Embed Size (px)
Citation preview
Automne 2012 SÉCUS | 12 |
Les organisations font-elles régulièrement vérifier la sécuritéde leur environnement technologique par des firmes externesqui effectuent des analyses de vulnérabilité et des tests d’in-trusion ? Si oui, le font-elles pour les bonnes raisons ?
Michel Cusin est le fondateur de la firmeCusin Sécurité inc. Il possède plus de douzeans d’expérience en sécurité de l’infor -mation. En tant qu’ins tructeur et consultanten sécu rité, il a développé une solideexpertise en architecture, en analyses de vulnérabilité, en tests d’intrusion, engestion d’in cident, en formation, etc. Il détient entre autres les certificationsCISSP, GIAC (GCIH, GPEN), CEH, OPST etd’autres, reliées à divers manufacturiersde solutions de sécurité. Il est l’un desrares mentors et instructeurs franco -phones au SANS Institute et il est chargéde cours au certificat en cybersécurité de la Polytechnique de Montréal. Il par-ticipe à divers événements de sécurité à titre de conférencier, publie des articles et fait partie des responsables de BSidesQuébec. Son blogue traite desujets liés à la sécurité.
E X P E R T I S E
«Sans équivoque, le test de pénétration détermine les risques d’affaires réels de l’organisation dans le but de pallier ces derniers le plus rapidement et le plus efficacementpossible. L’un de ses objectifs peut être de tester les mécanismes de défense déjà en place tant sur le plan technologique que sur celui des processus.»
Test depénétration (pentest ) : au-delà des apparencesPAR MICHEL CUSIN, fondateur de la firme Cusin Sécurité inc.
Malheureusement, certaines entreprises font faire des tests de pénétrationafin d’obtenir le « papier » et de pouvoir dire qu’elles ont utilisé leur budget à cet effetet qu’elles ont donc fait leur devoir en ce qui concerne la sécurité de leur environ-nement technologique. D’autres font faire des tests d’intrusion afin de découvrir lesfailles de leur environnement technologique et d’avoir sur lui la même vision que lesattaquants pour exploiter les vulnérabilités et recréer ce qui pourrait se produiredans la vraie vie.
Peu importe les motivations pour lesquelles ces organisations font faire cesvérifications. Un fait demeure. Au final, la seule chose qu’elles auront entre lesmains sera le rapport pour lequel elles auront payé. Mais, connaissent-elles laméthode utilisée par le pentesteur ? Puis, savent-elles à quoi elles devraient s’at-tendre de ce dernier ? Quel est l’objectif d’un test de pénétration ? Qu’est-ce quidevrait se retrouver dans le rapport ?
TEST DE PÉNÉTRATION ET ANALYSE DE VULNÉRABILITÉUn test de pénétration est très différent et beaucoup plus intrusif qu’une
simple analyse de vulnérabilité. Il consiste principalement à pousser plus loinl’analyse de vulnérabilité en exploitant les failles découvertes lors de cette dernière.Une analyse de vulnérabilité est donc l’une des étapes d’un test de pénétration etelle est loin d’être aussi exhaustive.
Alors, pourquoi effectuer un test de pénétration plutôt qu’une simple analysede vulnérabi lité ? Après tout, si les vulnérabilités sont identifiées et corrigées rapide-ment, où est le problème ?
Suite en page 13
Automne 2012 SÉCUS | 13 |
Le pirate sérieux qui trouve une vulnérabilité sur unsystème ne s’arrêtera pas là. Il utilisera cette faille pour com-promettre le système afin de s’en servir comme tremplin oupivot dans le but d’accéder au reste de l’environnement etd’atteindre ainsi le système qui contient le « secret de laCaramilk ».
De plus, comme les techniques d’attaque ont grande-ment évolué, les attaquants utilisent maintenant desméthodes qui exploitent des vecteurs d’attaque qu’une simpleanalyse de vulnérabilité ne « couvre » pas nécessairement,contrairement à un test de pénétration.
Les pirates, eux, font de vrais tests. Les entreprises,elles, en font-elles ?
Voici une analogie intéressante. Quelle méthode est laplus efficace pour détecter une bombe cachée dans unevalise à l’aéroport ? Celle de tapoter la valise légèrementsans l’ouvrir en demandant à son transporteur s’il y a unebombe à l’intérieur ou celle d’ouvrir la valise, de la passer auxrayons X et de la faire sentir par un chien renifleur ? En fait,veut-on vraiment savoir ce qu’il y a à l’intérieur ? Si la réponseest non, boum ! Si la réponse est oui, on prend les moyens quis’imposent pour le savoir. Toutefois, qu’advient-il si la machineà rayons X n’affiche qu’une partie de l’image ou qu’elle ne pro-duit aucune alerte si elle détecte quelque chose ? Ou qu’arrive-t-il si le chien renifleur ne s’assoit pas à côté de la valise ous’il ne jappe pas lorsqu’il sent les explosifs ? Et si le person-nel ne reçoit aucune consigne sur la façon de gérer la situa-tion ? Évidemment, le parallèle avec les tests et les rapportsdéficients est simple à faire. Non ?
Malheureusement, les rapports d’analyses de vulnéra-bilité ne sont que trop souvent des copier-coller presque inté-graux et sans valeur ajoutée du résultat provenant d’un outilaccessible à tous (parfois gratuit). Pire encore, certaines firmes
livrent à leurs clients le rapport original de l’outil lui-même enne changeant parfois que le logo du haut de la page, ce quin’a, encore une fois, aucune valeur ajoutée et qui démontreun manque de compétence et un laxisme flagrant. Le toutest bien sûr assorti d’une facture probablement trop élevée sil’on considère la valeur réelle du résultat qui est, sommetoute, « un léger tapotement » sans valeur ajoutée. Certainsprofessionnels de l’industrie appellent ces tests des “ReallyCrappy Penetration Test1”.
