Un pentest est un test d’intrusion. Il est réalisé dans l’optique de mettre en lumière les éventuelles failles d’un système informatique (SI), d’un réseau ou d’une application. L’idée est de détecter ses éventuelles fragilités avant qu’un pirate informatique ne les découvre. Autrement, si les cybercriminels décèlent ses faiblesses, ils peuvent voler les données de l’entreprise ou de l’institution, prendre le contrôle du site et même faire du chantage. Cela entache bien évidemment la réputation de la victime. À la fin du test, des mesures sont prises afin de renforcer la sécurité des SI et empêcher les pirates informatiques de s’y introduire. Comment conduire un tel test ? La réponse à cette interrogation fait l’objet de la rédaction de billet.
Faire un pentest : qu’est-ce que cela sous-entend véritablement ?
Faire des pentests revient à se comporter comme un hacker. Étant donné que le mode de fonctionnement de ces pirates est de lancer des attaques pour pénétrer dans les SI, le pentester stimule à son tour une attaque réelle.
Il le fait afin de procéder à l’évaluation du risque de piratage de l’infrastructure informatique de la boîte pour laquelle il officie. Une fois ces risques mis à nu, il mettra en place des stratégies pour réduire les dangers. Il peut également faire ce test pour faire évoluer un système. Trois modes permettent d’y parvenir.
Le Black-box et le Grey-box
Pour reproduire les méthodes de piratages afin de vous protéger contre les hackers, le testeur peut utiliser trois modes d’intrusion. En premier lieu, le mode Black-box. Ici, l’attaque est lancée à l’aveuglette. Autrement dit, le pentester la lance comme s’il ne connaissait rien de l’entreprise ni de son système informatique.
En deuxième lieu, le mode Grey-box. Ici, tout comme le hacker, le testeur fait du phishing pour infiltrer le réseau. Ensuite, il utilise le compte d’un serveur pour commettre son forfait.
Le white-box
En troisième lieu, vous avez le white-box. Ici, un logiciel d’espionnage peut être utilisé afin d’avoir les bonnes informations sur le système à pirater. C’est l’opposé du premier mode, car l’attaque n’est plus lancée à l’aveuglette. C’est pour cette raison que nombre de personnes craignent ce mode. Quel que soit le mode choisi, la réalisation du pentest suit une méthodologie bien définie.
La méthodologie du pentest
Le travail se fait en quatre phases.
La reconnaissance
Ici, le pentesteur va à la recherche des informations qui lui seront utiles sur le système cible. Il peut s’agir des noms des domaines et sous-domaines, des technologies utilisées, de la topologie, etc. Ces informations collectées lui permettront de bien attaquer le système.
Le Mapping
À cette étape, il répertorie toutes les fonctionnalités de la cible et de l’audit de sécurité. Ainsi, il reconnaît aisément les éléments les plus vulnérables du système. Il est donc à même de conduire des tests sur chacune des fonctionnalités de la cible.
Discovery
Ici, il recherche manuellement des failles du système. Il peut se servir également des outils automatisés pour y arriver. Le but est de mettre à nu le plus de vulnérabilités possible sur la cible.
L’exploitation
C’est à cette étape qu’il exploitera chaque vulnérabilité trouvée pour avoir accès au réseau cible comme l’aurait fait un hacker. Ici, il exploite encore les failles trouvées pour en découvrir d’autres. Enfin, il fait un rapport dans lequel il présente les résultats de son test.
C’est ce rapport qui sera utilisé pour la correction des failles trouvées et l’amélioration de la posture de sécurité de l’entreprise ou de l’institution. Voilà donc comment est conduit un pentest.