Test d’intrusion : comment détecter les failles de votre réseau ?

Tout responsable d’un réseau informatique local connaît les efforts importants qu’il faut déployer pour mettre en place un réseau et le maintenir. Tous les composants doivent être configurés de manière à ce qu’ils soient fonctionnels et mis à jour. Pour tous les appareils utilisateurs, les logiciels requis doivent être installés et les droits d’accès appropriés définis. Cependant, la tâche la plus importante est de développer un concept de sécurité approprié pour protéger votre propre réseau contre les attaques malveillantes. Selon la taille du réseau et la norme de sécurité requise, il existe une grande variété de mesures et de composants qui peuvent être utilisés : des logiciels pare-feu classiques, les programmes antivirus ou bien un pare-feu matériel jusqu’aux solutions avec des composants supplémentaires comme les systèmes de détection et de prévention d’intrusions.

Lorsque que la stratégie de défense est mise en place, il est important de ne toutefois pas relâcher les efforts. Des tests de sécurité réguliers pour vérifier la bonne protection du réseau sont des pratiques courantes pour les grandes entreprises ou administrations. Les tests d’intrusion ou, en anglais, penetration test, abrégé en pentest, peuvent être utilisés pour déterminer les potentielles attaques du réseau, des systèmes participants ou même d’une seule application. Sur la base des résultats, des mesures d’optimisation appropriées peuvent alors être lancées. Alors, comment réaliser un tel test et quel est son impact pour le réseau existant ?

En informatique, un pentest est une attaque planifiée d’un réseau de toute taille ou d’un ordinateur individuel dans le but de révéler les points faibles et les failles de l’objet testé. Pour cela, différents outils sont utilisés pour simuler des modèles d’attaque différents basés sur des méthodes connues. Les composants qui sont soumis au test d’intrusion sont :

• Les éléments intermédiaires du réseau comme les routeurs, les commutateurs ou les passerelles.
• Les passerelles de sécurité comme les pare-feu, filtres de paquets, antivirus, répartiteurs de charge (Load Balancer), IDS et IPS etc.
• Les serveurs comme les serveurs Web, serveurs de base de données et serveurs de fichiers etc.
• Les équipements et systèmes de télécommunication.
• Les applications Web.
• Les installations d’infrastructures comme les mécanismes de contrôle d’accès.
• Les réseaux sans fil impliqués comme les WIFI ou Bluetooth.

D’une manière générale, on distingue plusieurs méthodes : la méthode « black box » et « white box » (en français test par boîte noire ou boîte blanche). Dans le premier cas, seules les informations d’adresse du réseau ou du système cible sont mises à la disposition des tests d’intrusion. Avec la seconde méthode, les testeurs ont une connaissance approfondie des systèmes à tester, comme les adresses IP et les composants logiciels et matériels utilisés. Par conséquent, les tests d’intrusion « white box » couvrent également les scénarios d’attaque qui ne sont pas pris en compte pas un test par boîte noire comme par exemple l’attaque d’un hacker bien informé au sein du système.  

En principe, plus vos données sont importantes, plus le risque d’attaque est grand. Les autorités et les banques qui gèrent une mine de données clients personnelles assez sensibles sur leurs clients, sont des cibles attractives pour les hackers, de même pour les entreprises qui possèdent des données sensibles sur des serveurs. Cependant, si vous gérez des données ou des projets moins importants dans votre réseau, vous ne devez pas vous sentir en parfaite sécurité et à l’abri du piratage pour autant. En effet, si vous gérez une boutique en ligne ou des systèmes de gestion de marchandises sur un serveur réseau, si vous exécutez un projet Web informatif avec un grand nombre de messages ou encore si vous utilisez simplement le réseau comme plateforme de travail, le risque d’être victime des hackers existe avec les conséquences suivantes :

• La paralysie de vos projets Web ou de vos environnements de travail
• Le vol de mots de passe des utilisateurs du réseau
• L’infiltration par des malwares
• Le vol des données de connexion des comptes clients
• La mauvaise utilisation des systèmes informatiques de votre réseau

Outre les conséquences économiques, l’image et la réputation de votre société risquent aussi d’en pâtir,notamment si les clients sont directement touchés ou si l’attaque est rendue publique.

