La cybersécurité de votre organisation vous semble-t-elle à la hauteur ? Puis laissez un hacker avec un chapeau blanc s’y essayer. Les tests d’intrusion réalisés par des spécialistes de la sécurité mettent souvent en lumière de nombreux problèmes importants, ce qui vous permet d’améliorer encore votre position en matière de sécurité.
Les résultats des tests d’intrusion (« pen tests » en anglais) ne sont pas les mêmes pour tous. Ce n’est pas grave : ils servent à cette fin. Ceux qui découvrent les failles de sécurité avec l’aide de pirates éthiques avant qu’un vilain pirate ne le fasse, peuvent résoudre les problèmes à temps. Nous demandons à Thomas Hayen et Mickey De Baets, du Red Team de pirates éthiques offensifs d’Easi, et à Robin Bruynseels, du Blue et Purple Team, spécialisés dans la défense, où se trouvent les plus grands risques.
Réfléchir avant d’agir
Très occasionnellement, une organisation demande un projet total. Quand un tel projet global est prévu, les trois experts se mettent au travail. Hayen et De Baets, au sein du Red Team, portent le chapeau de pirate white hat : ils tentent de s’introduire dans l’infrastructure d’une organisation comme le ferait un pirate informatique.
De Baets : « En principe, la première étape est la visite d’une organisation. De nombreuses entreprises veulent un test d’intrusion, mais n’ont pas encore réfléchi à ce que cela implique exactement. Un tel test peut être effectué en interne, en externe ou même physiquement au bureau. Ensemble, nous examinons les activités quotidiennes d’une entreprise, les craintes qu’elle éprouve et les risques les plus importants. Ensuite, nous établissons sur cette base un test d’intrusion personnalisé. »
Interne ou externe
« Pour un test d’intrusion externe, nous essayons de nous introduire dans l’infrastructure accessible via l’internet public, explique Hayen. Pensez, par exemple, aux applications web. Dans ces tests, l’objectif est généralement d’extraire le plus grand nombre possible de vulnérabilités des applications. Si le but est simplement de pénétrer quelque part, nous avons un taux de réussite assez élevé. Les applications qui sont accessibles au public devraient être bien protégées de toute façon. Les organisations le savent généralement très bien, ce qui rend plus difficile l’exploitation des bogues pour obtenir un accès supplémentaire au réseau. »
Si le but est simplement de pénétrer quelque part, nous avons un taux de réussite assez élevé.
Thomas Hayen, Red Team Easi
Les tests internes sont différents. « C’est là que nous avons le plus de succès », dit Hayen. « Les entreprises sont plus négligentes dans leur propre périmètre et n’intègrent pas assez de sécurité. » De Baets voit la même chose. « Trop d’entreprises pensent encore qu’un pare-feu externe est suffisant. Si le compte d’un utilisateur est piraté et que la sécurité interne n’est pas prise au sérieux, un pirate peut prendre le contrôle de toute l’organisation en quelques heures. »
Fausses campagnes d’hameçonnage
En outre, les organisations peuvent vérifier le degré de résistance de leurs employés au phishing. Après tout, c’est le principal vecteur par lequel les attaquants prennent le contrôle des comptes et lancent ainsi les attaques internes susmentionnées. Bruynseels s’occupe de cet aspect. « Lorsque nous effectuons des tests d’hameçonnage, nous essayons généralement de le faire aussi bien que possible. Aujourd’hui, les courriels d’hameçonnage paraissent très réalistes, c’est pourquoi nous les imitons dans une campagne de test. » Les employés reçoivent ensuite un faux courriel d’hameçonnage, qui permet de savoir qui clique et éventuellement saisit des données. Grâce à ces données, les organisations peuvent travailler, par exemple, à l’organisation de formations de sensibilisation.
Ce qui est moins intéressant, ce sont les courriels clichés. Pourtant, ils sont parfois demandés par le client. Bruynseels pense immédiatement à une situation survenue plus tôt dans l’année : « Très occasionnellement, les entreprises veulent des erreurs d’écriture vraiment embarrassantes. Tout cela était très frappant, ce que nous déconseillons habituellement. Pourtant, près de vingt pour cent des employés se sont laissés prendre. Cela signifie donc que même pour un hameçonneur amateur, il n’est pas très difficile de s’emparer des données d’un compte et de lancer une attaque interne. »
Si quelqu’un mal intentionné avait fait la même chose que nous, l’entreprise n’existerait plus aujourd’hui.
