GIFTED : Développement web, pentesting et audit web SEO à Reims

GIFTED - PENTESTING, WHITE HAT HACKING ET DÉVELOPPEMENT WEB

Pentesting, White Hat Hacking et développement web : Définition

La seule agence qui vous récompense !
Recevez 5% de cashback pour tous les clients que vous nous apportez.

Comprenez ce qu'implique un test de pénétration, y compris les techniques et les méthodologies de test que tout pentester devrait connaître.

Le pentesting, également appelé test de pénétration, est une évaluation de sécurité, une analyse et une progression d'attaques simulées sur une application ou un réseau afin de vérifier sa posture de sécurité.


  1. Qu'est-ce qu'un test d'intrusion ?
  2. Éthiques des tests d'intrusion
  3. Règles d'engagement ( ROE )
  4. Boîte noire, boîte blanche, boîte grise Test d'intrusion

Qu'est-ce qu'un test d'intrusion ?

Un test d'intrusion ou pentest est une tentative éthique de tester et d'analyser les défenses de sécurité pour protéger ces actifs et informations. Un test d'intrusion implique l'utilisation des mêmes outils, techniques et méthodologies qu'une personne malveillante utiliserait et est similaire à un audit.

Selon Security Magazine , un magazine de l'industrie de la cybersécurité, il y a plus de 2 200 cyberattaques chaque jour - 1 attaque toutes les 39 secondes.

Éthiques des tests d'intrusion

La bataille de la légalité et de l'éthique dans la cybersécurité, sans parler des tests d'intrusion, est toujours controversée. Des étiquettes comme "hacking" et "hacker" ont souvent des connotations négatives, en particulier dans la culture pop, grâce à quelques brebis galeuses. L'idée d'accéder légalement à un système informatique est un concept difficile à saisir - après tout, qu'est-ce qui le rend légal exactement ?

Rappelons qu'un test d'intrusion est un audit autorisé de la sécurité et des défenses d'un système informatique tel qu'accepté par les propriétaires des systèmes. La légalité de la pénétration est assez claire dans ce sens ; tout ce qui ne relève pas de cet accord est réputé non autorisé.

Avant le début d'un test d'intrusion, une discussion formelle a lieu entre le testeur d'intrusion et le propriétaire du système. Divers outils, techniques et systèmes à tester sont convenus. Cette discussion constitue le champ d'application de l'accord de test d'intrusion et déterminera le déroulement du test d'intrusion.

L'éthique est le débat moral entre le bien et le mal ; là où une action peut être légale, elle peut aller à l'encontre du système de croyances du bien et du mal d'un individu.

Les testeurs d'intrusion seront souvent confrontés à des décisions potentiellement moralement discutables lors d'un test d'intrusion. Par exemple, ils accèdent à une base de données et se voient présenter des données potentiellement sensibles. Ou ils effectuent peut-être une attaque de phishing contre un employé pour tester la sécurité humaine d'une organisation. Si cette action a été convenue au cours des étapes initiales, elle est légale, mais éthiquement discutable.

Les pirates sont classés en trois catégories, où leur éthique et leurs motivations derrière leurs actions déterminent dans quelle catégorie de chapeau ils sont placés.

CatégorieDescriptionExemple
White hatCes pirates sont considérés comme les "bonnes personnes". Ils respectent la loi et utilisent leurs compétences au profit des autres.Par exemple, un testeur d'intrusion effectuant un engagement autorisé sur une entreprise.
Grey hatCes personnes utilisent souvent leurs compétences au profit des autres ; cependant, ils ne respectent pas / ne suivent pas la loi ou les normes éthiques à tout moment.Par exemple, quelqu'un supprime un site frauduleux.
Black hatCes personnes sont des criminels et cherchent souvent à nuire aux organisations ou à obtenir une certaine forme d'avantage financier au détriment des autres.Par exemple, les auteurs de rançongiciels infectent les appareils avec du code malveillant et conservent les données contre une rançon.

Règles d'engagement ( ROE )

Le ROE est un document qui est créé aux premières étapes d'un engagement de test d'intrusion. Ce document se compose de trois sections principales, qui sont responsables en dernier ressort de décider de la manière dont la mission est menée.