Si vous décidez de réaliser un test d’intrusion pour votre réseau, il est conseillé de ne pas lancer vous-mêmes des attaques contre vos systèmes informatiques et vos applications. Il est préférable au contraire de recourir aux services d’un expert. Les tests requièrent en effet une compétence professionnelle dans ce domaine et possèdent des intensités différentes, enfin si ces derniers sont mal effectués, ils peuvent entraîner rapidement des complications ou des dommages importants. Il est donc nécessaire de trouver l’équilibre entre la trajectoire d’attaque nécessaire et l’exploitation des points faibles qui peuvent être évités. En outre, un testeur externe qui n’a pas été impliqué dans la conception, la construction et la maintenance du réseau permet d’obtenir de meilleurs résultats grâce à son impartialité et du fait qu’il peut ainsi voir le réseau sous un angle neuf et différent.

Pour tout type de test d’intrusion, il est nécessaire d’être propriétaire du réseau testé ou bien d’avoir l’autorisation appropriée. La coopération avec un professionnel externe nécessite donc un accord contractuel, qui stipule la durée et l‘intensité du test ainsi que les mesures de protection de données, etc.

Puisqu’il y a une grande variété de formes d’attaque réseau, il existe un large éventail d’outils différents pour les testeurs. Il s’agit par exemple des balayeurs ou scanneurs de ports, scanneurs de vulnérabilité, analyseurs réseau, générateurs de paquets ou crackeurs de mots de passe. De nombreux outils ont été spécifiquement développés pour les tests de sécurité réseau et sont donc adaptés à des domaines bien particuliers. Bien que la majorité des programmes soit open-source, il existe aussi des applications de sécurité commerciales, elle sont généralement mieux documentées et accompagnées d’un support utilisateur complet. Ceci peut se révéler être un avantage, car il est important que le testeur puisse déterminer dans quelle mesure les outils fonctionnent bien, ce qui est plus facile si les scénarios d’application et les possibilités sont clairement définis. 

Il existe désormais de grandes collections d’outils pour les tests d’intrusion, qui ont été compilées par des experts en sécurité expérimentés. Ces collections fonctionnent souvent sur la base d’une distribution Linux stable qui peut être exécutée via un support de stockage externe comme un DVD ou une clé USB. L’avantage de ces tests d’intrusion est qu’ils sont prêts à l’emploi et combinés en une seule interface. Parmi les solutions les plus populaires, on trouve la distribution Kali Linux, qui a été publiée pour la première fois en 2007.

Pour réussir un pentest, vous devez tout d’abord créer un concept clair. Il faut sélectionner les composants à tester, établir le calendrier et le temps imparti pour un test individuel ou bien pour la vérification complète de votre réseau, et enfin vérifier si vous disposez de tous les outils nécessaires. Cette phase préparatoire est d’autant plus importante si vous souhaitez effectuer le contrôle de sécurité par un testeur externe et mettre en œuvre un test par boîte blanche (white box). Dans ce cas, il est nécessaire de communiquer toutes les informations relatives à votre réseau et aux systèmes participants et de transmettre également la documentation existante. La situation est différente avec un test par boîte noire, pour lequel vous ne spécifiez que l’adresse cible des objets testés respectifs.

La procédure de test peut être divisée en quatre phases :

• Vérification du concept de réseau : déjà dans la phase préparatoire, un testeur peut détecter des incohérences ou des faiblesses dans la conception du réseau ou dans des composants individuels. Par exemple, si différentes applications sont configurées avec des groupes d’accès différents, elles peuvent rapidement créer des complications et poser un risque de sécurité pour l’ensemble du réseau, même si le réseau et les programmes hébergés individuels sont bien protégés. Certains de ces cas peuvent déjà être réglés lors de cette phase préliminaire. D’autres ne peuvent être confirmés que par un test pratique.
  
  
• Test des mesures de durcissement (Hardening) : l’élément central d’un réseau d’entreprise sécurisé est le fait que les systèmes concernés soient aussi durables que possible. Lors du test d’intrusion, il est important de vérifier quelles mesures de défense sont actives. D’une part, il s’agit des logiciels installés comme le système d’exploitation, les services système ou les applications utilisateurs qui doivent toujours être à jour. Si les versions plus anciennes sont compatibles avec d'autres applications, vous devez prendre des précautions alternatives pour protéger votre système. En outre, les exigences en matière d’accès et d’authentification des différents systèmes et programmes jouent également un rôle central. Le pentest traite ici des questions telles que les droits d’accès, l’utilisation et le cryptage des mots de passe ainsi que la question du refus d’accès des personnes non autorisées. Une autre tâche consiste à vérifier les diverses interfaces existantes : les ports ouverts ainsi que les règles et réglementations définies comme par exemple un pare-feu.
  
