Ressources

News

Boîte noire, grise ou blanche : s’y retrouver dans les pentest.

Les entreprises sont de plus en plus conscientes de la nécessité de protéger leurs données sensibles et leur propriété intellectuelle contre les cyberattaques. Pourtant, même si de nombreuses organisations ont déjà mis en place des mesures de sécurité informatique pour se protéger, il est souvent difficile de savoir si ces mesures sont suffisantes. C’est là que le pentest, ou test d’intrusion, peut jouer un rôle crucial.

Le pentest est un processus permettant de tester la sécurité d’un système, d’un réseau ou d’une application en simulant une attaque. En utilisant des techniques de piratage éthique, un expert en sécurité informatique tente de découvrir des vulnérabilités qui pourraient être exploitées par un attaquant malveillant pour accéder à des données confidentielles ou causer des dommages. Les résultats de l’audit permettent ensuite de prendre des mesures pour corriger les vulnérabilités identifiées et renforcer la sécurité globale de l’entreprise.

Les avantages du pentest

Les avantages à réaliser un test d’intrusion sont nombreux. Tout d’abord, cela permet à une entreprise de mieux comprendre ses vulnérabilités en matière de sécurité. Le test peut identifier les faiblesses dans les systèmes, les applications, les réseaux et les politiques de sécurité de l’entreprise. Ensuite, le test peut aider à évaluer le niveau de préparation de l’entreprise à une attaque réelle. Si une entreprise est capable de résister à une attaque simulée, elle sera plus à même de faire face à une attaque réelle.

De plus, un test d’intrusion peut aider à renforcer la confiance des clients et des partenaires commerciaux dans l’entreprise. En démontrant un engagement envers la sécurité des données, l’entreprise peut gagner en crédibilité et en respect auprès de ses clients et de ses partenaires commerciaux. En outre, un test d’intrusion peut aider une entreprise à se conformer à certaines réglementations et normes de sécurité telles que le RGPD ou les normes ISO.

Enfin, le test d’intrusion peut permettre à une entreprise de mettre en place des mesures de sécurité plus efficaces en fonction des résultats obtenus. Les conclusions du test d’intrusion peuvent aider à orienter les investissements en matière de sécurité vers les domaines les plus critiques, ce qui peut permettre à l’entreprise de mieux protéger ses données et ses systèmes.

Il existe différents types de tests d’intrusion, chacun avec ses propres avantages et inconvénients. Dans cet article, nous allons examiner les trois principaux types de tests : le test d’intrusion en boîte noire, le test d’intrusion en boîte grise et le test d’intrusion en boîte blanche. Nous verrons également comment choisir le type de pentest le plus adapté à chaque contexte.

Test d’intrusion en boîte noire

Le test d’intrusion en boîte noire est une méthode de test dans laquelle les auditeurs du système n’ont aucune connaissance préalable du système ou de l’application qui va être testé. Cette méthode simule un piratage de la part d’un attaquant externe, qui ne dispose pas d’informations sur le réseau ou le système visé ; l’attaquant se concentre alors sur le périmètre exposé sur internet.

L’objectif est donc de découvrir les vulnérabilités d’un système à partir d’une analyse externe. L’équipe de sécurité utilise des techniques telles que l’analyse des ports et l’analyse de la topologie du réseau, et complète ses recherches par l’utilisation d’outils d’analyse de vulnérabilités pour tenter d’identifier les points d’entrée possibles pour un attaquant.

L’avantage du test d’intrusion en boîte noire est que cette méthode simule une attaque réaliste de la part d’un attaquant externe. L’équipe de sécurité est en situation réelle : ce qu’elle trouve, un attaquant sans connaissance spécifique qui effectue des actions de reconnaissance basique le trouvera aussi.

