Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Méthodologie des tests d’intrusions

No description
by

Eric Carter

on 14 October 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Méthodologie des tests d’intrusions

Eric et Thomas
MÉTHODOLOGIE
Les différentes étapes du TI
Définition d’un test d’intrusion
Mots clés : TI / penetration test / pentesting

Définition : Méthode permettant d’évaluer la sécurité d’un SI à travers des tentatives d’intrusion et d’exploitation informatique.
En quoi consiste la méthode ?
Se mettre dans la peau d’un pirate ou d'un logiciel malveillant afin de simuler une attaque.

Un test d’intrusion se déroule généralement en quatre étapes.
INTRODUCTION
Définition & utilité d’un test d’intrusion
Méthodologie des tests d’intrusion
Qu’apporte un TI ?
Il informe sur les méthodes et techniques informatiques employées pour nuir au SI.

Il donne une évaluation du risque auquel est exposé un SI à un instant T.

Il permet ensuite d'établir un plan d’action visant à améliorer la sécurité d’un SI.
Étape 1 : Reconnaissance (“Information Gathering”)
En entreprise
Récupération d’informations sur les ressources :

- adresses IP des serveurs et plages IP,
- noms de domaines,
- fonction des serveurs (web, applicatif, mail, proxy, authentification…),
- sensibilité du serveur,
- horaires pour les tests (pour ne pas provoquer de déni de service).

Récupération des autorisations pour les TI, de la part des responsables des cibles.
Dans la peau d'un hacker
Récupération d’information sans autorisations :

De façon active : en rentrant en contact avec la cible. La cible peut conserver des traces de votre activité.

De façon passive : sans contact direct avec la cible. La cible ne doit pas être au courant de votre activité.

Outils: Google-Fu, forums technique, services Whois&co, ingénierie sociale…

Étape 2 : Scans
Vérification et test des ressources découvertes à l'aide de 'ping'.

Scans des ports et des services de chaque ressource avec 'Nmap' afin de déterminer quelles sont “les portes ouvertes” de la ressource.

Scans de la vulnérabilité de chaque ressource avec l'outil Nessus. Les vulnérabilités découvertes formeront la base pour l’étape d’exploitation.
Exemple de vulnérabilité
Étape 3 : Exploitation
Étape 4 : Maintenance
Étape non-officielle : Révision post-correction
CONCLUSION
Limite des tests d'intrusion
Coût

Experts, logiciels et infrastructures nécessaires au TI ont un coût élevé.
La participation de plusieurs acteurs dans la société nécessite des facturations internes (jour.homme).
Un TI est inutile s'il n'est pas suivi par plusieurs actions. Cela doit être également pris en compte.

Difficulté à estimé le résultat

Une DSI n’alloue pas facilement de budget pour ce type de test car les résultats n’apportent pas de bénéfices direct.
Test d'intrusion automatisé
Lorsque le budget est limité, on peut utiliser des tests d’intrusion automatisés (sans analyse humaine).

Avantages :
Plus rapide et moins chère, c'est une solution industrialisée.

Les moins :
Possibilité d’erreurs, moins de scénario d’exploitation réalisables, et pas forcément adaptés à l’entreprise.
Mise en place de scénario d’exploitation selon les informations recueillies dans les phases précédentes.

Exemple d’exploitation :
- Injection SQL dans un formulaire non protégé afin d’extraire les données d’une BD ou pour les altérer.
- Flood SYN vers un serveur applicatif afin de provoquer un déni de service.

Exemples d’outils d’exploitation :
- Metasploit : Suite logicielle regroupant un ensemble d’outils permettant d’exploiter des vulnérabilités.
- John the Ripper : Logiciel permettant de casser des mots de passe via des attaques par dictionnaires ou bruteforce.
Exploitation des vulnérabilités détectées auparavant.

Points clés de cette étape :

- Suppression des traces prouvant l’activité du pentester/hacker.
- Installation d’un rootkit.
- Mise en place d’une backdoor
En entreprise
Étape facultative : n’apporte pas de vraie valeur ajoutée. Il est important de savoir qu’une vulnérabilitée est exploitable et peut avoir un impact négatif.

Étape utile : peut cependant permettre de tester les systèmes de détection de rootkit/backdoor protégeant la ressource ciblée.

Livrable : communication aux équipes en charge de l’infrastructure vulnérable des résultats du TI. Explication, recommandation à prendre pour sécuriser…
Dans la peau du hacker
Cette étape est la plus importante, car elle permet au hacker de revenir quand il veut tout en restant anonyme.
Renouvellement des tests d’intrusions après avoir corrigé les vulnérabilités détectées lors des premiers tests.

Un livrable final est envoyé à la DSI, il détaille les résultats des tests de cette étape.
BIBLIOGRAPHIE
1. Documentation et procédure de nos entreprise

2. The Basics of Hacking and Penetration Testing de Patrick Engebretson - Edition THE BASICS 2011

3. wikipedia.fr: Article “Test d’intrusion”

4. web.nvd.nist.gov - Banque de vulnérabilité américaine

5. tenable.com - Éditeur du logiciel de scan de vulnérabilité Nessus

6. metasploit.com - Éditeur du logiciel d’exploitation Metasploit
Acteurs d'un TI
La DSI, qui émet le besoin et définit le budget.
L’équipe ou l’expert qui mène les TI.
Équipes responsables et support des applications/réseaux/systèmes touchés par les TI.
Full transcript