Tests d’intrusion externes

Des tests d’intrusion externes pour auditer des applications ou des infrastructures exposées sur Internet

Parfaits compléments des tests d’intrusion internes, les tests d’intrusion externes visent en particulier à auditer des applications ou des infrastructures exposées sur Internet, telles que les applications web, les applications mobiles (Android, iOS) et leurs Web Services, les points d’entrées VPN ou tout autre équipement ou serveur exposé.

Pour réaliser ces audits, Digitemis s’appuie sur les référentiels de l’OWASP (Open Web Application Security Project), de l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information) ainsi que les méthodologies internes basées sur l’expérience acquise par ses consultants sur des missions similaires.

référentiel Owasp

Les objectifs des tests d’intrusion externes :

évaluer le niveau de sécurité général du périmètre audité
identifier les scénarios d’attaques probables
déterminer l’étendue des actions malveillantes réalisables par un attaquant positionné sur Internet
définir un plan d’action technique

L’approche « boîte noire » simule un scénario d’attaque dans lequel l’attaquant ne dispose d’aucune information particulière, mise à part le nom du site. Les tests d’intrusion en « boîte grise » sont quant à eux, complémentaires des tests en boîte noire. Ils ont pour objectifs de vérifier le cloisonnement des différents profils d’utilisateurs et de détecter des failles exploitables par un utilisateur malveillant.

Digitemis propose la méthode suivante :

Méthode intrusion externe

Quelques exemples de missions :

Test d'intrusion boutique en ligne

1er exemple de mission : les tests d’intrusion d’une boutique en ligne

Sans autre information que l’adresse IP ou le nom de domaine de l’application à auditer, l’auditeur recherche des failles tant dans la logique applicative que dans son implémentation. Dans un deuxième temps l’auditeur dispose d’un compte sur le back-office de l’application et met à l’épreuve les fonctionnalités qu’il propose. L’auditeur cherche notamment à évaluer la robustesse du processus d’achat et de paiement, la sécurité des échanges et la capacité d’un attaquant à prendre le contrôle de la plateforme ou d’en altérer le contenu.

Test d'intrusion application mobile

2nd exemple de mission : les tests d’intrusion d’une application mobile et de son environnement

Les tests englobent l’analyse statique et dynamique de l’application ainsi que la réalisation de tests ciblant les Web Services avec lesquelles celle-ci échange. L’auditeur procède au désassemblage et à la décompilation de l’application, à l’analyse des flux réseau ainsi qu’à des tests d’intrusions complets sur les Web Services.

Test d'intrusion VPN

3ème exemple de mission : les tests d’intrusion sur VPN

L’auditeur procède à des tests visant à évaluer le niveau de sécurité d’un point d’accès distant exposé sur Internet. Les tests portent notamment sur la robustesse de la phase d’authentification, les éventuelles faiblesses permettant son contournement et la confidentialité des échanges.

Test d'intrusion exposition extérieure

4ème exemple de mission : état des lieux de l’exposition extérieure

À partir d’un inventaire des machines et/ou d’informations publiquement disponibles sur Internet, l’auditeur effectue une revue sécurité des éléments exposés sur Internet. Ces tests se composent à la fois de tests d’intrusion sur le périmètre identifié, mais également de recherches passives concernant le niveau d’exposition du client et de sa marque.

Déroulement d’un test d’intrusion externe

Schéma intrusion externe

Votre message a été envoyé !
* Informations obligatoires Les informations recueillies à partir de ce formulaire sont traitées par Digitemis pour donner suite à votre demande de contact. Pour connaître vos droits et la politique de DIGITEMIS sur la protection des données, Cliquez ici

Services complémentaires

Audit de code

Audit de code

Voir la prestation
Audit de configuration

Audit de configuration

Voir la prestation