Quel est votre parcours, vos études ou formations ?

Je suis consultant senior chez HSC depuis 1998 -avec une escapade de 18 mois chez un FAI-, après avoir été développeur puis chef de projet réseau/messagerie dans une société Grenobloise. Je suis sorti de l’Ensimag en 1988. La plupart des consultants chez HSC ont également un diplôme d’ingénieur en informatique, avec des niveaux d’expérience variables.

Vous êtes spécialisé dans les tests d’intrusion, pouvez vous nous expliquer ce qu’est test d’intrusion (Interne & externe) et pourquoi les entreprises font appel à vos services ?

Un test d’intrusion est une prestation de sécurité qui consiste à trouver des failles dans un réseau ou une application, sans connaissance préalable. En utilisant quasiment les mêmes techniques que des pirates, le consultant va tenter de pénétrer le réseau ou de changer le comportement d’une application. La différence avec un piratage est que le périmètre est borné, les jours et heures convenus avec le client, ainsi que les limites de l’intrusion (utilisation ou non de social engineering, de chevaux de Troie, compromission du DNS, …). Enfin il n’est évidemment pas question de modifier, supprimer ou compromettre des données.

Un test d’intrusion interne ou audit intrusif part du réseau local de l’entreprise, comme le ferait un attaquant qui a récupéré un accès, soit via une intrusion physique, un vol de PC portable, ou un accès à une borne WiFi non sécurisée.

Les entreprises nous appellent souvent pour ce genre de prestation quand le service sécurité veut montrer en interne à d’autres entités que la sécurité n’est pas suffisante. Les entreprises où la sécurité est prise en compte bien en amont préfèrent souvent une prestation d’audit, ou nous allons valider une politique de sécurité. En ce sens, le test d’intrusion est plutôt une prestation de phase finale : s’il réussit, cela veut dire que la sécurité n’a pas été prise assez tôt dans le processus de validation d’une application ou d’une plate-forme.

Il peut être aussi régulier, et valider que les changements effectués depuis les derniers tests n’ont pas dégradé la sécurité, ou que les recommandations ont été correctement appliquées.

Comment se déroule un test d’intrusion ?

Un test d’intrusion se déroule presque toujours de la même façon:

Vérification que les plages réseaux données par le client lui appartiennent bien et qu’elles sont bien sous sa responsabilité (pas question par exemple de faire un test d’intrusion sur un serveur Web mutualisé sans l’accord de l’hébergeur).

Récupération d’informations via le DNS, la réponse du réseau, les moteurs de recherche, nos propres journaux …

Découverte des services réseaux via un scan.

Recherche d’information sur les versions de logiciels installés.

Si des problèmes connus sont détectés, tentative de les exploiter.

Recherche de faille dans les applicatifs Web, soit en mode anonyme, soit avec un compte de test donnée par le client.

Si des failles sérieuses et triviales sont trouvées, avertissement immédiat du client.

Tentative d’utiliser les machines déjà compromises pour rebondir sur d’autres.

Ecriture du rapport.

Présentation des résultats sous forme de réunion autour de transparents chez le client.

Quels sont les outils que vous utilisez le plus fréquemment lors d’un test d’intrusion ?

Un scanner réseau comme nmap, un relais inverse HTTP afin d’injecter des données dans les applications Web, des scripts perl et un compilateur C.

Peut il y avoir des dérapages ? (perte de données, déni de service ..)

Pertes de données, c’est extrêmement peu probable, et nous faisons très attention à ce problème, surtout lorsque nous attaquons une application utilisant par exemple des bases de données. Le déni de service arrive beaucoup plus souvent, soit parce que le client nous le demande, soit parce que les exploitations de problèmes (débordement de buffer, fuite mémoire) sont toujours à la limite du déni de service : si l’exploitation n’a pas marché, il est très fréquent que le programme ait néanmoins planté. C’est un risque que nous assumons en demandant avant le début du test les coordonnées précises des équipes d’exploitation afin qu’elle puissent relancer le service le plus vite possible.

Quelles sont les clés de la réussite d’un test d’intrusion ?

Avoir de bons outils, avoir du temps, avoir une bonne base de vulnérabilités connues, avoir de l’imagination (surtout dans les tests applicatifs), et surtout ne pas se décourager.

Les outils de tests automatisés, Pour ou Contre ?

Les outils de tests automatisés ne peuvent pas facilement trouver les failles les plus exploitées aujourd’hui (voir question suivante). En cela, ils peuvent donner une indication de la sécurité et des failles les plus évidentes, mais ne suffisent pas à montrer qu’une plate-forme est sûre.

Quelles sont les vulnérabilités les plus courantes que vous pouvez trouver ?

Depuis deux ans, la plupart des vulnérabilités trouvées sont de nature applicative, et ne concernent plus l’infrastructure réseau ni même les logiciels serveurs, mais plutôt les applications Web qui y résident. On trouve pêle-mêle des problèmes de validation d’authentification, d’autorisation, d’injection SQL, de Cross-Site Scripting, … Je dirais que la sécurité des applications Web est sinistrée : il est très rare que nous ne trouvions pas des failles, parfois triviales, et cela montre que les développeurs n’ont pas intégré les problématiques de sécurité. C’est très décevant quand cela vient de grosses SSII de classe mondiale.

Vous est il déjà arrivé de ne pas réussir à démontrer l’insécurité d’un réseau ?

Cela arrive souvent : quand un client nous demande d’attaquer un système qui n’offre aucun service et qui ne sert qu’à un accès vers l’Internet, s’il est bien configuré, il n’y a aucune raison qu’il ne soit pénétré, sauf à passer par des moyens indirects (social engineering, envoi d’un cheval de Troie).

Quels conseils donneriez vous à une personne qui voudrait exercer ce métier ?

De commencer par se mettre de l’autre coté du miroir : il est plus difficile de développer et de sécuriser que de pirater, et on apprend bien plus !

Le piratage sur Internet est il un passage obligé pour apprendre les différentes techniques que vous utilisez ?

Non. Il vaut mieux monter un laboratoire de tests chez soi, et apprendre ainsi, que de se lancer dans des activités illégales dont on ne peut pas toujours apprécier la portée.

Vos sites d’informations préférés ?

Nous n’avons pas de sites d’information préféré, la plupart de la veille en sécurité se fait plutôt sur des listes de diffusion, publiques (SecurityFocus, Full-Disclosure, les listes des éditeurs, Nanog) ou restreintes.

Merci, un mot à rajouter ?

La où un test d’intrusion va trouver 2 failles, un audit applicatif sérieux en trouvera 5 et donnera en plus des recommandations précises sur la qualité du code. Il ne faut pas croire que dans un budget donné, un test d’intrusion soit exhaustif.