Tests d’intrusion externes

Auditer des applications ou des infrastructures exposées sur Internet

Les tests d’intrusion externes visent en particulier à auditer des applications ou des infrastructures exposées sur Internet, telles que les applications Web, les applications mobiles (Android, iOS) et leurs Web Services, les points d’entrées VPN ou tout autre équipement ou serveur exposé.

Pour réaliser ces audits, DIGITEMIS s’appuie sur les référentiels de l’OWASP (Open Web Application Security Project), de l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information) ainsi que les méthodologies internes basées sur l’expérience acquise par ses consultants sur des missions similaires.

Les objectifs des tests d’intrusion externes sont :

– D’évaluer le niveau de sécurité général du périmètre audité.
– D’identifier les scénarios d’attaques probables.
– De déterminer l’étendue des actions malveillantes réalisables par un attaquant positionné sur Internet.
– De définir un plan d’action technique.

L’approche “boîte noire” simule un scénario d’attaque dans lequel l’attaquant ne dispose d’aucune information particulière, mise à part le nom du site. Les tests d’intrusion en “boîte grise” sont quant à eux, complémentaires des tests en boîte noire. Ils ont pour objectifs de vérifier le cloisonnement des différents profils d’utilisateurs et de détecter des failles exploitables par un utilisateur malveillant.

DIGITEMIS propose la méthode suivante :

Exemples de missions :

Tests d’intrusion d’une boutique en ligne
Sans autre information que l’adresse IP ou le nom de domaine de l’application à auditer, l’auditeur recherche des failles tant dans la logique applicative que dans son implémentation. Dans un deuxième temps l’auditeur dispose d’un compte sur le back-office de l’application et met à l’épreuve les fonctionnalités qu’il propose. L’auditeur cherche notamment à évaluer la robustesse du processus d’achat et de paiement, la sécurité des échanges et la capacité d’un attaquant à prendre le contrôle de la plateforme ou d’en altérer le contenu.

Tests d’intrusion d’une application mobile et de son environnement
Les tests englobent l’analyse statique et dynamique de l’application ainsi que la réalisation de tests ciblant les Web Services avec lesquelles celle-ci échange. L’auditeur procède au désassemblage et à la décompilation de l’application, à l’analyse des flux réseau ainsi qu’à des tests d’intrusions complets sur les Web Services.

Test d’intrusion sur VPN
L’auditeur procède à des tests visant à évaluer le niveau de sécurité d’un point d’accès distant exposé sur Internet. Les tests portent notamment sur la robustesse de la phase d’authentification, les éventuelles faiblesses permettant son contournement et la confidentialité des échanges.

État des lieux de l’exposition extérieure
À partir d’un inventaire des machines et/ou d’informations publiquement disponibles sur Internet, l’auditeur effectue une revue sécurité des éléments exposés sur Internet. Ces tests se composent à la fois de tests d’intrusion sur le périmètre identifié, mais également de recherches passives concernant le niveau d’exposition du client et de sa marque.

Tests d’intrusion externes