Archive 11/03/2020

Les différents types de test d’intrusion

Laisser un commentaire
Pentesting

1. Introduction

Ce document servira comme une instruction pour comprendre comment est organisé le test d’intrusion. Il explique sur l’aspect juridique, et le déroulement du test d’intrusion. Il n’est pas fait pour que vous appreniez à pirater les voisins ou dans votre entreprise. Je ne serai pas responsable de vos actes si vous ne déférez pas à la loi. Dans la section « aspect réglementaire« , il sera vous expliqué plus en détail à la loi Française sur la violation du système d’information qui pourra vous entraîner au pénal si vous manquerez les procédures de ce métier.

Donc, ce document s’adresse à des professionnels du métiers de la cybersécurité et aussi à des étudiants dans ce domaine qui recherchent des informations complémentaires pour sa formation.

Si vous avez bien compris, vous pouvez continuer la lecture.

2. Qu’est ce qu’un test d’intrusion?

Le test d’intrusion en Français ou Pentest en Anglais est une méthode d’évaluation de la sécurité d’un système d’information. A l’issu de ce test, on peut évaluer les risques qu’encours afin de remédier les erreurs ou les défauts de protection du système d’information de l’entreprise.

2.1 Type d’intrusion

1. Boite noire (Black box) les testeur n’a aucune information sur l’entreprise.
2. Boite grise (Grey box) le testeur a un nombre limité d’information sur l’entreprise.
3. Boite blanche (White box) le testeur possède les informations nécessaires pour entreprendre ses tests d’intrusion.

2.2 Avec quels outils?

Selon le goût et les habitudes de chacun, vous avez un embarras de choix en visitant sur ce site.
https://itsfoss.com/linux-hacking-penetration-testing/
Dans chaque distribution possède les outils standards et personnalisés propre à l’éditeur. Si vous êtes nouveau, vous pouvez tester une par une pour trouver celui qui vous conviendra le mieux.

2.3 Les différentes phases

Le test d’intrusion se compose en plusieurs phases. Chaque phase a son importante pour le déroulement de test.

1. Les règles de pré-engagement, cette phase consiste à régler juridiquement les accords sur la prestation. C’est-à-dire contractuellement les accords entrent les deux parties.
2. Reconnaissance, Cette phase consiste à faire la reconnaissance sur l’entreprise cible afin de récupérer le maximum d’information pour son travail de testeur.
3. Analyse de vulnérabilité, Cette phase consiste à analyser des vulnérabilité à partir des informations récupérées dans la reconnaissance afin de trouver des failles éventuelles.
4. Exploitation, Cette phase consiste à exploiter les failles dans la précédant phase. C’est-à-dire, exploiter ces failles pour trouver un accès physique ou logique et surtout garder les preuves d’intrusion.
5. Recherche et maintien d’accès, Cette phase consiste à maintenir d’accès une fois que l’intrusion effectué et apporter la preuve de pénétration.
6. Compte-rendus et rapports, Enfin, le compte-rendu et le rapport d’intrusion avec les preuves que vous avez effectué durant ces tests.

2.4 Les méthodes

Il existe plusieurs méthodes d’intrusion, à savoir les un et les autres ont les mêmes objectifs de trouver les failles dans le système d’information en test, sauf que la spécialisation est différente les uns et les autres : 

  • PTES (The penetration Testing Execution Standard)
  • OSSTMM (Open Source Security Testing Methodology Manual)
  • OWASP Testing guide, Open Web Application Security Project est une communauté en ligne travaillant sur la sécurité des applications Web.
  • Référentiel NIST
  • etc…

3. Aspect réglementaire

Il faut savoir qu’une intrusion à une système d’information sans accord encours de deux ans d’emprisonnement et 30000€ d’amende, code pénal (art. 323-1). Il est donc nécessaire de passer à la phase « Les règles de pré-engagement » avant de commencer quoi que ce soit. Il est impérativement que vous vous protégiez juridiquement et de prouver contractuellement le consentement de l’organisme audité. L’auditeur a la possibilité de labellisé PASSI auprès de l’ANSSI pour assurer la qualité des organismes audités.

