Projet – Infrastructure SI
Dans le cadre du projet “infrastructure SI” et du cours “Ethical Hacking” dispensés à l’AFTI, nous avons créé notre groupe et nous sommes répartis les tâches à accomplir pour réaliser le projet. Dans un premier temps, nous avons monté une infrastructure réseau avec trois commutateurs, un routeur et trois postes clients. Dans un second temps, nous avons analysé les communications entre machines : lorsqu’il n’y avait aucune interaction particulière d’abord puis lorsqu’une ou plusieurs d’entres-elles effectuaient des scans réseau ou attaques Man-in-the-middle par exemple. Chacun a apporté ses connaissances au groupe et a appris en retour.
Les méthodes d’un rapport de Pentest
Tout d’abord il faut répondre aux demandes particulières du client s’il en a ! D’une manière générale, voici les sections du rapport :
Page de garde :
- Nom et logo de l’équipe, nom du client
- Un titre explicite sur le contenu (il pourrait y avoir plusieurs rapports de pentests pour le même client.
- La date à laquelle le test a été effectué. (important pour connaître l’évolution de la sécurité dans le temps).
- Le niveau de confidentialité (à définir avec le client)
Un résumé : (très court) pas de terme technique
- Ce qui a été fait : “nous avons effectué un test de pénétration sur …”
- Ce qui a été trouvé : “nous avons trouvé un problème de sécurité au niveau de …”
- Ce qui va être fait ensuite : ”il est conseillé de régler le problème …, nous pourrions ensuite refaire un test.”
- Conclusion, le SI est-il en danger ? (“oui” ou “non” mais pas “bof”) : “En conclusion, nous avons identifié des zones ou la sécurité n’est pas suffisante et induit une faille de sécurité. Nous devons donc déclarer le système non sécurisé.”
Partie 1 (non technique)
- Recadrer la mission (cadre légal et juridique).
- Faire un organigramme avec le nom du chef d’équipe, les noms et assignments des membres de l’équipe.
- Faire un résumé des vulnérabilités sur une page de manière à ce que le lecteur du rapport sache rapidement ce qu’il faut revoir. (éventuellement des tableaux/graphiques). Il est possible de classer les failles par catégories.
- Décrire les outils utilisés (dans le cas où quelqu’un voudrait refaire les tests).
Partie 2 (technique)
- Détails sur les vulnérabilités trouvées (comment elles ont été décelées, comment elles peuvent être exploitées, ce que l’on peut obtenir en les exploitant).
- Inclure des détails/conseils pour remédier à ces failles (les étapes pour y arriver, pas juste une phrase).
Partie 3 : Exploit, l’attaque monté, le choix des outils…
Exemple de rapport
https://www.offensive-security.com/reports/sample-penetration-testing-report.pdf
La checklist du Pentester
Vous trouverez ci-après la checklist global qu’un pentester peut suivre afin de mener à bien son test d’intrusion sans rien oublier.
Par ailleurs, il doit avoir une méthodologie en 7 étapes :
1.Phase de « pré-engagement »
2.Phase de « Intelligence Gathering » ou « Information Gathering »
3.Phase de « Threat Modeling »
4.Phase d’analyse des vulnérabilités
5.Phase d’exploitation
6.Phase de post-exploitation
7.Phase de reporting
Il existe deux types de pentests :
Black Box : le pentesteur (ou pentester, c’est comme on veut, l’anglicisme ne doit pas exister mais bon…) n’a quasiment pas d’information sur sa cible. Il s’apparente donc à un attaquant qui doit découvrir par lui même l’architecture du SI et comment y accéder.
White Box : le pentesteur, travaille en collaboration avec le responsable de la sécurité du système d’information (RSSI). Il est alors possible de commencer l’intrusion à différent niveaux (par rapport au mode Black Box où on peut rester bloqué à une étape sans tester les autres).
On peut également trouver la terminologie “Grey Box”, mode dans lequel le pentesteur possède initialement quelques informations sur la cible. Par exemple, il peut avoir accès à un compte utilisateur, un accès physique… Cela correspond à ce qu’un utilisateur peut faire comme conneries.
Pour en savoir plus : “Red Team” est un test d’intrusion sur une longue période, qui correspond à une attaque d’un groupe de pirates prenant son temps pour étudier la cible.
La checklist :
Ethical Hacking : Qu’est-ce que ça signifie ?
Ethical Hacking ou Hacker est un terme utilisé pour décrire le piratage effectué par une entreprise ou un individu pour aider à identifier les menaces potentielles sur un ordinateur ou un réseau.
Un ethical hacker tente de contourner la sécurité du système et de rechercher les points faibles qui pourraient être exploités par des pirates malveillants. Cette information est ensuite utilisée par l’organisation pour améliorer la sécurité du système, dans le but de minimiser ou d’éliminer toute attaque potentielle.
Qu’est-ce qui constitue l’Ethical Hacking ?
Pour que le piratage soit considéré comme éthique, le pirate doit obéir aux règles suivantes :
- Autorisation préalable écrite de sonder le réseau et tenter d’identifier les risques de sécurité potentiels
- Respecter la vie privée de l’individu ou de l’entreprise
- Bien cloisonner son travail, ne laissant rien ouvert pour vous ou quelqu’un d’autre permettant de l’exploiter plus tard
- Informer le développeur de logiciels ou le fabricant du matériel des failles de sécurité que l’on trouve dans leur logiciel ou leur matériel, si elles ne sont pas déjà connues de l’entreprise.
Le terme « Ethical Hacking » a parfois été critiqué par des personnes qui disent qu’il n’existe pas de hacker «éthique». Le piratage est un piratage, peu importe comment vous le regardez et ceux qui piratent sont communément appelés des criminels informatiques ou des cybercriminels.
Cependant, le travail que les pirates éthiques font pour les organisations a contribué à améliorer la sécurité du système et peut être considéré comme assez efficace et fructueux.
Les personnes intéressées à devenir un hacker éthique peuvent travailler vers une certification pour devenir un hacker éthique certifié, ou CEH.