Test de sécurité intrusion
Le test de sécurité intrusion se caractérise par son réalisme. Notre entreprise de sécurité informatique, pour une intrusion, utilisent des méthodologies de test identiques à celles qu'un pirate met en oeuvre sur le terrain.
La pertinence des tests d'intrusion réalisés par NBS System souligne les points de vulnérabilité précis qu'un individu mal intentionné pourrait mettre à profit pour une intrusion.
Un test d'intrusion peut révéler des failles de sécurité multiples qui seraient passées inaperçues sans ce test. Une intrusion est si vite arrivée !
Test d'Intrusion Externe
Test d'Intrusion Interne
Test de sécurité intrusion définition
Mettre à l'épreuve, dans des conditions les plus proches de la réalité possibles, un environnement. L'objectif est d'estimer la resistance de ce dernier. Notre entreprise de sécurité informatique vous propose plusieurs formules de test de sécurité intrusion.
Test d'intrusion d'application
Tests d'intrusion
(ou tests de sécurité)
Externe (TSE) / Interne (TSI)
Applicatif (TSA)
Introduction
Donner carte blanche à un tiers pour tester son système d'information est une marque de confiance très forte. Voici nos engagements en retour :
- Les tests d'intrusion sont menés par des professionnels qui comprennent ce que représente un SI, qui savent le temps qui est alloué à son entretien.
- Nos experts ont une déontologie très forte et signent des clauses de confidentialité tout comme la société NBS System avec son client.
- Les éventuelles données qui auraient pu être exfiltrées, trouvées ou vues lors d'un test sont détruites de nos disques après les tests.
- Si une personne se fait piéger par un de nos experts ou par une de nos méthodes d'intrusion, son nom ne figurera pas dans le rapport.
- Nos outils de test, comme par exemple les chevaux de Troie, sont des versions faites par nos soins et sont non destructifs pour le réseau ou la machine ciblée.
- D'une manière générale, tout le soin nécessaire est apporté pour que le système d'information ne soit pas perturbé, ou le moins possible, par les tests.
Externe (TSE) / Interne (TSI)
Le test d'intrusion externe a pour objectif de savoir si une personne mal intentionnée pourrait, depuis Internet, tenter de compromettre la sécurité du SI. S'il pourrait prendre le contrôle, s'approprier des données sensibles, les exfiltrer ou encore dégrader l'image ou la capacité de production de la société.
TSE
TSE : Test d'intrusion Externe
- Une approche pragmatique visant à déterminer le niveau d'exposition réel du Système d'Information
- Eprouver les sécurités en place contre les attaques qu'utiliseraient des personnes mal intentionnées
- Obtenir un retour réaliste des investissements et préparer l'avenir avec un plan de vol précis
- Savoir se prémunir légalement et techniquement
TSE - Méthodes de travail
La sécurité des composants suivants :
- Routeurs / Modem
- Serveurs DMZ (Web, DNS, mail...)
- Pare Feu / Proxy ...
Sera testée avec les méthodes suivantes (liste non exhaustive) :
- Attaques par Overflows
- Usurpation d'identité et/ou de droits
- Injection d'un cheval de Troie dans le LAN
- Recherche d'authentifiants faibles
- Attaque par dictionnaire/Rainbow tables
- Attaque par dictionnaire/Rainbow tables
- Anti DNS pinning & DNS Poisonning
- Spoofing / Sniffing / MTM (man in the middle)
- Ingénierie sociale
Ceci dans le but de mener les actions suivantes
- Cartographier le réseau & outrepasser ses sécurités
- Prendre position dans le LAN
- Atteindre et exfiltrer des données sensibles
- Prendre les droits les plus élevés dans le SI
Si un ou des service(s) Web sont trouvé(s), des tests d'intrusion complémentaires seront menés
- Test de forge d'URL/URI
- Test de forge d'URL/URI
- Cross Site Scripting / XSS / XSRF
- Spoofing HTTP / vol de cookies
- HTTP Smuggling
TSE - Schéma type
Test d'intrusion Interne (TSI)
Le test d'intrusion interne a pour objectif de vérifier si un collaborateur mal intentionné ou une taupe placée par la concurrence pourrait espionner ou exfiltrer des informations sensibles depuis le LAN. Il est aussi à même de mettre en évidence l'exposition du LAN aux attaques automatisé comme par exemple les Virus, Vers et autres Malwares.
TSI
TSI : Test d'intrusion Interne
- Vérifier si son SI résisterait à une attaque interne et combien de temps.
- Savoir si une personne mal intentionnée verrait ses actions tracées, permettant ainsi un recours juridique.
- Définir les correctifs à apporter à la sécurité du SI
TSI - Méthodes de travail
La sécurité des composants suivants :
- Serveurs du LAN (intranet, AS400, Mail ...)
- Serveurs DMZ (Web, DNS, mail...)
