Bonjour Renaud. En quoi consiste cette nouvelle formation  » réalisation pratique des tests d’intrusion  » ?

Bonjour Aurélien. Comme son nom l’indique, c’est une formation qui permet d’apprendre à réaliser des tests d’intrusion, c’est-à-dire à tester la sécurité d’une application, d’un serveur ou d’un réseau face à un attaquant. C’est une formation très pratique : nous enseignons les techniques et les outils utilisés par les personnes malveillantes, puis chaque stagiaire dispose d’un PC pour chercher et exploiter des vulnérabilités sur des environnements de test.

N’avez-vous justement pas peur que cette formation soit perçue comme une formation de  » pirates  » ?

La mentalité du monde de la sécurité a bien évoluée de ce point de vue. Tout le monde peut aujourd’hui trouver dans les librairies des ouvrages décrivant de façon détaillée les techniques d’intrusions informatiques, et même la conception d’exploits et de virus. Ces ouvrages ne sont pas (uniquement) lus par les « pirates », mais surtout par ceux qui luttent contre eux et qui ont besoin de savoir comment ces « pirates » opèrent.

Chaque organisation importante devrait avoir une équipe qui comprend bien ces techniques d’attaques et qui soit capable d’évaluer, même de façon simplifiée, la sécurité d’un système informatique. Il faut revenir aux sources et ne pas oublier que la sécurité informatique a été créée pour se défendre face à des attaques… et ce n’est pas efficace de chercher des parades contre des attaques qu’on ne comprend que partiellement. Pourtant, c’est ce qu’on observe souvent. Certaines organisations lancent des projets sécurité coûteux et négligent l’essentiel : par exemple, le déploiement d’une solution de SSO (Single Sign-On) avec authentification forte par carte-à-puce pour les utilisateurs… alors que les bases de données sont directement accessibles avec des mots de passe faibles.

En rappelant comment opèrent les attaquants, cette formation aide à ne pas perdre de vue les menaces les plus immédiates.

Mais est-ce qu’un audit (approche « boite blanche ») ne permet pas de détecter les vulnérabilités de façon plus efficace qu’un test d’intrusion (approche « boite noire ») ?

Si, bien entendu. Mal fait, ou avec un peu de malchance, un test d’intrusion peut passer à côté d’une vulnérabilité grave. Mais il ne faut pas se leurrer, un audit aussi ! Ce n’est pas par hasard que l’on continue de trouver des vulnérabilités dans des portions de code source qui ont déjà été auditées plusieurs fois ou dans des architectures où les interactions entre composants sont complexes.

L’avantage des tests d’intrusion, c’est qu’ils conduisent à penser comme un attaquant et à chercher les vulnérabilités les plus évidentes, celles qui vont êtres testés par les « pirates » car elles sont faciles à trouver, à exploiter et qu’elles ont un impact fort. De plus, démontrer l’impact d’une vulnérabilité par un test en condition réelle est toujours plus convaincant pour une direction ou pour une équipe métier qu’un rapport d’audit évoquant tel ou tel obscur paramètre de configuration.

Ensuite, l’idéal est de combiner audit et tests d’intrusion. Ces approches sont complémentaires : certaines vulnérabilités qui apparaissent immédiatement lors d’un test d’intrusion sont difficiles à déceler lors d’un audit, et inversement, l’audit permet de détecter des vulnérabilités qu’il serait très difficile de détecter par un test d’intrusion.

Les techniques d’exploitation de vulnérabilités évoluent, comment le programme a-il été défini ?

HSC suit régulièrement l’évolution des techniques d’exploitation… et c’est un travail énorme. Notre valeur ajoutée est de faire le tri pour ne garder que les techniques les plus pertinentes et les plus efficaces. Pour le programme, nous avons décidé de nous concentrer sur les technologies les plus répandues sur le marché et sur les attaques les plus efficaces. Ca tombe bien, car ce sont celles qui sont les plus utilisées par les « pirates ».

