Un test d’intrusion est une opération qui consiste à tester un système informatique, un réseau ou une application web, afin de déceler des vulnérabilités susceptibles d’être exploitées par un pirate.
Un test d’intrusion a deux objectifs :
- évaluer le risque de piratage
- identifier des pistes pour réduire ce risque
Le test d’intrusion se décline en plusieurs approches complémentaires, selon le contexte et les besoins:
- test d’intrusion en boîte noire (blackbox): aucune connaissance préalable de l’environnement avant l’attaque effective. Le test d’intrusion est mené en aveugle, et reste véritablement représentatif de tout le processus utilisé par une véritable attaque sur un système d’informatique.
- test d’intrusion en boîte blanche (whitebox): le test est dirigé sur une cible donnée, ou sur un ensemble de cibles. Par exemple, un test d’intrusion sur un annuaire d’entreprise, ou sur une application de coeur de métier à partir d’un simple compte utilisateur, avec la recherche systématique de l’élévation de privilèges.
Les tests d’intrusion obéissent à différentes stratégies :
Tests externes
Ce type de test d’intrusion cible les serveurs ou les appareils d’une entreprise qui sont visibles de l’extérieur, notamment les serveurs de nom de domaine (Domain Name Server), les serveurs de messagerie, les serveurs Web ou les pare-feu. Le but est de déterminer si un attaquant extérieur peut s’infiltrer dans le système et jusqu’où il peut aller une fois l’accès obtenu.
Tests internes
Ce type de test imite une attaque interne, derrière le pare-feu, par un utilisateur disposant d’autorisations avec droits d’accès standard. Il permet notamment d’estimer les dommages que pourrait causer un employé mécontent.
Tests en aveugle
Une stratégie de test en aveugle consiste à simuler les actions et procédures d’un véritable pirate en limitant strictement les informations communiquées à la personne ou à l’équipe qui effectue les tests.
Déroulement de la prestation
La méthodologie mise en œuvre pour le test d’intrusion consiste en une succession d’étapes.
- Mise en place (kick-off/validation du périmètre)
- Découverte du périmètre
- Prise d’informations
- Recherche de vulnérabilités
- Construction de scénarios d’attaque et compromission du SI
- Compromission initiale, maintien d’accès et élévation de privilèges
- Rédaction et livraison du rapport