de failles…
-
L’analyse des données collectées : regroupement et corrélation des informations obtenues pour identifier les vecteurs d’attaque potentiels.
Avant d’aborder les détails d’une recherche OSINT, il est important de rappeler que toute collecte d’information, qu’elle soit passive ou active, doit se faire en connaissance des risques encourus en cas de transgression des limites légales. Il vous est d’ailleurs fortement conseillé de lire attentivement le chapitre Risques juridiques et solutions écrit par Raphaël Rault disponible dans cet ouvrage.
Parmi ces étapes, la recherche OSINT occupe une place centrale dans la phase de reconnaissance passive.
1. Recherche OSINT ou recherche dite « passive »
L’OSINT (Open Source Intelligence) est le renseignement obtenu à partir de sources d’information publiques et accessibles légalement. Il s’agit de collecter, analyser et exploiter des données provenant d’Internet, des médias, des registres publics, des réseaux sociaux et d’autres sources ouvertes pour en extraire des informations exploitables.
L’OSINT est largement utilisé en cybersécurité, en renseignement gouvernemental, en enquêtes privées et en journalisme d’investigation. Son efficacité repose sur la méthodologie employée, la vérification des sources et la capacité à croiser différentes informations pour obtenir une vision précise et fiable.
a. Avant de commencer...
Conclusion
Au terme de ce chapitre consacré à la collecte d’informations en cybersécurité, on arrive à la fin d’un parcours qui, je l’espère, aura permis de mesurer l’importance capitale de cette phase dans la réalisation d’un test d’intrusion de qualité.
Pour reprendre l’analogie militaire évoquée en début de chapitre : imaginons une attaque en règle sans reconnaissance préalable du terrain, sans estimation des forces et faiblesses de l’adversaire, sans stratégie élaborée en fonction des informations collectées. Le résultat serait catastrophique, n’est-ce pas ? Eh bien, il en va exactement de même pour un pentest.
Nous avons débuté ce livre en plongeant dans l’univers des cybermenaces. L’évolution de la cybercriminalité, les motivations variées des attaquants, les différents types d’attaques qu’elles soient destructives, financières ou de type APT, tout cela nous a permis de comprendre comment pensent et agissent nos adversaires. Car n’oublions jamais notre adage : « discite impetum melius defende » - « apprendre l’attaque pour mieux se défendre ». La cyber kill chain que nous avons décortiquée n’est pas un simple concept théorique, c’est le fil conducteur qui guide chaque pentester professionnel dans sa démarche.
L’analyse des risques et les méthodologies de tests d’intrusion que nous avons explorées ont montré qu’un audit de sécurité ne s’improvise pas. Que l’on travaille en boîte noire, grise ou blanche, que l’on adopte une stratégie passive ou agressive, tout repose sur une fondation solide : la collecte d’informations.
Et c’est bien là le cœur...