PenTest : comment les hackers éthiques simulent les attaques

Qu'est-ce qu'un test de pénétration ?

Le test de pénétration, ou pentesting, est un processus par lequel un professionnel de la sécurité simule une attaque sur un réseau ou un système informatique afin d'en évaluer la sécurité, avec l'autorisation des propriétaires du système. Mais il ne faut pas se laisser abuser pas le mot « simuler » : le testeur d'intrusion ou pentesteur utilise tous les outils et techniques des pirates malintentionnés du monde réel pour s'attaquer au système cible. Cependant, au lieu d'utiliser les informations qu'ils découvrent ou le contrôle qu'ils parviennent à obtenir à des fins d’enrichissement personnel, ou autres, ils communiquent leurs résultats aux propriétaires des systèmes cibles afin qu’ils puissent renforcer leur sécurité.

Parce que le pentesteur utilise les mêmes méthodes que son pendant malveillant, les tests d'intrusion sont parfois appelés « hacking éthique » ou « white hat hacking ». Les premiers testeurs d'intrusion avaient souvent débuté comme pirates malveillants avant d’agir dans un cadre légitime, mais c’est moins le cas aujourd'hui. Les termes « red team » ou « red teaming », dérivés du nom donné à l'équipe qui joue le rôle d’ennemi dans les scénarios de guerre simulés par l'armée, sont aussi utilisés pour désigner ces hackers éthiques. Les tests d'intrusion peuvent être réalisés par des équipes ou des pirates individuels, lesquels sont soit employés de l'entreprise cible, soit travaillent de manière indépendante ou pour des entreprises de sécurité qui fournissent des services de tests d'intrusion spécialisés.

Fonctionnement du test d'intrusion

Pris au sens large, le test d'intrusion fonctionne exactement de la même manière qu'une tentative réelle d'intrusion dans les systèmes d'une entreprise. Les pentesteurs commencent par examiner et prendre l'empreinte des hôtes, des ports et des services réseau associés à l’entreprise cible. Ils recherchent ensuite les vulnérabilités potentielles de cette surface d'attaque, et cette recherche peut se poursuivre par un sondage plus étendu du système cible. Au final, le but est d’essayer de pénétrer dans le périmètre de leur cible et d'accéder à des données protégées ou de prendre le contrôle de leurs systèmes.

Bien sûr, les procédures peuvent varier considérablement. En effet, il existe différents types de tests d'intrusion (voir plus loin). Mais il est important de noter en premier lieu que le type exact de test effectué et la portée de l'attaque simulée doivent être convenus à l'avance entre les testeurs et l’entreprise cible. Un test d'intrusion qui réussit à pénétrer dans les systèmes ou les données sensibles d'une entreprise peut provoquer beaucoup de ressentiment ou d'embarras parmi les responsables IT ou de la sécurité de cette entreprise, et il n'est pas rare que les entreprises cibles se plaignent que les pentesteurs ont outrepassé leurs limites ou se sont introduits dans des systèmes contenant des données de grande valeur qu'ils n'étaient pas autorisés à tester - et les menacent de poursuites judiciaires. Établir à l'avance les règles de base sur le périmètre couvert par un test de pénétration particulier joue un rôle important dans le choix du test et son modus operandi.

Types de tests de pénétration

Plusieurs décisions clés vont déterminer la modalité du test d'intrusion. L’entreprise de sécurité informatique Contrast Security répartit les types de tests en plusieurs catégories :

- le test d'intrusion externe : il simule ce que l’on pourrait appeler un scénario de piratage typique, avec une personne extérieure qui sonde le périmètre de défense de l’entreprise cible pour essayer de trouver des faiblesses à exploiter;

- le test d’intrusion interne : il montre ce qu'un attaquant qui se trouve déjà à l'intérieur du réseau - un employé mécontent, un entrepreneur malintentionné ou un pirate superstar qui parvient à franchir le périmètre - serait capable de faire;

- le test en aveugle : il simule une attaque « réelle » du côté de l'attaquant. Le pentesteur ne reçoit aucune information sur le réseau ou les systèmes de l’entreprise, ce qui l'oblige à s'appuyer sur des informations accessibles au public ou qu'il peut glaner grâce à ses propres compétences;

- le test en double aveugle : il simule une attaque réelle du côté de l’entreprise cible, mais dans ce type d'engagement, le test d'intrusion est réalisé sans informer le personnel IT et de sécurité afin de garantir que la posture de sécurité typique de l'entreprise sera testée;

- le test ciblé, parfois appelé « test d'allumage » : il implique que les pentesteurs et le service IT de la cible jouent un « jeu de guerre » simulé dans un scénario spécifique portant sur un aspect particulier de l'infrastructure du réseau. Un test ciblé nécessite généralement moins de temps ou d'efforts que les autres options, mais ne fournit pas une image aussi complète.