Mickey De Baets, Red Team Easi
Et les tests internes et externes ? De Baets : « Nous avons vraiment pénétré le réseau du client susmentionné en externe. En interne, nous pourrions alors prendre en charge l’ensemble du réseau. Si quelqu’un mal intentionné avait fait la même chose que nous, l’entreprise n’existerait plus aujourd’hui. »
Pas d’audit mais un outil
Ce n’est pas idéal, mais ça peut arriver. En fin de compte, les tests d’intrusion servent à exposer les erreurs. Ce n’est pas pour cette raison que les trois pirates éthiques se réveillent parfois la nuit. Au contraire : les tests d’intrusion sont suivis de consultations. Bruynseels, De Baets et Hayen s’assoient avec les équipes informatiques du client, expliquent ce qui ne va pas et proposent des solutions. Nous ne sommes pas un auditeur. Nous avons l’ambition, avec la société faisant l’objet de l’enquête, de porter la sécurité à un niveau supérieur. Après le test d’intrusion, le travail le plus important commence. Nous cherchons des solutions et parfois nous refaisons des tests, afin que l’organisation soit mieux armée contre les attaques réelles.
Hayen et ses collègues sont très satisfaits de cet aspect, car il leur permet d’utiliser leurs compétences pour aider les gens et les entreprises de manière très concrète. « Il est vrai que les équipes informatiques se sentent parfois menacées », déclare Hayen. « Certainement si le test d’intrusion était une exigence pour une sorte de certificat. En outre, les sociétés de conseil chargées de la sécurité d’une entreprise n’aiment pas toujours nous voir ici, même si notre seul objectif est d’améliorer les choses. Heureusement, nous sommes généralement accueillis chaleureusement. »
« Pas si mal que prévu »
L’équipe se souvient d’une entreprise qui a connu un grand nombre de fuites de sécurité. Après avoir expliqué la situation quelque peu dramatique, la réaction a été plutôt frappante. De Baets : « Au final, leur conclusion était qu’ils avaient fait quelques erreurs en général, mais qu’ils s’attendaient en fait à pire. Les personnes concernées pensaient que la situation actuelle était correcte. » De Baets et le reste de l’équipe n’en croyaient pas leurs oreilles. « Que peut-on répondre à cela », demande le spécialiste.
Cependant, il ne s’agissait pas de petites erreurs. Hayen donne un exemple. « Il existe un administrateur de domaine dans un environnement Exchange. En fait, vous n’en avez besoin que pour mettre en place l’environnement. Ils ont beaucoup de droits et permettent à l’administrateur, par exemple, de voir ce qui se passe sur chaque appareil, y compris celui du PDG. C’est une bonne idée d’avoir le moins de comptes de ce type possible, de les sécuriser très bien et même, de préférence, de les désactiver. » La compagnie qui fuit en avait 58.
« Si j’avais ma propre entreprise, je ne pourrais pas imaginer une telle chose », soupire De Baets. Heureusement, ce n’est absolument pas la norme. Les pirates recherchent et trouvent généralement des vulnérabilités, qui sont ensuite corrigées avant qu’un individu mal intentionné puisse en tirer parti.
Pas de chef-d’œuvre
Les tests d’intrusion sont souvent judicieux, à condition que vous sachiez ce que vous voulez en faire. Faire des tests, considérer les résultats comme une sorte d’œuvre d’art abstraite, puis continuer sa journée : cela ne sert à personne. Sachez ce que vous voulez étudier et mettez-vous au travail avec les résultats. À cet égard, un test d’intrusion est avant tout un point de départ pour un cycle de consultation au cours duquel les problèmes les plus importants sont éliminés. De Baets et Hayen préfèrent utiliser les tests comme point de départ pour une plus grande sensibilisation.
« C’est juste notre passion », dit De Baets. « Le soir, quand on continue le piratage éthique, ce ne sont pas des heures supplémentaires. » « La plus grande satisfaction vient du fait de discuter avec les gens et de leur expliquer ce qui s’est passé et avec quelles techniques », conclut Hayen. « Ensuite, nous pourrons chercher des solutions ensemble. Cet aspect humain est fantastique. »