Cependant, cette méthode a beaucoup d’inconvénients. Sa mise en place peut prendre du temps, puisqu’un travail préalable de recherche, voire de l’ingénierie sociale (phishing…) peut être effectué avant de lancer l’intrusion. De plus, l’audit est loin d’être exhaustif : le but étant de rentrer dans le système d’information par tous les moyens possibles, et non de l’analyser de manière complète ou de trouver les chemins d’accès en profondeur. En effet, si aucun point d’entrée n’a été découvert, le test s’arrête ici car l’auditeur ne peut plus progresser avec les informations qu’il possède. Cela ne permet pas de tester d’autres situations, par exemple, un attaquant ayant réussi à s’introduire dans le système via un vol d’identifiant qui peut ensuite remonter jusqu’aux bases de données en s’appuyant sur des vulnérabilités internes. Enfin, cette méthode peut parfois être agressive et causer des perturbations dans le système testé, puisque les tests ont lieu « à l’aveugle ».

Le test d’intrusion en boîte noire est adapté pour tester la sécurité en situation réelle. Cet audit est le plus proche de ce qu’un attaquant « lambda », opportuniste sans information préalable, peut expérimenter quand il lance son attaque. Cependant, l’intérêt de tester en boite noire est douteux. Il repose en général sur l’envie de tester son système en conditions réelles, mais risque de donner un faux sentiment de sécurité si l’auditeur n’a pas réussi à passer outre les premiers niveaux de défense : un système d’information étant fortement évolutif, le fait de ne pas avoir réussi à y pénétrer sans information ou compte préalable à un instant t ne signifie pas qu’un attaquant à un autre moment ou avec d’autres méthodes, ou en se basant sur des vulnérabilités découvertes récemment ne parviendra pas à passer.

Test d’intrusion en boîte grise

Le test d’intrusion en boîte grise est une méthode de pentest qui combine des éléments du test d’intrusion en boîte noire et en boîte blanche. Avec cette méthode, l’équipe de sécurité dispose d’un certain niveau de connaissance du système ou de l’application testé, mais n’a pas accès au code source ou à d’autres détails techniques importants. En général, le test commence en boite noire, et lorsque les vulnérabilités externes principales ont été testées, les auditeurs basculent en boite grise.

L’objectif du test d’intrusion en boîte grise est de simuler une attaque de la part d’un acteur malveillant qui a un certain niveau de connaissance du système ou de l’application testé. L’équipe de sécurité peut utiliser des informations de base telles que l’adresse IP ou la configuration réseau pour commencer le pentest, mais doit découvrir le reste des vulnérabilités de manière autonome. Il n’est pas rare de disposer de comptes utilisateurs simples pour réaliser ces tests, afin de simuler un ex-employé qui souhaite se venger ou une usurpation d’identité.

Cette méthode reste réaliste, puisqu’on se place dans le cas d’un attaquant ayant obtenu des informations précises sur le système via des attaques aujourd’hui courantes : phishing, cheval de Troie, keylogger, recherche open source ou achat de bases de données. Ce qui signifie une plus grande exhaustivité : contrairement à la boite noire où l’auditeur peut rester bloqué et ne pas parvenir à pénétrer le système avec ses outils externes, le pentester en boite grise utilisera les informations dont il dispose pour aller plus loin dans le système. En effet, il commencera par utiliser les outils classiques de la boite noire pour évaluer toutes les portes d’entrées existantes, puis basculera sur les comptes utilisateurs qu’il possède pour pouvoir établir les dégâts que peut faire un attaquant ayant réussi à voler un compte.

Cette méthode est en général plus rapide à mettre en place que le test d’intrusion en boîte noire, puisqu’elle ne nécessite pas de préparation au préalable. Et si l’auditeur se retrouve coincé, il pourra passer à l’étape supérieure en s’aidant des informations qu’il possède, sans passer de temps superflu à la recherche de vulnérabilités externes.

Nous recommandons en général cette approche plutôt que celle de la boite noire. Si elle est un peu moins réaliste que cette dernière (nous partons du principe que l’attaquant dispose déjà d’informations, et donc qu’il a déjà réussi sa campagne d’ingénierie sociale, sa recherche open source, son phishing, etc.), elle simule une situation qui est loin d’être rare : l’usurpation d’identité, et elle permet d’aller plus en profondeur dans les tests. Se retrouver bloqué lors d’une boite noire par ce que l’on ne parvient pas le jour j à rentrer dans le système d’information ne garantit pas qu’un autre attaquant, à un autre moment, pourra lui réussir à exploiter une vulnérabilité qui est apparue, ou à convaincre un employé de cliquer sur un lien vérolé. Enfin, ce test est particulièrement adapté pour tester la sécurité d’applications web, où il est important de connaître certaines informations de base, telles que l’URL ou les différents niveaux d’accès au système.