Comment l’expérience d’HSC est-elle utilisée pour enrichir cette formation ?

HSC réalise régulièrement des tests d’intrusion sur de nombreuses technologies et dans des secteurs d’activités variés. Cela permet d’organiser un vrai retour d’expérience avec des exemples de cas proches de la réalité.

Surtout, la confrontation d’HSC avec le terrain permet de faire le tri entre les techniques d’attaques qui ont surtout un intérêt académique, ou qui ne sont pas encore assez matures pour être utilisées lors d’un test d’intrusion, et celles qui apportent des résultats facilement et rapidement.

Tests d’intrusion « manuels » ou outils « automatisés » ? Quelle approche allez-vous présenter ?

Aujourd’hui, il n’est plus pensable de faire un test d’intrusion uniquement avec les commandes de base comme telnet et ping. De nombreux outils gratuits existent pour aider à détecter de façon semi-automatisée les systèmes vulnérables, ce qui permet de gagner du temps et de se concentrer sur ce qui n’est pas automatisé. En ce sens, nous montrons comment utiliser de nombreux outils pour accélérer la recherche de vulnérabilité, mais aussi comment procéder à une recherche manuelle lorsque c’est plus efficace. Par contre, nous ne présentons que des outils gratuits, ce qui permet aux stagiaires de pouvoir mettre en pratique ce qu’ils ont appris dans leur organisation sans avoir à remettre la main au portefeuille.

Quel est le niveau attendu des stagiaires ?

Il est attendu que les stagiaires aient déjà une connaissance satisfaisante des réseaux et des principaux systèmes. Nous approfondirons les différentes attaques possibles et nous verrons comment les réaliser concrètement. Bien sûr, certains stagiaires auront plus de connaissances dans un domaine que dans un autre. Mais les nombreux travaux pratiques permettront à chacun d’avancer à son rythme et de poser les questions au fur et à mesure.

Peut-on vraisemblablement se former aux tests d’intrusion en une semaine ?

Non, il faut être honnête, on ne peut pas se prétendre « expert en tests d’intrusion » après seulement une semaine de cours. Il faut de la pratique, beaucoup de pratique. Mais cette semaine de cours fera gagner un temps précieux et permettra à tout le monde de réaliser un premier niveau de tests sur un système informatique. Et tous les stagiaires repartiront du cours avec une vision nettement plus claire des techniques utilisées par les attaquants, ce qui améliorera grandement l’efficacité des mesures de protection qu’ils mettront en place.

Pour ceux qui voudront continuer à se perfectionner, nous fournirons toutes les pistes à suivre pour réussir des intrusions plus complexes.

Vos concurrents potentiels pourraient-ils s’inscrire à ces formations afin de proposer à leur tour des services de test d’intrusion ?

Oui, bien sûr. Comme d’autres sociétés dans le secteur, HSC a toujours partagé sa connaissance en sécurité informatique, notamment en publiant sur son site Web. Nous pensons que partager un tel savoir ne peut que contribuer à améliorer la prise en compte de la sécurité dans les projets informatiques.

Pourquoi ne pas se reposer sur des certifications existantes ?

Les certifications de personnes qui existent actuellement pour les tests d’intrusion ne sont pas satisfaisantes. Elles sont peu reconnues et exigent souvent de respecter un programme de cours figé. Est-ce utile de venir se former chez HSC si le support du cours a été conçu par un bénévole externe et n’a pas été mis à jour depuis 3 ans ?

Quelles sont les dates des prochaines formations ?

La première session aura lieu du 21 au 25 janvier 2008. Elle est déjà complète. Nous venons d’ouvrir des sessions supplémentaires du 18 au 22 février 2008 et du 6 au 13 juin 2008. Nous avons par ailleurs de nombreuses demandes pour organiser des sessions à l’étranger et en intra-entreprises. Nous étudions leur faisabilité car cela suppose de transporter les PC portables utilisés par les stagiaires ainsi que les serveurs hébergeant les images des systèmes cibles.