Tests d’intrusion externes
Des tests d’intrusion externes pour auditer des applications ou des infrastructures exposées sur Internet
Parfaits compléments des tests d’intrusion internes, les tests d’intrusion externes visent en particulier à auditer des applications ou des infrastructures exposées sur Internet, telles que les applications web, les applications mobiles (Android, iOS) et leurs Web Services, les points d’entrées VPN ou tout autre équipement ou serveur exposé.
Pour réaliser ces audits, Digitemis s’appuie sur les référentiels de l’OWASP (Open Web Application Security Project), de l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information) ainsi que les méthodologies internes basées sur l’expérience acquise par ses consultants sur des missions similaires.
Les objectifs des tests d’intrusion externes :
– évaluer le niveau de sécurité général du périmètre audité
– identifier les scénarios d’attaques probables
– déterminer l’étendue des actions malveillantes réalisables par un attaquant positionné sur Internet
– définir un plan d’action technique
L’approche « boîte noire » simule un scénario d’attaque dans lequel l’attaquant ne dispose d’aucune information particulière, mise à part le nom du site. Les tests d’intrusion en « boîte grise » sont quant à eux, complémentaires des tests en boîte noire. Ils ont pour objectifs de vérifier le cloisonnement des différents profils d’utilisateurs et de détecter des failles exploitables par un utilisateur malveillant.
Digitemis propose la méthode suivante :
Quelques exemples de missions :
1er exemple de mission : les tests d’intrusion d’une boutique en ligne
Sans autre information que l’adresse IP ou le nom de domaine de l’application à auditer, l’auditeur recherche des failles tant dans la logique applicative que dans son implémentation. Dans un deuxième temps l’auditeur dispose d’un compte sur le back-office de l’application et met à l’épreuve les fonctionnalités qu’il propose. L’auditeur cherche notamment à évaluer la robustesse du processus d’achat et de paiement, la sécurité des échanges et la capacité d’un attaquant à prendre le contrôle de la plateforme ou d’en altérer le contenu.
2nd exemple de mission : les tests d’intrusion d’une application mobile et de son environnement
Les tests englobent l’analyse statique et dynamique de l’application ainsi que la réalisation de tests ciblant les Web Services avec lesquelles celle-ci échange. L’auditeur procède au désassemblage et à la décompilation de l’application, à l’analyse des flux réseau ainsi qu’à des tests d’intrusions complets sur les Web Services.
3ème exemple de mission : les tests d’intrusion sur VPN
L’auditeur procède à des tests visant à évaluer le niveau de sécurité d’un point d’accès distant exposé sur Internet. Les tests portent notamment sur la robustesse de la phase d’authentification, les éventuelles faiblesses permettant son contournement et la confidentialité des échanges.
4ème exemple de mission : état des lieux de l’exposition extérieure
À partir d’un inventaire des machines et/ou d’informations publiquement disponibles sur Internet, l’auditeur effectue une revue sécurité des éléments exposés sur Internet. Ces tests se composent à la fois de tests d’intrusion sur le périmètre identifié, mais également de recherches passives concernant le niveau d’exposition du client et de sa marque.