Dans le cas de sous-traité le test, il est obligatoire d’établir le contrat de sous-traitance (loi n° 75-1334 du 31 décembre 1975 relative à la sous-traitance – article 3).

Pour les tests chez les intermédiaires (Hébergeurs, CDN, Cloud, etc…) il est indispensable de vérifier les contrats ou demander l’autorisation (Code pénal. art. 323-2). Le prestataire du test doit respecter de la vie privée (Code civile. art. 9 du 10 juillet 1991, code pénal art. 226-15; al 2), puis il doit utiliser les outils de test prohiber ( Code pénal, art. 323-3-1). Tout doit éviter le dommage collatéral occasionné par le test (Code pénal. art. 323-2 rt 323-3). Autre part, le prestataire du test doit respecter la confidentialité des auditeurs (Code pénal. art. 226-13, responsabilité civile), les infractions révélés du test (Code pénal. art. 223-6, al 1, Code pénal. art. 434-1, al 1), ainsi que l’usurpation d’identité (Code pénal, art. 226-4-1) et le vol d’information (Code pénal, art. 311-1).

4. Règles de pré-engagement

Un test d’intrusion n’est pas simplement un « hack » de l’entreprise, mais plutôt l’identification des risques de business. Donc, l’intérêt des testeurs est l’adaptation du test d’intrusion aux besoins de l’entreprise.

4.1 Périmètre

Le périmètre est une des phases la plus importante des testeurs, souvent négligé qui produira un effet « client non satisfait » ou pire « illégal » . Il est idéalement décrit les coûts, du temps et de charge de travail pour éviter la surfacturation ou le dépassement non-respect des délais pour le testeur.

4.2 Le but

Chaque test d’intrusion devrait être axé sur les objectifs. Il ne s’agit pas de trouver des systèmes non corrigés. Il s’agit d’identifier les risques qui auront un impact négatif sur l’organisation.

4.3 Délai de paiement

Un autre aspect de la préparation de test que de nombreux testeur oublient complètement est la façon dont ils devraient être payés. Tout comme les dates de contrats, il devrait y avoir des dates et des modalités spécifiques pour le paiements.

4.4 Estimer le temps

Les estimations de temps sont liés à l’expériences du testeur dans une certaine aptitude. Il vaut mieux d’ajouter 20% supplémentaire afin de prévoir un éventuel incidents de planning. La re-facturation peut être revue si le test d’intrusion est terminé plus tôt que prévu.

4.5 Réunion

Lancer une réunion pour expliquer les différentes phases de tests et quelles personnes devront être informer les dates de début et fin de test. La planification sur GANTT peut être utiliser afin de montrer les différents jalons et expliquer le périmètre du contrat. Avant de commencer le test d’intrusion, toutes les cibles doivent être identifiés. Ces objectifs doivent être obtenus auprès du client lors de la phase initiale du questionnaire.
Il est important de définir si des systèmes comme le pare feu, IDS/IPS se trouvent entrent le testeur et la cible finale.

Etre informer si dans certaine situation d’où les applications sont hébergées par un tier :

  • Cloud
  • FAI
  • Managed security service
  • Pays où les serveurs sont hébergés

4.6 Définir le contexte ingénierie sociale

Les attaques par le spear-phishing ou autres sont très utilisés dans le test d’intrusion. Il est important de définir qui est possible ou pas, par email: sexe, drogue, etc…

4.7 Attaque par DDos

Le test de stress ou de déni de service devraient être discuter avant le début de l’engagement. Il peut s’agir d’un sujet auquel de nombreuses d’organisation sont mal à l’aise en raison de la nature potentiellement dommageable des tests.

