Si vous lisez des articles sur la cybersécurité, le terme « test de pénétration » apparaît comme un moyen de vérifier la sécurité des systèmes. Mais qu’est-ce qu’un test de pénétration et comment fonctionne-t-il ? Quels types de personnes effectuent ces tests ?
Qu’est-ce qu’un test d’intrusion ?
Les tests de pénétration, souvent appelés « pen testing », sont une forme de piratage éthique dans laquelle les professionnels de la cybersécurité attaquent un système pour voir s’ils peuvent franchir ses défenses, d’où le terme « pénétration ». Si l’attaque est réussie, les pen testers signalent au propriétaire du site qu’ils ont trouvé des problèmes qu’un attaquant malveillant pourrait exploiter.
Le piratage étant éthique, les personnes qui le pratiquent ne cherchent pas à voler ou à endommager quoi que ce soit. Cependant, il est important de comprendre qu’en dehors de l’intention, les tests d’intrusion sont des attaques. Les testeurs utiliseront toutes les astuces possibles et imaginables pour pénétrer dans un système. Après tout, ce ne serait pas vraiment un test s’ils n’utilisaient pas toutes les armes qu’un véritable attaquant utiliserait.
Apple publie des mises à jour de sécurité pour les iPhones vieux de 9 ans et c’est un gros problème
Test d’intrusion vs évaluation des vulnérabilités
En tant que tels, les tests de pénétration sont différents d’un autre outil de cybersécurité populaire, l’évaluation des vulnérabilités. Selon l’entreprise de cybersécurité Secmentis dans un courriel, les évaluations de vulnérabilité sont des analyses automatisées des défenses d’un système qui mettent en évidence les faiblesses potentielles de la configuration d’un système.
Un pen test essaie en fait de voir si un problème potentiel peut être transformé en un problème réel qui peut être exploité. En tant que telles, les évaluations de vulnérabilité sont une partie importante de toute stratégie de test d’intrusion, mais n’offrent pas la certitude qu’un test d’intrusion réel fournit.
Qui effectue les tests d’intrusion ?
Bien entendu, pour obtenir cette certitude, il faut être très doué pour attaquer les systèmes. C’est pourquoi de nombreuses personnes travaillant dans le domaine des tests de pénétration sont elles-mêmes des pirates informatiques réformés. Ovidiu Valea, ingénieur principal en cybersécurité de la société roumaine CT Defense, estime que les anciens « black hats » pourraient représenter jusqu’à 70 % des personnes travaillant dans son domaine.
Selon Valea, qui est lui-même un ancien « black hat », l’avantage d’engager des personnes comme lui pour combattre les hackers malveillants est qu’elles « savent comment penser comme eux ». En étant capable d’entrer dans l’esprit d’un attaquant, ils peuvent plus facilement « suivre leurs pas et trouver des vulnérabilités, mais nous les signalons à l’entreprise avant qu’un hacker malveillant ne les exploite. »
Dans le cas de Valea et CT Defense, ils sont souvent engagés par les entreprises pour les aider à résoudre les problèmes. Ils travaillent avec la connaissance et le consentement de l’entreprise pour craquer leurs systèmes. Cependant, il existe également une forme de pen testing réalisée par des indépendants qui attaquent les systèmes avec les meilleures intentions du monde, mais pas toujours avec l’accord des personnes qui exploitent ces systèmes.
Ces indépendants gagnent souvent leur vie en collectant des primes via des plateformes comme Hacker One. Certaines entreprises, parmi les meilleurs VPN par exemple, proposent des primes permanentes pour toute vulnérabilité découverte. Trouvez un problème, signalez-le, soyez payé. Certains indépendants vont même jusqu’à s’attaquer à des entreprises qui ne se sont pas inscrites et espèrent que leur rapport leur permettra d’être payés.
Valea prévient toutefois que ce n’est pas la voie à suivre pour tout le monde. « Vous pouvez travailler pendant plusieurs mois et ne rien trouver. Vous n’aurez pas d’argent pour le loyer ». Selon lui, non seulement il faut vraiment être très doué pour trouver des vulnérabilités, mais avec l’avènement des scripts automatisés, il ne reste plus beaucoup de fruits mûrs.
Comment fonctionnent les tests de pénétration ?
Bien que les indépendants qui gagnent leur vie en trouvant des bogues rares ou exceptionnels fassent penser à une aventure numérique crapuleuse, la réalité quotidienne est un peu plus terre à terre. Cela ne veut pas dire que ce n’est pas passionnant, cependant. Pour chaque type de dispositif, il existe une série de tests permettant de déterminer s’il peut résister à une attaque.
Dans chaque cas, les pen testers essaient de craquer un système avec tout ce qu’ils peuvent imaginer. M. Valea souligne qu’un bon pen testeur passe une grande partie de son temps à lire les rapports d’autres testeurs, non seulement pour se tenir au courant de ce que font les concurrents, mais aussi pour s’inspirer de leurs propres manigances.
Cependant, l’accès à un système n’est qu’une partie de l’équation. Une fois à l’intérieur, les pen testers vont, selon les mots de Valea, « essayer de voir ce qu’un acteur malveillant peut en faire ». Par exemple, un pirate verra s’il y a des fichiers non chiffrés à voler. Si ce n’est pas possible, un bon pen tester essaiera de voir s’il peut intercepter des requêtes ou même faire de l’ingénierie inverse sur les vulnérabilités et peut-être obtenir un meilleur accès.
Bien que ce ne soit pas une fatalité, le fait est qu’une fois à l’intérieur, il n’y a pas grand-chose que vous puissiez faire pour arrêter un attaquant. Il a accès, et il peut voler des fichiers et détruire des opérations. Selon M. Valea, « les entreprises ne sont pas conscientes de l’impact que peut avoir une violation, elle peut détruire une entreprise. »
Comment puis-je protéger mes appareils ?
Alors que les entreprises disposent d’outils et de ressources avancés, comme les tests d’intrusion, pour protéger leurs opérations, que pouvez-vous faire pour rester en sécurité en tant que consommateur lambda ? Une attaque ciblée peut vous faire tout autant de mal, bien que de manière différente de ce que subit une entreprise. La fuite de données d’une entreprise est une mauvaise nouvelle, c’est certain, mais si elle touche des personnes, elle peut ruiner des vies.
Bien que le pen testing de votre propre ordinateur soit probablement hors de portée pour la plupart des gens – et probablement inutile – il existe quelques conseils de cybersécurité simples et efficaces que vous devriez suivre pour vous assurer de ne pas être victime de pirates informatiques. Tout d’abord, vous devriez probablement tester tous les liens suspects avant de cliquer dessus, car cela semble être un moyen très courant pour les pirates d’attaquer votre système. Et bien sûr, un bon logiciel antivirus recherche les logiciels malveillants.