• 10 heures
  • Moyenne

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 30/11/2023

Adoptez la posture d’un pentester

Mettez-vous dans la peau d’un attaquant

Dans ce cours, vous allez apprendre à attaquer une application web pour trouver des vulnérabilités. Vous allez donc vous rapprocher de ce que fait un “hacker” ! Mais savez-vous d’où vient ce terme ?

Initialement, il ne désigne pas seulement les personnes qui attaquent des systèmes sans autorisation. Dans les années 1950, il est utilisé par des étudiants du MIT pour désigner un étudiant qui avait mis au point un procédé technique original en détournant un système de téléphonie de son usage d'origine.

En tant que pentester, quand on cherche à comprendre le fonctionnement nominal d'une application, on cherche aussi à comprendre comment l’utiliser ou la plier pour qu’elle réponde à un besoin qui n’était pas prévu, voire pas souhaité par le développeur.

C’est dans cette réflexion et cette posture que réside l’essentiel de notre métier.

On croit souvent au début que l’objectif d’un pentester est de trouver une faille que personne n’a trouvée avant, alors que notre métier est beaucoup plus accessible et consiste le plus souvent à se dire :

“Et si je fais ça, il se passe quoi ?”

Découvrez ce qu’en disent ces deux professionnels du domaine, et comment ils ont l’habitude de décrire leur métier à ceux qui n’ont jamais entendu parler de test d’intrusion :

Incarnez une éthique professionnelle

Nous avons parlé de “cracker” plus haut, en indiquant que ce terme désignait un “hacker malveillant”. Faisons donc un petit tour des différents types de hackers :

  • Le “White Hat” est un hacker bien intentionné qui cherche à améliorer le niveau de sécurité des systèmes qu’il croise, le tout, dans un cadre légal.

  • Le “Grey Hat” est un hacker bien intentionné qui a parfois des activités ou des comportements illégaux… ce qui le fait basculer dans cette catégorie.

  • Le “Black Hat” est un hacker mal intentionné qui cherche à compromettre un système ou un application.

Le white hat améliore le niveau de sécurité des systèmes, dans un cadre légal. Le grey hat aussi mais il a parfois des pratiques illégales. Le black hat est mal intentionné, il nuit à la sécurité des systèmes et a des pratiques illégales.
Les 3 différents types de hackers

De même, vous allez être amené à identifier dans le cadre de vos missions des vulnérabilités inconnues jusqu’alors dans des applications ou même des produits utilisés par différents clients.

Une divulgation publique est possible dans ce cas-là ou non ? Est-ce éthique et autorisé de divulguer publiquement une vulnérabilité trouvée dans un produit audité ?

Non, ce n’est pas autorisé car vous êtes sous contrat, et payé pour trouver des vulnérabilités. La divulgation publique concernant un produit utilisé par différents clients est à discuter avec l’éditeur ou le responsable dans ce cas-là.

Le terme de "responsible disclosure" n’a pas toujours le même sens en fonction des personnes qui le définissent. De notre côté, on considère qu'une vulnérabilité a fait l'objet d'une responsible disclosure dès lors qu'elle a été remontée à l'éditeur concerné, et qu'elle n'est publiquement diffusée qu'une fois la correction publiée.

Pour lever toute ambiguïté, certaines entreprises possèdent une politique de divulgation de vulnérabilités (plus connue sous l’abréviation VDP pour Vulnerability Disclosure Policy).

Agissez dans un cadre légal

L’accès frauduleux à un STAD est passible de 60 000 € d’amende et 2 ans de prison. Pour la destruction d’un STAD comme dans le cas d’un ransomware, les faits sont punis de 5 ans d'emprisonnement et de 150 000 € d'amende. Et les deux (intrusion + destruction) s’additionnent ! Ensuite il doit y avoir les dommages et intérêts pour l’entreprise à rajouter, qui peuvent se chiffrer en millions d’euros.

Bien entendu, dans le cadre de ce cours vous serez autorisé à attaquer les cibles que nous allons vous indiquer. Pour les autres, non !

Découvrez les acteurs qui régissent la pratique du pentest

La sécurité offensive et les tests d’intrusion sont de plus en plus encadrés et régulés.

Elle est chargée de proposer des règles pour la sécurité des systèmes d’information de l'État et de faire progresser la cybersécurité au niveau national.

Elle définit des recommandations dans des guides de bonnes pratiques (vous pouvez vous appuyer dessus pour vos recommandations ou en cas de doute sur un sujet) et les exigences de plusieurs référentiels comme le référentiel PASSI

Ce cadre légal permet de :

  • standardiser l’approche des tests d’intrusion ;

  • augmenter le niveau de qualité des prestations, et de sécurité des systèmes.

Les SIIV sont des applications ou systèmes particuliers présents au sein du système d’information des opérateurs d’importance vitale (OIV) définis par décret par l'État. 

Dans la plupart des cas, vous n’aurez donc pas besoin d’être qualifié PASSI. Nous vous conseillons néanmoins la lecture du référentiel si vous souhaitez prendre du recul sur les différentes activités associées aux audits de sécurité.

Il existe des organisations gouvernementales, équivalents à l’ANSSI, dans beaucoup de pays :

  • le CISA aux États-Unis ;

  • le CSA à Singapour ;

  • le BSI en Allemagne ;

  • le NCSC au Royaume-Uni ;

  • l’ENISA au niveau européen (qui travaille avec l’ANSSI et le BSI, notamment).

En parallèle, des organisations non gouvernementales comme le CREST (Council for Registered Ethical Security Testers), ou encore des entreprises comme Offensive Security travaillent sur le même axe et certifient les entreprises partenaires et leurs auditeurs selon différents niveaux de compétence (OSCP et OSCE).

Enfin, il existe des normes qui "obligent" à réaliser un test d’intrusion dans les différents secteurs régulés :

  • PCI-DSS dans le secteur bancaire ;

  • RGPD pour tout système contenant des données à caractère personnel ;

  • ISO 27001 si le périmètre est certifié, etc.

En résumé

  • Réaliser un test d’intrusion, c’est avant tout se mettre dans la peau d’un attaquant et penser comme tel, mais pour le bien de votre client.

  • Pour faire un test d’intrusion, il faut comprendre comment fonctionne l’application et imaginer ce qui pourrait mal se passer, et comment faire en sorte que ça se passe mal.

  • Attention cependant à bien rester “du bon côté de la barrière”, car réaliser un test d’intrusion sans l’accord du propriétaire de l’application est puni par la loi.

  • Les différentes personnes possédant des compétences en cybersécurité offensive sont traditionnellement classées dans trois catégories :

    • les “white hats”, ceux qui œuvrent pour le bien commun ;

    • les “black hats”, ceux qui œuvrent pour leurs intérêts personnels au détriment des autres ;

    • les “grey hats”, qui naviguent entre les deux en fonction des situations.

  • Il existe de plus en plus d'organismes, généralement étatiques, qui régissent la pratique des tests d’intrusion et la manière de les faire. En France, c’est l’ANSSI. Elle publie de nombreuses recommandations qui font référence, que ce soit pour les entreprises qui réalisent les tests d’intrusion ou celles qui les commandent.

Dans le prochain chapitre, nous allons nous attaquer à la première étape d’un test d’intrusion : cadrer le périmètre avec le client !

Exemple de certificat de réussite
Exemple de certificat de réussite