Pentesting, White Hat Hacking et développement web : Définition
Comprenez ce qu'implique un test de pénétration, y compris les techniques et les méthodologies de test que tout pentester devrait connaître.
Temps de lecture : 5 minutes
Le pentesting, également appelé test de pénétration, est une évaluation de sécurité, une analyse et une progression d'attaques simulées sur une application ou un réseau afin de vérifier sa posture de sécurité.
- Qu'est-ce qu'un test d'intrusion ?
- Éthiques des tests d'intrusion
- Règles d'engagement ( ROE )
- Boîte noire, boîte blanche, boîte grise Test d'intrusion
Qu'est-ce qu'un test d'intrusion ?
Un test d'intrusion ou pentest est une tentative éthique de tester et d'analyser les défenses de sécurité pour protéger ces actifs et informations. Un test d'intrusion implique l'utilisation des mêmes outils, techniques et méthodologies qu'une personne malveillante utiliserait et est similaire à un audit.
Selon Security Magazine , un magazine de l'industrie de la cybersécurité, il y a plus de 2 200 cyberattaques chaque jour - 1 attaque toutes les 39 secondes.
Éthiques des tests d'intrusion
La bataille de la légalité et de l'éthique dans la cybersécurité, sans parler des tests d'intrusion, est toujours controversée. Des étiquettes comme "hacking" et "hacker" ont souvent des connotations négatives, en particulier dans la culture pop, grâce à quelques brebis galeuses. L'idée d'accéder légalement à un système informatique est un concept difficile à saisir - après tout, qu'est-ce qui le rend légal exactement ?
Rappelons qu'un test d'intrusion est un audit autorisé de la sécurité et des défenses d'un système informatique tel qu'accepté par les propriétaires des systèmes. La légalité de la pénétration est assez claire dans ce sens ; tout ce qui ne relève pas de cet accord est réputé non autorisé.
Avant le début d'un test d'intrusion, une discussion formelle a lieu entre le testeur d'intrusion et le propriétaire du système. Divers outils, techniques et systèmes à tester sont convenus. Cette discussion constitue le champ d'application de l'accord de test d'intrusion et déterminera le déroulement du test d'intrusion.
L'éthique est le débat moral entre le bien et le mal ; là où une action peut être légale, elle peut aller à l'encontre du système de croyances du bien et du mal d'un individu.
Les testeurs d'intrusion seront souvent confrontés à des décisions potentiellement moralement discutables lors d'un test d'intrusion. Par exemple, ils accèdent à une base de données et se voient présenter des données potentiellement sensibles. Ou ils effectuent peut-être une attaque de phishing contre un employé pour tester la sécurité humaine d'une organisation. Si cette action a été convenue au cours des étapes initiales, elle est légale, mais éthiquement discutable.
Les pirates sont classés en trois catégories, où leur éthique et leurs motivations derrière leurs actions déterminent dans quelle catégorie de chapeau ils sont placés.
| Catégorie | Description | Exemple |
|---|---|---|
| White hat | Ces pirates sont considérés comme les "bonnes personnes". Ils respectent la loi et utilisent leurs compétences au profit des autres. | Par exemple, un testeur d'intrusion effectuant un engagement autorisé sur une entreprise. |
| Grey hat | Ces personnes utilisent souvent leurs compétences au profit des autres ; cependant, ils ne respectent pas / ne suivent pas la loi ou les normes éthiques à tout moment. | Par exemple, quelqu'un supprime un site frauduleux. |
| Black hat | Ces personnes sont des criminels et cherchent souvent à nuire aux organisations ou à obtenir une certaine forme d'avantage financier au détriment des autres. | Par exemple, les auteurs de rançongiciels infectent les appareils avec du code malveillant et conservent les données contre une rançon. |
Règles d'engagement ( ROE )
Le ROE est un document qui est créé aux premières étapes d'un engagement de test d'intrusion. Ce document se compose de trois sections principales, qui sont responsables en dernier ressort de décider de la manière dont la mission est menée.
| Section | Description |
|---|---|
| Autorisation | Cette section du document autorise explicitement la réalisation de la mission. Cette autorisation est essentielle pour protéger juridiquement les individus et les organisations pour les activités qu'ils mènent. |
| Portée des tests | Cette section du document annotera les cibles spécifiques auxquelles l'engagement doit s'appliquer. Par exemple, le test d'intrusion peut ne s'appliquer qu'à certains serveurs ou applications, mais pas à l'ensemble du réseau. |
| Règles | La section des règles définira exactement les techniques autorisées lors de l'engagement. Par exemple, les règles peuvent stipuler spécifiquement que des techniques telles que les attaques de phishing sont interdites, mais les attaques MITM (Man-in-the-Middle) sont acceptables. |
Boîte noire, boîte blanche, boîte grise Test d'intrusion
Il existe trois portées principales lors du test d'une application ou d'un service. Votre compréhension de votre cible déterminera le niveau de test que vous effectuerez dans votre mission de test d'intrusion. Dans cette tâche, nous couvrirons ces trois portées de test différentes.
Test en boîte noire
Ce processus de test est un processus de haut niveau dans lequel le testeur ne reçoit aucune information sur le fonctionnement interne de l'application ou du service.
Le testeur agit comme un utilisateur régulier testant la fonctionnalité et l'interaction de l'application ou du logiciel. Ce test peut impliquer une interaction avec l'interface, c'est-à-dire des boutons, et un test pour voir si le résultat escompté est renvoyé. Aucune connaissance en programmation ou compréhension du programme n'est nécessaire pour ce type de test.
Les tests Black-Box augmentent considérablement le temps passé pendant la phase de collecte et d'énumération des informations pour comprendre la surface d'attaque de la cible.
Tests en boîte grise
Ce processus de test est le plus populaire pour des choses telles que les tests de pénétration. Il s'agit d'une combinaison de processus de test en boîte noire et en boîte blanche. Le testeur aura une connaissance limitée des composants internes de l'application ou du logiciel. Pourtant, il interagira avec l'application comme s'il s'agissait d'un scénario de boîte noire, puis utilisera leur connaissance de l'application pour essayer de résoudre les problèmes au fur et à mesure qu'ils les trouveront.
Avec les tests Grey-Box, les connaissances limitées fournies permettent de gagner du temps et sont souvent choisies pour des surfaces d'attaque extrêmement bien durcies.
Tests en boîte blanche
Ce processus de test est un processus de bas niveau généralement effectué par un développeur de logiciels qui connaît la programmation et la logique d'application. Le testeur testera les composants internes de l'application ou du logiciel et, par exemple, s'assurera que des fonctions spécifiques fonctionnent correctement et dans un délai raisonnable.
Le testeur aura une connaissance complète de l'application et de son comportement attendu et prend beaucoup plus de temps que les tests en boîte noire. La connaissance complète d'un scénario de test White-Box fournit une approche de test qui garantit que toute la surface d'attaque peut être validée.