5.2 Rapport

Le rapport d’un test d’intrusion doit contenir :
  • introduction
  • Objectifs
  • Périmètre
  • Méthodologie utilisée
  • Notes générale

Puis une partie technique

  • Identifier les problèmes systématiques et analyse technique des causes profondes.
  • Constatations techniques (descriptions, Screenshots, Données sensibles trouvées PoC,…).
  • Scorecard technique

Puis une partie du risque business

  • Impact sur l’entreprise
  • Il doit être personnalisé

Puis conclusion générale

Les données informatique

Laisser un commentaire
Pentesting

 

1         Introduction

Les données représente en informatique les informations d’un programme soit du texte soit le contenu pour que le programme en tirer à la demande des utilisateurs.

1.1        Caractéristiques

Une donnée possède plusieurs caractéristiques :

  • Un type.
  • Une criticité.
  • Les droits.
  • Les moyens d’accès.

1.2        Les supports de stockages

Etant donné les données se sont des informations, elles sont alors stockées dans le temps sur un support de stockage (disque dur, CD-Rom, DVD-Rom, Clé USB, Serveurs de fichiers, système d’information, etc….).

En instant T, elle peut également être présente dans la mémoire vive d’un ordinateur, transiter sur le réseau.

Ces supports permettent de la produire, l’utiliser, de l’archiver, de la modifier, et de la partager.

2         La criticité des données

2.1        L’importance des données

Les données est principalement se caractériser par son importance pour vous et pour votre entreprise.  Donc, sa criticité se caractérise par rapport à son importance qui représente.

2.2        La mémoire et intelligence

Les données qui sont à l’entreprise représente le cerveau de l’homme, de ses employés, de la richesse de l’entreprise. Elles constituent les informations sensibles qui peuvent porter atteindre à l’entreprise si elles sont divulguées à des tiers.

2.3        Son accessibilité

Les données doivent être accessible qu’aux personnes autorisées, il est donc important de mettre en place un système de classification et de définir qui accès à quel niveau de classification.

En France, le code de la défense propose 3 niveaux de classifications des informations :

  • Très secret défense
  • Secret défense
  • Confidentialité défense

3         La classification des données

3.1        Très secret défense

Le plus haut niveau de secret de l’information, Il réserve aux informations et support qui concernent les priorités gouvernementales en matière de défense et de sécurité nationale.

On estime que la divulgation d’une telle information est de nature à nuire très gravement à la défense nationale.

3.2        Secret défense

Le niveau secret défense quant à lui est réservé aux informations et support dont la divulgation est de nature à nuire gravement la défense nationale.

3.3        Confidentialité défense

Le niveau Confidentialité défense est réservé aux informations et supports dont la divulgation est de nature à nuire à la défense nationale on pourrait conduire à la découverte d’un secret de la défense nationale classifiée.

3.4        Restreint / Public

Ce niveau peut être réadapter selon les besoins de l’entreprise. Autre part, votre entreprise peut également ajouter d’autres niveaux tels que « Restreint » et « non-protégé /public » visant respectivement à protéger ou non l’information.

4         La classification et les droits d’accès

4.1        La confidentialité des données

Pour préserver la confidentialité des données, des droits d’accès sont définis selon les utilisateurs.

  • Droit de lecture seule (Consultation uniquement)
  • Droit d’écriture (Modification des documents)
  • Droit d’administration (Consultation / Suppression des documents / et modifications des droits d’accès des utilisateurs)

4.2        La durée de vie

La durée de vie des données est comme un être humain. Elle a une date de création, de modification, puis son obsolescence dans laquelle elle n’a plus de valeur (ou une valeur réduite).

La destruction des données sur un support peut intervenir pendant la phase de durée de vie utile ou lorsque l’information n’a plus de valeur. On appelle « le cycle de vie de l’information ».

4.3        Les modalités

Les modalités concernant son classement, son stockage, son échange et sa destruction sont définies dès sa création selon les classifications.

5         Les risques sur les données

Il existe plusieurs niveaux de risques pour les données. Ils sont plus ou moins important selon les critères de disponibilités, d’intégrité, et de confidentialité (DIC), connu en Anglais sous le sigle (CIA) Confidentiality, Integrity, Availaibility.