L'entreprise de sécurité informatique Synopsis propose une autre approche des différents types de tests, basée sur la connaissance préliminaire de l’entreprise cible dont disposent les testeurs avant de commencer leur travail. Dans un test de type « boîte noire », l'équipe de pirates éthiques ne sait rien sur ses cibles, la facilité ou la difficulté relative d'en apprendre davantage sur les systèmes de l’entreprise cible étant l'un des éléments testés. Dans un test de « boîte blanche », les pentesteurs auront accès à toutes sortes d'artefacts du système, y compris le code source, les binaires, les conteneurs et parfois même les serveurs qui exécutent le système ; le but est de déterminer le degré de résistance des systèmes cibles face à un initié vraiment bien informé qui chercherait à augmenter son niveau de permissions pour obtenir des données précieuses. Bien entendu, les connaissances préliminaires d'un attaquant du monde réel peuvent se situer quelque part entre ces deux pôles, et l’on peut donc également effectuer un test en « boîte grise » qui reflète ce scénario.

Étapes des tests de pénétration

Même si chacun de ces différents types de tests de pénétration présente des aspects uniques, la norme PTES (Penetration Test Executing Standard), élaborée par un groupe d'experts du secteur, définit sept grandes étapes que l’on retrouve dans la plupart des scénarios de tests de pénétration.

- Interactions de pré-engagement : comme nous l'avons noté, tout test d'intrusion doit être précédé d’un accord entre les testeurs et l’entreprise cible quant à la portée et les objectifs du test, de préférence par écrit.

- Collecte de renseignements : le testeur doit commencer par effectuer une reconnaissance de la cible afin de recueillir le plus d'informations possible, un processus qui peut inclure la collecte de renseignements dits de source ouverte, ou d'informations accessibles au public, sur l’entreprise cible.

- Modélisation de la menace : dans cette phase, le pentesteur doit modéliser les capacités et les motivations d'un véritable attaquant potentiel et tenter de déterminer quelles cibles au sein de l’entreprise cible pourraient attirer l'attention de cet attaquant.

- Analyse des vulnérabilités : c’est probablement l'élément central auquel pensent la plupart des gens quand il est question de tests d'intrusion : l'analyse de l'infrastructure de l’entreprise cible pour détecter les failles de sécurité qui permettront un piratage.

- Exploitation : dans cette phase, le pentesteur utilise les vulnérabilités qu'il a découvertes pour pénétrer dans les systèmes de l’entreprise cible et exfiltrer des données. L'objectif n'est pas seulement de pénétrer dans le périmètre de l’entreprise, mais de contourner aussi les contre-mesures actives et de ne pas être détecté le plus longtemps possible.

- Post-exploitation : dans cette phase, le pentesteur essaye de garder le contrôle des systèmes qu'il a violés et d'en déterminer la valeur. C’est une phase particulièrement délicate en termes de relation entre les testeurs et leurs clients. Pour cette étape, il est important que les interactions préalables à la première phase aient permis d'établir un ensemble de règles de base bien définies qui protégeront le client et garantiront qu'aucun service essentiel du client ne sera affecté par le test.

- Rapports : enfin, le testeur doit être en mesure de fournir à son client un rapport complet et documenté sur les risques et les vulnérabilités qu'il a découverts. Dans une enquête réalisée par CSO auprès de plusieurs professionnels de la sécurité sur les caractéristiques et les compétences qu'un pirate éthique, beaucoup d'entre eux ont déclaré que les compétences en communication nécessaires pour transmettre clairement ces informations étaient une priorité.