Test d’intrusion en boîte blanche

Le test d’intrusion en boîte blanche est une méthode de pentest dans laquelle l’équipe de sécurité dispose de toutes les informations techniques sur le système ou l’application testés, y compris le code source, la configuration du réseau et les détails de l’infrastructure.

L’objectif du test d’intrusion en boîte blanche est de découvrir les vulnérabilités d’un système de manière exhaustive en utilisant une analyse interne. L’équipe de sécurité peut utiliser des outils tels que les scanners de vulnérabilités et les tests de sécurité automatisés, ainsi que des techniques manuelles pour identifier les points d’entrée potentiels pour un attaquant.

Le test se déroule de la même façon qu’une boite grise, à cette exception près que l’auditeur s’appuie sur les informations données pour trouver le plus de chemins d’accès possibles et souligner les scénarios les plus catastrophiques. Cela permet d’aller plus loin que la boite grise, puisque l’auditeur n’est plus en aveugle et peut repérer dans les schémas d’architecture ou dans les lignes de code les vulnérabilités ou les erreurs de conception qui pourraient être exploitées par un attaquant. Cette méthode a aussi de grandes similarités avec les audits de code ou d’architecture : le pentester va revoir de manière exhaustive les informations qui lui ont été communiquées pour y repérer les failles (mots de passe en clair dans les bases de données…).

Cette méthode est la plus exhaustive de toutes et permet en général de remonter un grand nombre de vulnérabilités. Elle est également plus rapide et moins coûteuse à mettre en place que le test d’intrusion en boîte noire ou en boîte grise, puisque les informations disponibles facilitent grandement le travail de l’auditeur et l’élaboration de ses attaques. Cependant, c’est la moins réaliste des méthodes : il est rare, voire très rare qu’un attaquant dispose d’autant d’information sur le système qu’il cible. De plus, un certain nombre des vulnérabilités remontées seront peut-être difficilement exploitables, et même impossibles à exploiter pour un attaquant ne disposant pas du niveau d’information ou des accès dont l’auditeur dispose. Le pentester risque donc de remonter plus de scénarios trop théoriques et de vulnérabilités en réalité très difficiles à identifier ou à exploiter. Cela peut rendre difficile la priorisation des actions de remédiation et surcharger l’équipe technique.

Cette méthode est donc réservée lorsque l’exhaustivité est importante, et que l’entreprise dispose des ressources nécessaires pour mettre en place toutes les remédiations.

Conclusion

En conclusion, il existe différents types de test d’intrusion, chacun ayant ses avantages et ses inconvénients. Le test d’intrusion en boîte noire est le plus proche d’une attaque réelle, mais peut prendre plus de temps, nécessiter un budget plus important et être moins exhaustif. Le test d’intrusion en boîte grise permet de simuler une attaque réaliste tout en disposant d’un certain niveau de connaissance du système testé, est plus exhaustif que le test en boîte noire, mais un peu moins réaliste. Le test d’intrusion en boîte blanche est rapide et peu coûteux à mettre en place, mais s’éloigne encore plus d’une situation d’attaque réelle.

En fonction des besoins spécifiques de chaque entreprise, un type de test d’intrusion peut être plus approprié qu’un autre. Il est important de comprendre les différences entre chaque méthode et de choisir celle qui convient le mieux aux besoins de sécurité de l’entreprise. En outre, il est essentiel de choisir une entreprise de sécurité fiable et expérimentée pour mener le test d’intrusion et assurer la sécurité des données et des systèmes de l’entreprise.

Article rédigé par : Clément Milisavljevic, consultant chez Coralium

Si vous voulez en savoir davantage sur nos offres, en lien avec le sujet de l’article, nous vous proposons de découvrir : Audits techniques