Faire un test d’intrusion comme un nul(l)

Au cours de l’année dernière, je vous ai présenté tout une série de méthodes pour contourner des systèmes de détection, utiliser des failles ou s’introduire sur un réseau.

Toutes ces méthodes ne vous serviront pas à grand-chose si vous ne pouvez pas les mettre en application dans un cadre légal.

Si vous avez assez de compétences, vous pouvez chercher un emploi d’auditeur sécurité informatique (ou pentesteur).

Que font réellement ces chapeaux blancs (white hats) ?

Comment se déroule un test d’intrusion ?

Levons le voile sur ce métier méconnu.

Penetration licensed tester
Le métier d’auditeur peut être séparé en deux principales activités : identifier des vulnérabilités (Vulnerability Assessment) et les utiliser pour réaliser un test d’intrusion complet (Penetration Testing).

Les entreprises peuvent en effet demander les services d’un auditeur uniquement pour lancer Nessus sur une plage d’adresses IP, sans pour autant autoriser une intrusion réelle.

Voici justement un point important dans le métier de pentesteur : qu’est-il autorisé de faire ?

Lors de la définition du périmètre d’audit, l’entreprise devra définir les limites imposées au testeur.

Voyons maintenant les étapes d’un test d’intrusion.

Définir le cadre

La boîte noire (Black box)

Sûrement le type de test le plus palpitant pour un auditeur car ce dernier se trouve exactement dans la même position qu’un « vrai » hacker.

Le test s’effectue à partir d’un réseau externe au réseau audité, sans connaître sa composition.

Le testeur devra donc passer par une étape de reconnaissance pour créer la liste de tous les équipements possibles et de toute autre information utile.

Aucun rapport mais j'aime bien les bandes dessinées :-)

Aucun rapport mais j’aime bien les bandes dessinées 🙂

La boîte blanche (White box)

L’auditeur se place ici à la place d’un employé malveillant : il a connaissance de la composition du réseau et des systèmes installés.

L’étape de reconnaissance est simplifiée. L’auditeur devra tout de même lister :

  • Les logiciels installés ainsi que leurs versions
  • Les différents sous-réseaux
  • Les identifiants disponibles
  • etc.

La boîte grise (Grey box)

Ce cadre un peu spécial est une combinaison des deux précédents. L’auditeur se place dans la peau d’un ex-employé : il a connaissance de la composition du réseau et des systèmes installés mais le test doit être effectué à partir d’un réseau externe.

Encore une fois, l’étape de reconnaissance est simplifiée. La phase d’intrusion reste néanmoins aussi délicate que dans le cadre d’une boîte noire.

Effectuer une reconnaissance

Tout piratage commence par une étape de reconnaissance. Elle devrait prendre environ 75% du temps que vous passerez à pirater.

Plus vous bâclerez cette étape, plus vous prendrez de risque d’être détecté ou de voir votre attaque échouer.

De plus, dans le cadre d’un audit de sécurité, cette étape permet de dresser une liste exhaustive de toutes les vulnérabilités d’un réseau.

Le piratage n'est pas le seul métier où l'on fait de la reconnaissance ;-)

Le piratage n’est pas le seul métier où l’on fait de la reconnaissance 😉

Reconnaissance passive

Certainement l’étape la moins risquée d’un piratage, et sauf si vous vous adonnez à des activités terroristes, il n’y a aucune chance que l’on vous reproche ce type de reconnaissance.

Il s’agit de récupérer toute information publiquement accessible. Toutes les sources sont bonnes à prendre :

  • Aspirer le site officiel (à l’aide de HTTrack par exemple) pour l’analyser hors ligne.
  • Parcourir les forums de discussions à la recherche de développeurs trop bavards, de pseudos ou d’adresses emails.
  • Lister les numéros de téléphone utiles dans l’annuaire téléphonique en cas d’ingénierie sociale.
  • Utiliser Google (et les Google dorks) pour lister adresses emails et vulnérabilités.
  • Parcourir Viadéo, Linked-in et les autres réseaux sociaux, à la recherche des emails et autres pseudonymes que vous aurez récoltés pour dresser une liste d’employés à l’aide des relations de chacun (n’oubliez pas de noter les centres d’intérêt, bien utiles pour créer une liste de mots afin de trouver un mot de passe)
  • Utiliser les fonctionnalités DNS pour lister des sous-domaines.
  • Utiliser un outil tel que traceroute ou nmap pour lister les possibles pare-feu, passerelles ou routeurs.
  • etc.

Heureusement pour vous, il existe de nombreux sites Internet tels que 123people pour vous assister dans cette tâche.

L’outil Maltego est également indispensable pour la reconnaissance passive !

Reconnaissance active

Il faut faire très attention ici. Certes, il s’agit de reconnaissance, mais cette étape peut être très facilement détectée par des systèmes de détection d’intrusion. Quand une activité suspecte a été détectée, soyez sûr que les administrateurs-réseaux auront un œil sur vous !

Cette étape consiste à scanner le réseau-cible pour lister les équipements, systèmes d’exploitation, logiciels et versions installés. Dans la mesure du possible, préférez le mode « Zombie » (scan Idle). L’outil indispensable pour effectuer un scan est nmap.

Dans le cadre d’une ingénierie sociale, vous pourrez également usurper l’identité d’un employé (administrateur-réseau ou autre) afin de récolter des identifiants ou de lister des équipements et logiciels-réseaux internes.

Notez que l’ingénierie sociale est très délicate lors d’un audit de sécurité officiel : d’ailleurs, elle est bien souvent interdite.