5.1        Risque d’atteindre à la disponibilité

Le premier niveau de risque d’atteinte la disponibilité des données, c.-à-d., le fait que le système ne soit pas disponible pour un utilisateur autorisé.

En 2016, de nombreux d’attaque DDoS ont ainsi atteinte de nombreux sites Web marchands connus, notamment grâce aux objets connectés comme nous avons pu le voir précédemment avec les caméras de surveillances.

L’indisponibilité des données peuvent entraîner des pertes financières dues à la baisse d’activité.

5.2        Risque d’atteindre à l’intégrité

Atteindre à l’intégrité des données, veut dire la modification non-autorisée des données. L’atteinte à l’intégrité des données peut engendrer des conséquences pour l’entreprise qui se trouverait avec des données erronées qui peut entraîner aussi des pertes financières.

5.3        Risque d’atteindre à la confidentialité

Atteindre à la confidentialité veut dire sur la divulgation non-autorisée des données. Elle peut être plus ou moins important selon leur niveau de classification (Très secret défense, Secret défense, confidentialité défense, etc.…).

Elle peut être causée par une personne malveillante et peut être involontaire lors d’un déplacement par exemple.

 

Curriculum Vitae

Laisser un commentaire

Consultant en infrastructure réseaux, systèmes et cybersécurité

COMPETENCE FONCTIONNELLE

Gestion de projet
  • Processus Agile ou cascade, Conduire les comités de   pilotage, mettre en place les tableaux de bord,             impliquer les décisionnaires, sélectionner et                 coordonner l’activité des prestataires.
  • OPEX, CAPEX.
  • Facturation, gestion des risques, pilotage, planning,    maîtrise de l’infrastructure.
  • Manager d’équipe : recrutement, formation et évaluation des collaborateurs.
  • Externalisation, Centres de Services, relations client/fournisseurs et contrats.
  • Expressions de besoins et appels d’offre, budget,      juridique et droit des contrats.
  • Cahier des charges fonctionnels.
Cybersécurité
  • Gestion des risques, ISP.
  • ISO 2700x/22301.
  • Conformité RGPD et LPM.
  • Durcissement
  • La cryptographie : PKI, SSL, TLS, Symétrique, Asymétrique
  • Antivirus
  • Conseil en PCA/PRA, PCI-DSS, PDIS, PRIS, FORENSIC, SIEM.
  • Audit SSI, Pentest (PTES).
Architecture
  • N tiers
  • Document DAT : HLD, DLD
Méthodologie
  • MERISE, UML, ITIL, PTEST, EBIOS
COMPETENCE TECHNIQUE
Système
  • Linux, Windows
Virtualisation
  • XenServer, VMware, Citrix.
Périphérique réseau
  • Cisco, HP, F5 BigIP, BlueCoat.
Firewall
  • Cisco, Checkpoint, PaloAlto, Fortinet, Netasq, Stormshield.
Services
  • DNS, SNMP v2/3, NIS, NFS, SAMBA, LDAP, AD, DHCP.    SMTP/SMTP Gateway, IMAP, Reverse Proxy/Proxy, SSH, VPN, Vlan, WiFi, Iptables, HSRP, VRRP.
Messagerie
  • Exchange, Postfix.
Supervision
  • Hobbit, Nagios, Whatsup, EON, Centreon, Nagvis, Cacti.
SGBD
  • MySQL, MSSQL
ERP/CRM
  • Sage, Cegid, Ciel, Vtiger, Workbridge.
Application
  • MsOffice, Dameware, PcAnywhere, MsProject, Rsyslog, LogAnalyzer, OSSEC, Splunk, Qradar.

Le Système d’information

Laisser un commentaire
Routage

1.    Introduction

Le système d’information est un ensemble de ressources qui permet de collecter, stocker, traiter et distribuer des informations. Ces systèmes d’information sont disponibles dans le cyberespace et les espaces non-droit.

