Annonce

Réduire
Aucune annonce.

Les phases d'un pentest

Réduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Les phases d'un pentest

    les gars,

    Comment allez-vous ?

    Je sais que je ne suis pas très présent pour le moment (même pas du touten fait) mais je voulais tout de même vous faire part d'une part de document que j'ai écrit dans le cadre d'une simulation de pentest contre l'infrastructure de mon université.

    C'est un brouillon expliquant les phases du PTES.

    Profitez en bien et n'hésitez pas à me faire part de vos remarques !

    Introduction aux phases d'un pentest


    Afin de mener au mieux ce test, nous allons suivre la méthode préconisée par le PTES2. Cette dernière est composée des 7 étapes suivantes :



    1. Pré-engagement


    2. Collecte d’informations


    3. L’analyse des menaces


    4. La recherche de vulnérabilités


    5. L’exploitation


    6. La post exploitation


    7. L’écriture d’un rapport



    La dernière étape de ce standart correspond au présent document. Quant’aux autres, chacune méritant une explication sommaire, elles disperont chacune d’un paragraphe suivant.


    Le pré-engagement


    Cette phase correspond aux discussions préalables effectuées avec le client.


    Ce dernier a à cette occasion l’opportunité de fixer les limites du pentest. Il est en effet nécessaire de définir quels sont les systèmes qui sont à auditer et ceux qui ne le sont pas. Ainsi, un pentester pourrait très bien pouvoir s’attaquer à l’intégralité des adresses liées au service financier d’une entreprise mais avoir l’interdiction de s’approcher des adresses ips liées au service de recherche et développement.


    Un autre point qui doit êter fixé entre le pentester et le client est le type de pentest à effectuer. Il existe en effet deux types majeurs de pentests :



    • Le pentest en WhiteBox où le pentester a accès à l’intégralité de l’infrastructure informatique et où tous les mots de passes lui sont donnés quand il les demande. L’idée est alors, de manière extérieure de visiter l’infrastructure informatique et de se rendre compte des défauts de sécurité qu’elle comporte (problèmes de configurations, mot de passe par défaut, ...).


    • Le pentest en BlackBox où le pentester n’a au départ accès à rien d’autre qu’une information très basique telle que, par exemple, le nom de la société à auditer. Dans ce cas, le but du pentest est de prendre la place de l’attaquant et de tenter de voler une information confidentielle à la société cible. Les failles et vulnérabilités seront ensuite rapportées afin d’être corrigée par la société.



    La recherche d’informations


    Cette seconde phase est bien souvent délaissée au profit de l’exploitation (qui est plus bien évidement plus amusante). Cependant, c’est bien souvent elle qui conduit à la réussite ou à l’échec d’un test de pénétration.


    En effet, c’est dans cette phase que toutes les informations concernant le client et son système informatique seront relevées. Les informations pouvant être relevées sont de natures très diverses et peuvent aller d’une liste d’adresses IP en passant par le nom d’un employé et jusqu’à l’horaire de relève des gardes du service informatique.


    Ainsi toute information pouvant aider à connaitre, comprendre et analyser la cible est bonne à prendre. Les informations prioritaires sont bien souvent :



    • Les adresses IP


    • Les versions des logiciels utilisés


    • Les captures réseau


    • Les informations concernant le business/fonctionnement de la cible


    • ...



    L’analyse des menaces


    Le but de cette partie du pentest est de trouver les cibles pouvant de façon quasi certaine mener à une exploitation réussie (un serveur web mal configuré, une porte d’accès à l’entreprise laisée ouverte, un employé mécontant, ...)


    Cette phase utilise les informations récoltées à l’étape précédente afin d’observer le système comme un attaquant et de déterminer quels sont les points faibles ou les systèmes à attaquer. Ceux-ci mettant en exergue la meilleure méthode d’attaquer la cible


    La recherche de vulnérabilité


    Une fois que les menaces ont été analysées et que les meilleurs vecteurs d’attaque ont été trouvés, les systèmes concernés sont analysés à la recherche de vulnérabilités.


    C’est dans cette parties que sont utilisés les scanners de ports ou de vulnérabilités.


    L’idée est de lister ces dernières afin de certifier que l’utilisation d’un exploit particulier ménera bel et bien à une exploitation réussie.


    En effet, si tel n’était pas le cas, l’attaque pourrait être remarquée et le pentest pourrait échouer.


    L’exploitation


    Cette partie est sans doute la plus prestigieuse d’un pentest. C’est en effet dans cette dernière que l’on exploite les vulnérabilités trouvées sur les menaces analysées afin d’obtenir un shell3 sur le système attaqué.


    Si elle est la plus prestigieuse, elle n’est pas forcément celle qui est la mieux mise en place. Ainsi, si les phases précédentes ne sont pas bien effectuées un pentester pourrait lancer beaucoup d’exploits dans l’espoir de les voir réussir alors que le système attaqué n’est pas vulérables à ces exploits.


    Cette méthode de faire est bruyante, laisse des traces et peut mener à l’échec total de la mission de pentest.


    Un exploit ne doit être lancé que si il est presque certain qu’il fonctionnera. L’exploitation doit être effectuée avec précision


    La post-exploitation


    Cette phase en la collecte d’informations sur la machine attaquée et compromis. Ainsi, chaque machine compromise afin de définir son rôle dans l’architecture générale du parc informatique attaqué.


    Durant la post-exploitation, des données pourraient être dérobées, des backdoors pourraient être persistées et de nouveaux systèmes pourraient être attaqués4.


    C’est également dans cette phase que les tenants et aboutissants de l’exploitation réussie doivent être analysés. Quels sont en effet les applications tournants sur ce serveur ? A quoi ces données peuvent elles mener ? Les applications peuvent elles être détournées afin de servir des fins malicieuses ?


    Le rapport


    Cette partie est de loin la plus importante du test de pénétration. Elle consiste en l’écriture d’un document donnant la description détaillée de ce qui a été fait lors du pentest de l’application. La transparence entre le pentester et l’entreprise pour laquelle il effectue le pentest devrait être totale.


    Le rapport doit donner les décisions prisent lors du pré-engagement, les informations récoltées, les menaces misent en évidence ainsi les failles découvertes sur ces menaces. Ensuite, chaque exploitation doit être expliquée et prouvée. Les informations de post-exploitation doivent donner les nouvelles machines découvertes et les risques liés à la faille exploitée.


    Le rapport doit également proposer des correctifs pour les failles exploitées ainsi que des propositions générales quant’à l’amélioration de la sécurité dans la société ayant subi le pentest.






    1. Ce cours a comme référence INFO-M118


    2. PTES est l’acronyme de Penetration Testing Execution Standard (standard d’exécution de test de pénétration).


    3. Un shell est une invite de commande sur la machine attaquée


    4. Cette technique s’appelle pivoter dans le réseau. En effet, une machine de tête pourrait cacher un réseau interne en contenant de nombreuses autres. Si ces machines font également partie du cadre du pentest posé lors du pré-engement, le pentester doit se servir de la machine actuellement compromise comme tremplin pour compromettre les autres.



Chargement...
X