Évidemment, si le client ne recherche qu’un balayagede port ou de vulnérabilité, ce qui ne se compare d’aucunefaçon à une analyse de vulnérabilité et encore moins à untest de pénétration en ce qui concerne la valeur pour l’orga -nisation, c’est différent. Les objectifs et les résultats sonttrès différents et la valeur est loin d’être la même.
LE RAPPORT D’UN TEST DE PÉNÉTRATIONUn rapport d’analyse de vulnérabilité ou de test de
pénétration devrait notamment inclure la méthodologie uti -lisée, l’expertise d’un professionnel en sécurité, l’intelligencehumaine, l’interprétation de données, des explications, desrecommandations, un sommaire, une conclusion et un cer-tain accompagnement pour qu’il y ait une valeur réelle pourle client. Si une entreprise reçoit un rapport qui ne contientpas ces éléments, elle est en droit de s’interroger et mêmede refuser le rapport.
De plus, un rapport devrait inclure la liste détaillée desvulnérabilités, idéalement par ordre de sévérité (haute,moyenne, basse). Pour chacune des vulnérabilités, desinfor mations telles qu’une description de la vulnérabilité, lafaçon dont cette dernière peut être exploitée par un atta -quant, le type de connaissances requises pour l’exploiter, dessolutions pour chacune des vulnérabilités découvertes et lessystèmes affectés devraient être fournies.
Suite en page 14
Suite de la page 12
Automne 2012 SÉCUS | 14 |
Puis, un rapport devrait présenter des recommanda-tions spécifiques basées sur les résultats réels du présenttest et non des conseils génériques (par exemple, « suivezles bonnes pratiques et appliquez les rustines ») qui pour-raient s’appliquer à n’importe quel environnement du mêmetype. Non pas que ces avis ne devraient pas s’y retrouver,mais ils devraient être contextualisés et non génériques.
Dans un test de pénétration, la transparence est demise, donc aucune « magie-noire-ésotérique-vaudou » nedevrait venir mystifier le test, bien au contraire. L’organisationest en droit de savoir tout ce qui se passe. L’heure de débutet de fin de l’une des phases du test, l’adresse IP source dutesteur, le système exploité, le moment approximatif del’événement, les techniques et outils utilisés, etc.
Il s’agit de l’environnement de l’entreprise. Ses respon-sables doivent être à l’aise avec le processus. L’utilisationd’une méthodologie reconnue est également très importantedans le but de s’assurer que les tests sont structurés et tou-jours effectués de la même façon. De cette manière, les résul -tats devraient être les mêmes, peu importe qui fait le test.Plusieurs méthodes existent à cet effet telles que l’Open SourceSecurity Testing Methodology Manual2, le Penetration TestingExecution Standard3, le Technical Guide to InformationSecurity Testing and Assessment du National Institute ofStandards and Technology4. L’organisation est également endroit de demander à ce que la liste des outils utilisés pourfaire les tests apparaisse dans le rapport, et ce, tant sur leplan des outils commerciaux que des logiciels libres (opensource).
LE COÛT D’UN TEST DE PÉNÉTRATIONLe coût d’un test de pénétration peut varier de façon
importante. Trop souvent, la décision de l’entreprise n’estbasée que sur le prix du test de pénétration. C’est donc lemoins cher qui l’emporte ! Cependant, comme il s’agit de lasécurité de son environnement technologique, de ses don-nées, de sa réputation, et de bien plus encore, l’organisation
doit comprendre l’importance de prendre le temps d’y réfléchirsérieusement. Si quelqu’un magasine une fourgonnette pourtransporter sa famille, le prix du véhicule sera-t-il son uniquecritère ou considérera-t-il également les options de sécurité ?
CONSEILSMagasinez vos tests et utilisez les éléments men-
tionnés plus tôt afin de vous faire une grille d’évaluation.N’hésitez surtout pas à rajouter des critères qui vous sem-blent importants. Cela vous aidera à comparer les différentesoptions disponibles dans les offres que vous recevrez. Decette façon, vous serez en mesure de comparer des pommesavec des pommes.
L’objectif d’un test de pénétration est donc de déter-miner les risques d’affaires et non de démontrer comment lepentesteur est un « super-l337-kung-fu-ninja » et que rien nelui résiste. N’oubliez pas que le résultat, et ce pour quoi vouspayez, c’est le rapport. C’est lui qui vous aidera vraiment àdéterminer les risques, les vulnérabilités, les actions et lesbudgets auxquels vous devez accorder la priorité.
Bon test de pénétration ! !
1. « Très mauvais test de pénétration »,http://pen-testing.sans.org/blog/2012/02/09/maximizing-value-in-pen-testing?reply-to-comment=101.
2. www.isecom.org/research/osstmm.html (en anglais).3. www.pentest-standard.org/ (en anglais).4. csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf
(en anglais).
«Beaucoup trop d’entreprises se contentent de rapports médiocres et sans
valeur réelle. Un test de pénétration dequalité moyenne avec un bon rapport
est beaucoup mieux qu’un super test depénétration avec un rapport médiocre.»
(www.secus.ca)
Abonnez-vous à notre magazine !
Suite de la page 13