Aujourd’hui, plusieurs objets sont connectés aux systèmes d’information. Ils sont présents pour collecter, pour stocker, pour traiter, et pour distribuer.

La liste de ces objets sont de plus en plus nombreux :

  • Les ordinateurs,

  • Les serveurs,

  • Les tablettes,

  • Les smartphones,

  • Les caméras de surveillances,

  • Les voitures connectées, etc…

Tous ces objets sont vulnérables lorsqu’ils sont connectés à l’internet. Le cyberespace est un endroit à haut risques.

Dans certains pays, l’utilisation de cyberespace est réglementée. Comme, stocker ou/et transiter les données chiffrées non autoriser ou certains pays vont même créer un réseau complètement fermé, c’est la volonté de contrôler le système d’information.  D’autres, disposent même techniquement la capacité de bloquer ou de censurer tout ou une partie d’internet.

2.    Réglementation Française sur le système d’information

En France dispose également de réglementation. Elle a créé plusieurs entités nationales pour encadrer le système d’information et pour défendre contre les cyberattaques. Je vais vous décrire quelques entités nationales pour prendre connaissance de leurs principaux activités.

2.1. Commission National de l’Informatique et des Libertés (CNIL)

Le CNIL a été créé par la loi informatique et liberté du 6 janvier 1978. Elle est chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés.

2.2. La loi Godfrain du 5 janvier 1988

Loi no 88-19 du 5 janvier 1988 relative à la fraude informatique, est la première loi française réprimant les actes de criminalité informatique et de piratage.

2.3. La loi pour la confiance dans l’économie numérique 

Le décret no 2004-575 du 21 juin 2004, abrégée sous le sigle LCEN, est une loi française sur le droit de l’Internet, transposant la directive européenne 2000/31/CE du 8 juin 2000 sur le commerce électronique et certaines dispositions de la directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques. La transposition de la directive 2000/31 aurait dû être effective le 17 janvier 2002 mais ne l’aura été que le 21 juin 2004.

2.4. Network and Information Security (NIS)

  • Améliorer la capacité de cybersécurité des états membres.
  • Améliorer la coopération entre les états et les secteurs publics et privés.
  • Exiger les entreprises des secteurs critiques : Energie, Transport, Finances et la Santé ainsi que les services internet clés adoptent les pratiques de gestions des risques et communiquent les accidents majeurs aux autorités nationales.
  • La directive est structurée autour de 4 axes :
    • Le renforcement des capacités nationales de cybersécurité. Les états membres doivent notamment se doter d’autorité nationale compétentes en matière de cybersécurité, l’équipe nationale de réponse aux incidents informatiques (CSIRT) et de stratégie nationale de sécurité. Pour la France : ANSSI et CERT-FR.
    • Etablissement d’un cadre de coopération volontaire entre les états membres de l’UE. Création de groupe coopération des états membres sur l’aspect politique et cybersécurité ainsi qu’un réseau européen des CSIRT des états membres.
    • Renforcement par chacun des états de la cybersécurité de services essentiels.
    • L’obligation pour les opérateurs de notifier les incidents ayant un impact sur la continuité de leurs services essentiels.

2.5. Le règlement général sur la protection des données (RGPD)

Il responsabilise les organismes publics et privés qui traitent leurs données. La réforme de la protection des données a pour 3 objectifs :

  • Renforcer les droits des personnes, notamment sur la création d’un droit à la portabilité des données personnelles et des expositions propres aux personnes mineurs.
  • Responsabiliser les acteurs qui traitent les données.
  • Crédibiliser la régulation grâce à une coopération renforcer entre les entités de protections des données qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et renforcer les sanctions.

3.    Législation internationale sur le système d’information

ICANN, est une organisation à but non lucratif et reconnue d’utilité publique rassemblant des participants du monde entier qui œuvrent à la préservation de la sécurité, la stabilité et l’interopérabilité de l’Internet.