SectionDescription
AutorisationCette section du document autorise explicitement la réalisation de la mission. Cette autorisation est essentielle pour protéger juridiquement les individus et les organisations pour les activités qu'ils mènent.
Portée des testsCette section du document annotera les cibles spécifiques auxquelles l'engagement doit s'appliquer. Par exemple, le test d'intrusion peut ne s'appliquer qu'à certains serveurs ou applications, mais pas à l'ensemble du réseau.
RèglesLa section des règles définira exactement les techniques autorisées lors de l'engagement. Par exemple, les règles peuvent stipuler spécifiquement que des techniques telles que les attaques de phishing sont interdites, mais les attaques MITM (Man-in-the-Middle) sont acceptables.

Boîte noire, boîte blanche, boîte grise Test d'intrusion

Il existe trois portées principales lors du test d'une application ou d'un service. Votre compréhension de votre cible déterminera le niveau de test que vous effectuerez dans votre mission de test d'intrusion. Dans cette tâche, nous couvrirons ces trois portées de test différentes.

Test en boîte noire

Ce processus de test est un processus de haut niveau dans lequel le testeur ne reçoit aucune information sur le fonctionnement interne de l'application ou du service.

Le testeur agit comme un utilisateur régulier testant la fonctionnalité et l'interaction de l'application ou du logiciel. Ce test peut impliquer une interaction avec l'interface, c'est-à-dire des boutons, et un test pour voir si le résultat escompté est renvoyé. Aucune connaissance en programmation ou compréhension du programme n'est nécessaire pour ce type de test.

Les tests Black-Box augmentent considérablement le temps passé pendant la phase de collecte et d'énumération des informations pour comprendre la surface d'attaque de la cible.

Tests en boîte grise

Ce processus de test est le plus populaire pour des choses telles que les tests de pénétration. Il s'agit d'une combinaison de processus de test en boîte noire et en boîte blanche. Le testeur aura une connaissance limitée des composants internes de l'application ou du logiciel. Pourtant, il interagira avec l'application comme s'il s'agissait d'un scénario de boîte noire, puis utilisera leur connaissance de l'application pour essayer de résoudre les problèmes au fur et à mesure qu'ils les trouveront.

Avec les tests Grey-Box, les connaissances limitées fournies permettent de gagner du temps et sont souvent choisies pour des surfaces d'attaque extrêmement bien durcies.

Tests en boîte blanche

Ce processus de test est un processus de bas niveau généralement effectué par un développeur de logiciels qui connaît la programmation et la logique d'application. Le testeur testera les composants internes de l'application ou du logiciel et, par exemple, s'assurera que des fonctions spécifiques fonctionnent correctement et dans un délai raisonnable.

Le testeur aura une connaissance complète de l'application et de son comportement attendu et prend beaucoup plus de temps que les tests en boîte noire. La connaissance complète d'un scénario de test White-Box fournit une approche de test qui garantit que toute la surface d'attaque peut être validée.

Découvrez nos derniers articles sur le sujet

Pentesting, White Hat Hacking : Les différentes méthodologies

Pentesting, White Hat Hacking : Les différentes méthodologies

Découvrez l'éthique et les différentes méthodologies qui se cachent derrière chaque test d'intrusion.

En savoir plus
Pentesting, White Hat Hacking : Les grands principes

Pentesting, White Hat Hacking : Les grands principes

Les mesures, les cadres et les protocoles dont il est question dans cet article jouent tous un petit rôle dans la « Défense en profondeur ».

En savoir plus
Les meilleures pratiques pour sécuriser vos API

Les meilleures pratiques pour sécuriser vos API

Une interface de programmation d'application (API) est un protocole qui permet aux composants logiciels d'interagir.

En savoir plus
Ce que vous devez savoir sur le pentesting de plateforme SaaS

Ce que vous devez savoir sur le pentesting de plateforme SaaS

GIFTED peut vous aider, en effectuant des tests d'intrusion de l'application SaaS, soit pour le compte du fournisseur SaaS, soit pour le compte du client du fournisseur SaaS.

En savoir plus

Vous avez un projet de développement web ?
Vous souhaitez faire un audit technique et SEO ou tester la sécurité de votre SI ?

Recevoir les dernières nouvelles de GIFTED

Incrivez-vous pour recevoir une alerte lorsqu'un nouvel article sera disponible. No SPAM. Promis!