Tests d’intrusion et identification de vulnérabilité

Le guide de référence, à l’échelle d’internet, concernant les tests d’intrusion est celui du Penetration Testing Execution Standard (PTES) [7]. Ce dernier, considéré comme un standard de test de pénétration, est composé de sept sections principales. Pour information, un test de pénétration est aussi un test d’intrusion.

Celles-ci couvrent tout ce qui concerne un test d’intrusion - de la communication initiale au raisonnement derrière un pentest (synonyme), à travers la collecte de renseignements et la modélisation des menaces ainsi que les phases où les testeurs travaillent en arrière-plan afin d’obtenir une meilleure compréhension de l’organisation testée. Ce processus combine donc la recherche de vulnérabilité à l’expertise des chercheurs ainsi qu’à la compréhension du contexte de l’environnement testé de façon à bénéficier d’une valeur ajoutée maximale.

Cependant, le guide se concentre à haut niveau sur le processus complet de test de pénétration ainsi que sur les différents types de vulnérabilités que l’on peut identifier en fonction des systèmes d’exploitation. Quand bien même ce dernier reste complet, peu de détails techniques sont actuellement disponibles.

Contrairement à PTES, un des guides valorisants en termes d’aide à la compréhension en recherche de vulnérabilités et d’attaques est celui émis par David Maynor, « Metasploit Toolkit » [8]. Ce dernier est un excellent livre pour comprendre les principes d’exploitation à travers une plateforme facilitant le processus global d’intrusion dans un système d’information, mais les outils ne sont pas forcément à jour avec les dernières trouvailles en termes de vulnérabilités. Cependant, Metasploit reste un pilier fondateur de la sécurité offensive. Il permet, en plus d’obtenir une interface intuitive pour la gestion des attaques, d’implanter une plateforme de création personnalisée d’exploits. Cela propulse l’outil et l’utilisateur dans une dimension plus flexible et certainement plus soutenue techniquement comparativement à celle des plateformes complètement automatisées se limitant à un sous-ensemble d’exploits connus et bien souvent obsolètes de par les contre-mesures et mise à jour de sécurité implémentées.

Un des aspects manquants dans Metasploit est la recherche automatisée de vulnérabilités sur les plateformes applicatives de type web.

De plus, une lacune significative en ce qui concerne les tests de pénétration web est à souligner. A cet effet, un des efforts de recherche a été axé vers l’assimilation des connaissances disponibles à travers l’OWASP [9], la base de référence en termes d’attaques et de détection de vulnérabilités web.

OWASP est une communauté ouverte dédiée aux organisations, permettant de concevoir, développer, acquérir, exploiter et maintenir des applications sécuritaires et durables. Tous les outils, documents, et forums de l’OWASP sont gratuits et ouverts à toute personne intéressée à l’amélioration de la sécurité applicative et web.

En dépit du fait que les deux bases citées ci-dessus sont d’excellentes ressources pouvant être utilisées dans le but d’élaborer un éventail de services et prestations de tests d’intrusion, il est nécessaire de les coupler avec un répertoire de CVE. Les CVE (Common Vulnerability Exposure), cataloguent chaque vulnérabilité publiée publiquement, et sont toutes regroupées par manufacturier d’équipement et de logiciel dans la NVD (National Vulnerability Database).

La majorité des entreprises offrant des services de tests d’intrusion basent leurs approche sur les trois ressources énoncées plus haut. La différentiation dans la qualité et la fiabilité de la prestation de service se traduit donc sur l’expertise des ressources effectuant les tests d’intrusion ainsi que sur la forme du processus utilisé, de la recherche des vulnérabilités jusqu’à la présentation de ces dernières.

De ce fait, ce raisonnement basé sur la formation et la capacité des ressources à trouver les vulnérabilités pourrait potentiellement introduire une marge d’erreur quant à la détection systématique de vulnérabilité pouvant mener à une atteinte aux principes premiers de la sécurité de l’information.

Ce constat est aussi une cause de la pratique des tests de sécurité, prenant en compte le fait que cette dernière soit une niche dans le secteur de la sécurité de l’information. Les acteurs principaux

ainsi que les firmes de sécurité, concurrentes, sont soucieux de garder leur mode opérationnel ainsi que leurs outils et techniques spécifiques.

Pour réduire de manière résiduelle cette marge d’erreur, il est nécessaire de construire une plateforme permettant de servir de référence technique aux différentes ressources. Aucune référence actuelle, autre que celles citées plus haut et se concentrant sur un domaine particulier, n’a encore de base conséquente renfermant plusieurs centaines de techniques d’exploitation. Aucune méthodologie ne propose actuellement des intrants techniques tels que les résultats de tests d’intrusion, pour servir de base à une approche d’évaluation des risques. Les seuls points de similarité potentiellement disponibles dans les solutions professionnelles sont les indicateurs de risques développés par certains fournisseurs d’antivirus. Ces derniers proposent des outils de génération de posture de sécurité en fonction du nombre de menaces détectées sur l’ensemble des agents déployés.

Grâce aux listes détaillées d’attaques, les membres de l’équipe de tests d’intrusion ont la possibilité de jouir d’une base de connaissance servant de point d’appui et de liste de vérification lors des différents projets de tests d’intrusion.

Pour corroborer les points énoncés précédemment, les intrants de la méthodologie s’inscrivent dans une démarche démarcative et novatrice en ce qui a trait aux sources d’information permettant de déterminer et d’identifier les risques dans l’environnement d’un système d’information.