Détection des vulnérabilités

Si vous avez listé les applications installées sur le réseau, ainsi que leur version, lors de l’étape de reconnaissance, vous pouvez chercher sur Internet s’il y a des vulnérabilités connues pour ces configurations.

Si vous êtes suicidaires (ou si l’entreprise ne dispose pas de système de détection d’intrusion), vous pouvez utiliser des outils comme Nessus pour chercher des vulnérabilités dans les différents équipements-réseaux.

Vulnérabilité

Analyse des informations et planification

Afin de prendre le moins de risques possibles lors d’une attaque, il faut, à mon avis, effectuer des analyses avant cette étape : une première après la reconnaissance passive, pour minimiser les risques lors de la reconnaissance active, et une seconde après la reconnaissance active, pour cibler la détection des vulnérabilités.

Une fois toutes les vulnérabilités listées (ou non, si vous n’en avez trouvé aucune), il faut planifier l’attaque :

  • Définir précisément le scénario d’attaque
  • Définir quels équipements seront ciblés et dans quel ordre
  • Définir quels outils et méthodes seront utilisés et comment
  • Développer, si besoin, des outils spécifiques pour l’attaque
  • Modifier des outils existants pour contourner des restrictions
  • Lister les cibles d’attaques par ingénierie sociale et définir un scénario précis (le faire valider par l’entreprise ayant demandé l’audit)
  • Prévoir les étapes suivant l’intrusion (obtenir des privilèges plus élevés, maintenir l’accès et effacer les traces)

Dans le cadre d’un audit en boîte noire, il est possible que vous ayez à travailler de manière incrémentale, pour avancer petit à petit dans le réseau audité, car vous n’aurez pas de vision globale du réseau avant de vous y être introduit. Vous aurez donc à recommencer toutes les étapes à chaque pas fait dans le réseau.

Attaque et intrusion

Voici enfin l’étape la plus souvent mise en avant dans le piratage : l’utilisation des vulnérabilités afin d’obtenir l’accès à un équipement-réseau.

Il s’agira d’appliquer le scénario défini au préalable, en l’adaptant à toute situation imprévue.

Obtenir plus de privilèges

Encore une fois, vous devriez avoir prévu le moyen d’obtenir des privilèges utiles pour le but de votre intrusion (système ou administrateur par exemple).

Ici encore, tous les moyens sont bons :

  • Vulnérabilité dans le système d’exploitation
  • Attaque sur un mot de passe « root »
  • Ingénierie sociale

Maintenir l’accès

Si nécessaire dans le cadre de l’audit, vous pourrez avoir à placer une porte dérobée sur un équipement-réseau. N’oubliez pas d’utiliser un logiciel robuste permettant une sécurisation de l’accès ! Vous ne voulez pas qu’un hacker réellement malveillant tire profit de votre audit pour accéder au réseau de l’entreprise !

Effacer les traces

Si possible, vous pouvez également effacer les traces de l’intrusion en vidant les fichiers de log du réseau ciblé et en supprimant toute donnée intermédiaire que vous aurez créée pour obtenir votre accès.

Balayer

Analyser des résultats

Un pirate s’arrêterait ici. Ce qui différencie un auditeur d’un « vrai » hacker est le rapport qu’il fait à l’entreprise auditée et le nettoyage des systèmes qu’il a corrompus afin de leur rendre leur état initial.

Le pentesteur devra donc analyser chaque étape de son audit pour définir ce qui a mené au succès de son intrusion et les moyens d’y remédier.

L’entreprise auditée pourra mettre en place ces recommandations pour boucher les failles de son réseau.

Faire un rapport détaillé

L’entreprise auditée peut également être intéressée par le processus précis, utilisé par le pentesteur pour s’introduire, ainsi que par les données récupérées lors de la reconnaissance.

Tout devra être consigné, de la moindre information récoltée aux outils et scénario utilisés pour l’intrusion.

Le rapport devra bien évidemment contenir une partie relative aux recommandations pour sécuriser le réseau.

Nettoyer

Tout au long de l’audit, le pentesteur devra avoir sauvegardé chaque donnée qu’il aura altérée, et avoir conservé une trace de chaque modification appliquée au système pour restaurer le réseau à son état original.

Il est effectivement intolérable qu’un audit de sécurité provoque l’apparition de nouvelles vulnérabilités …

Conclusion

La tâche d’un auditeur sécurité informatique est plus compliquée que celle d’un black hat. Il doit bien penser à consigner tout ce qu’il fait et à effectuer une copie de sauvegarde des données altérées. Il doit également garder pour objectif la rédaction d’un rapport pour l’entreprise auditée.

Contrairement au black hat, pour un pentesteur, tous les moyens ne sont pas bons pour arriver à ses fins. L’ingénierie sociale, si elle n’est pas interdite, sera par exemple très encadrée. Des cibles dans le réseau ou l’utilisation de méthodes trop agressives pourront être interdites.

Parce que je n’ai pas la science infuse : sources

Publicités
À propos

Un informaticien, qui tente de faire comprendre au public que l'informatique n'est pas si compliquée, malgré des acronymes et autres termes obscurs pour faire croire que c'est difficile (et que c'est de votre faute si "ça ne marche pas")

Tagged with: , , , , , , , , , , , , , ,
Publié dans Informatique, Intrusion, Piratage

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

MystCaster
février 2013
L M M J V S D
« Jan   Mar »
 123
45678910
11121314151617
18192021222324
25262728  
Catégories
Archives
%d blogueurs aiment cette page :