Outils de test de pénétration

La panoplie d'outils du hacker éthique est à peu près identique à celle qu'utiliserait un hacker malveillant. L'outil le plus important de leur boîte à outils sera probablement Kali Linux, un système d'exploitation spécifiquement optimisé pour les tests d'intrusion. Kali (la plupart des pentesteurs déploient l’outil dans une machine virtuelle plutôt que nativement sur leur propre matériel) inclut toute une série de programmes utiles, et en particulier :

- nmap

- Metasploit

- Wireshark

- John the Ripper

- Hashcat

- Hydra

- Zed Attack

- sqlmap

Services et entreprises de tests d'intrusion

Pour l’instant, le test d'intrusion est un domaine de spécialisation de l'industrie technologique qui a bien résisté à la consolidation. En d'autres termes, un grand nombre d'entreprises proposent des services de tests d'intrusion, soit à l’intérieur d’un ensemble d'offres plus large, soit en se spécialisant dans le piratage éthique. Dans Hacker Noon, l’entreprise de recherche et de conseil Explority a dressé la liste des 30 meilleures entreprises de tests d'intrusion, avec pour chacune, les raisons pour lesquelles a elle été sélectionnée et ce qui a motivé son classement. Cette liste est assez complète, et le fait qu'il n'y ait pratiquement aucun chevauchement avec la liste des entreprises de tests de pénétration les mieux notées de Clutch ou avec les entreprises de pénétration à surveiller en 2021 de Cybercrime Magazine montre à quel point ce domaine est diversifié.

Emplois dans le pentesting

Le grand nombre d’entreprises proposant des tests d'intrusion va de pair avec une forte demande de pentesteurs et les candidats qualifiés peuvent avoir accès à des emplois bien rémunérés. Les entreprises de sécurité indépendantes ne sont pas les seules à rechercher ces profils : beaucoup de grandes entreprises technologiques, comme Microsoft, emploient des pentesteurs en interne. Le département « IT Careers » de l'université d'Etat de Caroline du Nord offre une bonne idée des perspectives de ce type de carrière. Sur la seule année 2020, ce département avait recensé plus de 16 000 offres d’emplois. Néanmoins, il faut préciser que dans son décompte, l'université d'État de Caroline du Nord regroupe les carrières de pentesteur et d'analyste de vulnérabilité. Les deux carrières reposent sur de nombreuses compétences communes, mais les analystes de vulnérabilité se concentrent sur la recherche de failles dans la sécurité des applications et des systèmes quand ils sont encore en développement ou avant leur déploiement, alors que les pentesteurs sondent les systèmes actifs. 

Formation et certification en matière de pentesting

L'industrie du piratage éthique a été fondée par des pirates qui n'étaient pas très respectueux de l'éthique et qui cherchaient un moyen légal de tirer profit de leurs compétences. Comme c'est le cas dans de nombreux domaines technologiques, cette première génération de testeurs d'intrusion était largement autodidacte. Même s'il y a encore de la place pour les personnes qui ont développé leurs compétences sur le tas, les tests d'intrusion sont désormais couramment étudiés dans les cursus universitaires en informatique ou en technologies de l'information, sans parler des cours en ligne, si bien que les recruteurs rechercheront plutôt des candidats pouvant attester d’une formation formelle.

L'une des meilleures façons de valider ses compétences en matière de tests d'intrusion est d'obtenir l'une des nombreuses certifications largement acceptées dans ce domaine. Les offres de formation associées aux certifications suivantes sont un excellent moyen d'acquérir ou de perfectionner les compétences plus pertinentes :

- EC-Council's Certified Ethical Hacker (CEH) et Licensed Penetration Tester (Master) (LPT);

- Certified Penetration Tester (CPT), Certified Expert Penetration Tester (CEPT), Certified Mobile and Web Application Penetration Tester (CMWAPT) et Certified Red Team Operations Professional (CRTOP) de l’IACRB;

- PenTest+ de CompTIA;

- Testeur de pénétration (GPEN) et Chercheur d'exploits et testeur de pénétration avancé (GXPN) du GIAC;

- Offensive Security : Certified Professional, Wireless Professional et Experienced Penetration Tester.

Salaire des pen-testeurs

Comme c'est le cas pour de nombreux emplois dans le domaine de la sécurité technologique, les salaires des pentesteurs peuvent être élevés. L'Infosec Institute américain donne une vue d'ensemble assez complète des rémunérations par région géographique aux Etats-Unis et par poste. Dans l'ensemble les pentesteurs peuvent espérer des salaires à six chiffres. En décembre 2021, Indeed.com fixait le salaire de base moyen d'un pentesteur aux Etats-Unis à environ 111 000 dollars, tandis que Glassdoor le situe à un peu plus de 102 000 dollars. Quoi qu'il en soit, il s’agit très clairement d’un emploi à fort potentiel et une voie à suivre pour ceux qui sont attirés par le piratage éthique.