- Stations de travail & portables collaborateurs
Sera testée avec les méthodes suivantes (liste non exhaustive) :
- Attaques réseau (sniffing / ARP spoofing)
- Usurpation d'identité et/ou de droits
- Recherche d'authentifiants faibles
- Recherche de flux non cryptés
- Attaque des mots de passe
- Replay & birthday attacks
- Anti DNS pinning & DNS Poisonning
- Spoofing / Sniffing / MTM (man in the middle)
- Test de forge d'URL/URI
- Attaque SNMP
- Cross Site Scripting / XSS / XSRF / injection SQL
- Spoofing HTTP / vol de cookies
- HTTP Smuggling
Ceci dans le but de mener les actions suivantes
- Outrepasser les sécurités du LAN
- Prendre position dans le LAN
- Atteindre et exfiltrer des données sensibles
- Prendre les droits les plus élevés dans le SI
Test d'intrusion Applicatif (TSA)
Le test d'intrusion applicatif sert à détecter les vulnérabilités dans des applicatifs lourds ou légers. Les sites marchands, mais également les intranets, les ERP ou toutes les applications « maisons ».
Il se déroule en « Whitebox », avec les sources à disposition des experts ou en « Blackbox » c'est-à-dire sans aucun accès au programme originel mais seulement à l'application.
TSA - Introduction
TSA : Test d'intrusion Applicatif
- Vérifier les vulnérabilités des applications « homebrew » ou « maison »
- Savoir s'il est possible de détourner la logique applicative, les authentifications ou les paiements
- Vérifier la possibilité de fuite d'informations ou de rebonds vers le LAN
TSA - Méthodes de travail
La sécurité des composants suivants, liés à la plateforme:
- DNS / Proxy / RProxy
- Serveurs Web et/ou applicatifs
- Serveurs de bases de données
- Serveur Business Intelligence
- Firewall / dispositifs de sécurité
Sera testée avec les méthodes suivantes (liste non exhaustive) :
- Test de forge d'URL/URI, XSS, XSRF, CSRF
- Injection SQL
- Session Hijacking
- Spoofing & Smuggling
- Overflows
- Attaques d'identifiants (login/pass)
- Attaque par rejeu & anniversaire
- Anti DNS pinning et DNS Poisoning
- Vulnérabilité Ajax
- Vulnérabilité de logique et de contrôle
Ceci dans le but de mener les actions suivantes
- Comprendre l'application et son architecture
- Outrepasser les droits ou la logique
- Trouver les failles de l'application
- Obtenir des transactions normalement impossibles
- Atteindre des données sensibles
- Rebondir vers d'autres serveurs ou zones (LAN/DMZ/...)
Test d'Ingénierie Sociale (IS)
L'ingénierie sociale est une méthode de manipulation des interlocuteurs humains permettant de gagner un temps important pour un pirate. Les techniques relèvent autant de la PNL que de celles utilisées par les escrocs mais la faille humaine reste bien souvent la plus importante. La sécurité ne tenant que par son maillon le plus faible, il convient de s'assurer que ce ne sont pas les humains, puisque là aussi des solutions existent.
Démarche des tests d'Ingénierie Sociale
- Tentative d'usurpation d'identité
- Mise d'interlocuteurs en situation de stress afin d'obtenir le comportement souhaité
- Utilisation de faux supports publicitaires comprenant des chevaux de Troie
- Usurpation d'identités éléctroniques
- Bypass social (urgence, hiérarchie, etc...)
- Attaques téléphoniques
- Envoi de conrrier ayant pour objectif d'obtenir un comportement particulier d'un des récepteurs
- Attaque hiérachique (personne se faisant passer pour le supérieur d'une autre)
- Faux supports éléctroniques (mini CD publicitaire, clef USB cadeau...)
- Urgence téléphonique (personnel en déplacement, négotiation contrat
- Actions sensibles transmises par canaux non sécurisés (mail, téléphone...)
- Demande de réinitialisation de mot de passe (pour cause d'oubli, vol...)
- Faux livreur de pizza insérant une clef USB sur le poste de l'accueil
- Autres...
Rapports
Un test d'intrusion ne sert qu'à prendre conscience des problèmes. Les rapports eux sont un carnet de route vers un système plus sécurisé. Nos experts savent que c'est ce qui restera de leur travail, aussi apportent ils le plus de soin possible à leur rédaction et aux contenus.
Rapports
NBS System remet 3 rapports à l'issue d'un test d'intrusion :
- Un rapport de test d'intrusion technique qui comprend les méthodes employées et les résultats associés. Il détaille les failles trouvées en les classant selon leurs complexités de mise en ouvre et leurs portées. Il permet aussi à l'équipe locale de refaire les tests après que les correctifs aient été apportés pour vérifier leur efficacité.
- Un rapport de préconisation qui permet à l'entreprise de renforcer ses défenses en corrigeant les failles détectées. C'est le plan de vol de l'équipe technique pour renforcer la sécurité du SI, il est classé par ordre d'importance.
- Un rapport de CODIR, ou Comité Directeur, qui permet de sensibiliser la direction afin qu'elle aide les équipes techniques à mettre en ouvre les correctifs nécessaires. Il explique, en termes non techniques, les tenants et aboutissants de la sécurité du SI.
Extrait d'un rapport technique
- http://www.victime.org/lagssl/lagnames.nsf
- http://www.victime.org/da.nsf?OpenDatabase
- http://www.victime.org/domcfg.nsf?OpenDatabase