  
• Recherche des vulnérabilités connues : en général, il ne faut pas attendre longtemps avant que des lacunes de sécurité logicielles soient détectées. C’est pourquoi, les testeurs sont souvent familiers avec les points d’attaque des objets testés. Grâce à l'état de la version et au statut des patchs, déterminés lors de la recherche sur le degré de durcissement des composants du réseau, les testeurs apprennent rapidement quelles applications représentent un risque de sécurité. Si de nombreux systèmes doivent être analysés dans un laps de temps réduit, le recours aux scanners de vulnérabilité est alors utile, mais cela n’aboutit pas toujours à un résultat exact.
  
  
• Utilisation ciblée des exploits : un exploit est un élément de programme permettant à un individu ou à un logiciel malveillant d’exploiter une faille de sécurité dans un système. Le testeur ne peut déterminer si les vulnérabilités découvertes peuvent être exploitées ou non en utilisant un exploit correspondant. Une telle séquence de commandes sont en général des scripts fournis par différentes sources Internet, mais ne sont pas toujours programmées de manière sécurisée. Si vous exécutez un exploit non sécurisé, il y a alors un risque que l’application ou le système testé plante et dans le pire des cas, que des données importantes soient écrasées. Le testeur doit donc veiller à n’utiliser que des scripts sûrs provenant de sources fiables ou alors à ne pas tester les vulnérabilités.

Toutes les étapes et les résultats du test d’intrusion doivent être consignés. Les domaines principaux seront au préalable vérifiés. Vous disposez ainsi d’une base optimale pour comprendre les différentes étapes et évaluer ainsi la situation. Habituellement, le testeur vous donnera également une évaluation précise des failles de sécurité qui représentent des risques forts pour votre réseau. Grâce à ces listes de priorités, vous pouvez optimiser la protection du système étape par étape.

Les structures informatiques homogènes appartiennent désormais au passé. Les structures informatiques décentralisées actuelles, renforcées par la connexion directe des partenaires et des clients sur Internet, peuvent être à l’origine de nouvelles failles de sécurité et de dysfonctionnements quotidiens. Les éditeurs de logiciels les corrigent plus ou moins rapidement. Pour certains programmes, le support est même complètement désactivé ou abandonné. Il faut donc rester prudent. Les pare-feu et les antivirus permettent de protéger de nombreuses failles contre les attaques externes, mais de nouvelles lacunes peuvent rapidement inverser cette situation. Les scanneurs de sécurité sont des outils utiles mais ne sont pas suffisants pour les systèmes complexes en réseau.

Un test d’intrusion prend ici tout son sens : d’une part il va beaucoup plus en détail qu’un simple contrôle de sécurité lors de la vérification des systèmes, et de plus c’est l’objectif de base d’un tel test de vérifier la bonne interaction des différents composants. Si un professionnel externe est utilisé pour réaliser le pentest, vous obtenez alors un avis extérieur indépendant avec une vue différente sur le concept de sécurité sous-jacent. Les testeurs professionnels sont spécialement formés et procèdent de la même manière qu’un hacker. Les résultats révèlent souvent les points faibles de votre réseau que vous n’auriez probablement jamais pu détecter autrement. 

Cependant, la collaboration avec un testeur externe comporte aussi certains risques. En effet, ce dernier obtient un aperçu des aspects internes pendant l’exécution du processus. En outre, il est toujours possible que le test d’intrusion provoque aussi des dommages qui ne peuvent être corrigés ultérieurement. Par ailleurs, les tests d’intrusion ont l’inconvénient de ne fournir qu’un instantané de vos systèmes réseau par rapport à d’autres mesures de sécurité qui fonctionnent sans interruption en arrière-plan. C'est pourquoi vous ne devez jamais utiliser une structure de sécurité comme excuse pour passer outre des mesures de défense communes, simplement parce qu'elle a été optimisée sur la base d'un test d’intrusion.

De plus, l’ingénierie sociale (ou social engineering) n’est pas examinée par un test d’intrusion classique. Cependant, de nombreux prestataires de services proposent des formations pour aider les employés des entreprises à lutter contre les lacunes en matière de sécurité. Pour plus d’informations sur ce sujet, vous pouvez consulter notre article sur l’ingénierie sociale.