• 8 heures
  • Difficile

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 28/02/2019

C’est quoi un test d’intrusion (ou pentest) ?

Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

Dans cette première partie, nous allons étudier comment préparer un test d'intrusion. Vous verrez ce qu’est un test d’intrusion ou pentest, les différents types de tests qui existent et apprendrez à installer votre environnement pour réaliser votre premier pentest.

Un pentest, c’est quoi ?

Commençons par la base : quelques définitions.

Un test d'intrusion, ou test de pénétration, ou encore pentest, est une méthode qui consiste à analyser une cible en se mettant dans la peau d'un attaquant (connu aussi sous le nom de hacker malveillant ou pirate, mais nous y reviendrons). Cette cible peut être :

  • une IP,

  • une application,

  • un serveur web,

  • ou un réseau complet.

Dans ce cours, vous allez pratiquer sur un serveur web.

Le test d'intrusion est donc une photographie à l’instant T de cette cible. Il ne doit donc pas être confondu avec le scan de vulnérabilités.

C’est quoi un scan de vulnérabilité ?

Le scan de vulnérabilité est une composante du test d’intrusion, c’est-à-dire une sous-partie. C’est plus précisément un scan (comme son nom l’indique) de la cible qui permet d’énumérer les vulnérabilités, sans tenter de les qualifier ou de vérifier si elles sont exploitables.

Un test d'intrusion, pour quoi faire ?

Depuis plusieurs années, le nombre de cyberattaques double, année après année. L’intention des pirates est variée, mais les principales motivations sont d’ordre :

  • économique,

  • politique

  • ou juste pour le challenge de l’exercice !

Cela dit, la grande majorité du temps, elle est économique. L'objectif étant de gagner de l'argent à l'insu ou sur le dos des entreprises, comme dans le cas du cheval de Troie « Ruthless » qui vole les numéros de cartes bancaires et accès aux comptes bancaires.

Il existe beaucoup de groupes de hackers plus ou moins malveillants dans le monde.

Il y a pas mal d'années, la sécurisation des systèmes coûtait cher et les chances de se faire pirater étaient minces. Cela dit, aujourd'hui la donne a changé car le pourcentage de chance de se faire pirater est élevé. Il faut absolument que chaque entreprise mette en place une sécurité adaptée.

Mais pourquoi faire des tests d’intrusion ?

Les objectifs sont clairs :

  • identifier les vulnérabilités de son SI ou de son application

  • évaluer le degré de risque de chaque faille identifiée

  • proposer des correctifs de manière priorisée

Grâce au test d'intrusion, nous pouvons qualifier :

  • la sévérité de la vulnérabilité,

  • la complexité de la correction,

  • et l'ordre de priorité qu’il faut donner aux corrections.

Le but n'est pas malveillant, mais il est de s'assurer que ces vulnérabilités sont bien réelles.

Par exemple, aujourd’hui certaines entreprises ont encore des vulnérabilités dans leurs réseaux permettant aux rançongiciels de se propager. Un rançongiciel (ransonmware en anglais), c’est un logiciel malveillant qui prend en « otage » vos données personnelles et qui les restitue uniquement contre le versement d'une « rançon ».

Je suis sûr que vous connaissez quelqu’un à qui c’est déjà arrivé ! Lorsque vous n’avez plus accès à vos documents car ils ont changé d’extension et qu’on vous demande de payer en ligne X euros pour les décrypter !

Un test d’intrusion permet d’en prendre conscience et de prioriser les corrections. Sinon la vulnérabilité risque de rester dans le système jusqu'à son exploitation malveillante. Une récente étude a établi que dans le monde, une entreprise se fait attaquer, en moyenne, toutes les 40 secondes par un rançongiciel.

Quand faire ce test ?

Afin de sécuriser l’infrastructure ou l’application, les tests d’intrusion peuvent être faits à différents moments :

  • lors de la conception du projet, afin d’anticiper les éventuelles attaques,

  • pendant la phase d’utilisation, à intervalle régulier

  • suite à une cyberattaque pour ne pas que ça se reproduise

Le test d'intrusion peut se faire de l'extérieur (test d’intrusion externe). Ce test d’intrusion pourra être réalisé de n'importe quelle connexion Internet.

Le test d’intrusion peut également se faire de l'intérieur de l’infrastructure (test d’intrusion interne). Dans ce cas, le test sera opéré sur le LAN (réseau interne de l'entreprise).

Qui le fait ?

Vous vous demandez sûrement qui peut ou qui est en charge de réaliser un test d’intrusion ? Et bien c’est un expert en cybersécurité ou encore appelé pentesteur !

Pour devenir pentesteur, il faut avoir une large maîtrise des systèmes et réseaux, car le monde de la sécurité est transversal. Il faut connaître les différents matériels et technologies sur le marché pour pouvoir comprendre et exploiter les vulnérabilités qui y sont présentes.

Voilà, nous venons de voir ensemble ce qu’est un test d’intrusion et à quoi cela sert. Dans le prochain chapitre, vous allez découvrir les différents types d'attaques ou intrusions possibles sur votre infrastructure.

En résumé

  • Un test d'intrusion est un test pour vérifier et identifier les types de vulnérabilités ou d’attaques d'un SI (infrastructure, application…).

  • Il est plus rapide et efficace qu'un audit de sécurité. Il donne également des résultats plus pertinents qu’un scan de vulnérabilité.

  • Les tests d’intrusions peuvent être faits depuis l’infrastructure elle-même ou via Internet.

  • Les professionnels du domaine sont appelés des experts en cybersécurité expérimentés ou des pentesteurs.

Exemple de certificat de réussite
Exemple de certificat de réussite