Home » Penetration testing

LES TESTS D'INTRUSION :

 


Les tests d'intrusion ou test de pénétration (pentests) consistent à gagner l'accès d'un système informatique à distance (une machine cible) afin de simuler les différentes actions qui pourraient être entreprises par un intrus.

 

La communauté de la sécurité informatique à définit un standard d’exécution des pentests le PTES pour Penetration Testing Execution Standard, ils sont consultable ici : http://www.pentest-standard.org/

 

Il existe deux types de pentest :

  • Visibles : Boîte blanche (white box)

Ils sont réalisés en accord avec l'entreprise, les résponsables de la sécurité de l'entreprise peuvent montrer leur système aux testeurs, l'avantage est de pouvoir lancer l'attaque sans être bloqué mais elle sera moins réaliste.

 

  • Invisibles : Boîte noire (black box)

Elles sont effectuées à l'insu de l'organisation, elles sont demandées par les cadres de l'entreprise afin de tester la capacité de l'équipe de sécurité interne à détecter une attaque et à y répondre. Ils sont très longs et ils faudra trouver le moyen de plus facile d'accéder à un système sans y être détecté.

 


Les  Phases du Pentest :

  • Pré engagement :

Lors d'un pentest en condition réelle, il sera demandé une autorisation écrite qui va établir  formellement les règles d'engagement du testeur et du client. Elle doit comprendre une liste des cibles et préciser les systèmes ou les attaques que le client refuse d'inclure dans le test.

 

Cette phase ne sera évidemment pas nécessaire lors de vos entrainement sur les différents plateformes que nous allons aborder, mais des règles sont quand même imposée (voir chapitre Pentester Academy)

 

Voir le chapitre suivant. Cette phase ne sera pas utilisée lors de nos exercices sur plateformes car il vous sera directement donné une adresse IP à exploiter et vous passerez souvent directement à l'exploitation.

Le principe de cette phase est de collecter le maximum d'information sans jamais accéder directement au système de la cible et ne pas être détecté par le client. Les réseaux sociaux et google seront les premiers outils utilisés, en particulier les google dorks qui sont traités dans un autre chapitre. Ce type de collecte d'information s'appelle OSINT (Open Source Intelligence).

 

Il sera recherché l'architecture et les responsables du réseau, savoir quel type de système d'exploitation et quel serveur web est utilisé par la cible. Voici une liste d'outils de collecte passive qui sont traités dans des chapitre à part : Google dorks, Whois, Netcraft, NSLookup, The Harvester, Host, Les Serveurs DNS (Domain Name System), Dig, Fierce, Metagoofil, ThreatAgent,